1. Ο φορέας ως υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα, προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφαλείας έναντι των κινδύνων για τα δεδομένα προσωπικού χαρακτήρα, εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα όπως ορίζονται από τον Γενικό Κανονισμό για την Προστασία Δεδομένων (Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016 (L 119) και την εθνική νομοθεσία και ιδίως τον ν. 4624/2019 (Α’137).
2. Ο φορέας με τη συνδρομή του Υπεύθυνου Προστασίας Δεδομένων είναι υπεύθυνος να ενημερώνει επαρκώς, να εκπαιδεύει και να συνδράμει τους τηλεργαζομένους στην εφαρμογή των διαδικασιών για την προστασία των προσωπικών δεδομένων.
3. Για την πρόσβαση στο δίκτυο, ο φορέας ως υπεύθυνος επεξεργασίας δεδομένων διασφαλίζει ότι υπάρχει δυνατότητα ασφαλούς απομακρυσμένης πρόσβασης σε πόρους πληροφοριακών συστημάτων του φορέα, καθορίζει τους περιορισμούς σύμφωνα με τους οποίους επιτρέπεται η απομακρυσμένη πρόσβαση, διασφαλίζει τη σύνδεση σε υπολογιστικά συστήματα του φορέα μέσω υπηρεσίας «απομακρυσμένης επιφάνειας εργασίας» μόνο μέσω σύνδεσης εικονικού ιδιωτικού δικτύου με κρυπτογραφημένη και προστατευμένη δρομολόγηση δεδομένων, εγκαθιστά ασφαλές πρωτόκολλο ασύρματης σύνδεσης με ισχυρό κωδικό στη συσκευή τηλεργασίας που χρησιμοποιεί ο τηλεργαζόμενος, όταν ο τελευταίος συνδέεται στο διαδίκτυο μέσω ασύρματου δικτύου, και διασφαλίζει ότι αποφεύγεται η χρήση αρχείων με δεδομένα προσωπικού χαρακτήρα σε υπηρεσίες προσωπικής διαδικτυακής αποθήκευσης των τηλεργαζόμενων.
4. Για τη χρήση εφαρμογών ηλεκτρονικού ταχυδρομείου, η ανταλλαγή ηλεκτρονικών μηνυμάτων των τηλεργαζόμενων πραγματοποιείται, για σκοπούς τηλεργασίας, μόνο μέσω του επίσημου ηλεκτρονικού ταχυδρομείου του φορέα.
5. Για τη χρήση τερματικής συσκευής και αποθηκευτικών μέσων, με επιμέλεια του φορέα εγκαθίσταται στην τεχνολογική συσκευή της τηλεργασίας σύστημα εναντίον των ιών (antivirus) και «τείχος προστασίας» (firewall). Ο φορέας επιμελείται: α) την τακτική ενημέρωση των προαναφερόμενων συστημάτων, β) την εγκατάσταση των πλέον πρόσφατων ενημερώσεων του λογισμικού εφαρμογών και του λειτουργικού συστήματος στη συσκευή της τηλεργασίας, γ) τη χρήση των πλέον πρόσφατων εκδόσεων προγραμμάτων πλοήγησης στο διαδίκτυο από τον τηλεργαζόμενο με τη μη τήρηση ιστορικού ή τη διαγραφή του μετά το πέρας της τηλεργασίας, δ) τον διαχωρισμό των δεδομένων προσωπικού χαρακτήρα τα οποία αφορούν την τηλεργασία στη συσκευή της τηλεργασίας, και ε) τη χρήση διαδικασιών κατάλληλης κρυπτογράφησης αρχείων που περιέχουν δεδομένα προσωπικού χαρακτήρα και διαδικασιών λήψης αντιγράφων ασφαλείας των αρχείων με δεδομένα προσωπικού χαρακτήρα.
6. Δεν επιτρέπεται η χρήση συστημάτων λήψης και εγγραφής κινούμενων εικόνων του τηλεργαζόμενου (κάμερα) που είναι ενσωματωμένη στη συσκευή τηλεργασίας, κατά τη διενέργεια τηλεδιασκέψεων και για τον έλεγχο της απόδοσης του τηλεργαζόμενου. Αν τεθεί σε λειτουργία οποιοδήποτε σύστημα, αυτό πρέπει να επιβάλλεται από τις λειτουργικές ανάγκες της εργασίας που παρέχει ο φορέας και να περιορίζεται στο πλαίσιο του επιδιωκόμενου σκοπού.
7. Για την πραγματοποίηση τηλεδιασκέψεων, ο φορέας χρησιμοποιεί πλατφόρμες που υποστηρίζουν υπηρεσίες ασφαλείας, όπως κρυπτογράφηση και προστασία του συνδέσμου της προγραμματισμένης τηλεδιάσκεψης.
8. Σε περίπτωση που ο φορέας, ως υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα, δεν διασφαλίζει κατ’ ελάχιστον τις προδιαγραφές των ανωτέρω παραγράφων, η τηλεργασία δεν αρχίζει ή διακόπτεται.
9. Πριν την έναρξη της τηλεργασίας, με ευθύνη του φορέα, διενεργείται εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων.
ΠΡΕΠΕΙ ΝΑ ΑΦΑΙΡΕΘΕΙ Η ΔΕΥΤΕΡΗ ΠΡΟΤΑΣΗ ΤΟΥ ΑΡΘΡΟΥ 6 ΑΦΟΥ ΣΤΗΝ ΟΥΣΙΑ ΑΚΥΡΩΝΕΙ ΤΗΝ ΑΠΑΓΟΡΕΥΣΗ ΛΗΨΗΣ ΚΑΙ ΚΑΤΑΓΡΑΦΗΣ ΤΟΥ ΤΗΛΕΡΓΑΖΟΜΕΝΟΥ ΜΕ ΤΗΝ ΕΠΙΦΑΣΗ ΤΩΝ ΛΕΙΤΟΥΡΓΙΚΩΝ ΑΝΑΓΚΩΝ.
Στην παράγραφο 6 να προστεθεί ότι είναι απαραίτητη η συναίνεση του εργαζομένου για τη χρήση κάμερας όποτε κρίνεται αναγκαίο. Διαφορετικά να απαγορεύεται ρητά η χρήση της.
Πέραν των θεμάτων προστασίας δεδομένων προσωπικού χαρακτήρα και των λογισμικών πρέπει να υπάρξει ενθάρρυνση των φορέων του δημοσίου να εγκαταστήσουν συστήματα που επιτρέπουν την τηλεργασία χωρίς την χρήση μόνο των εργαλείων που διαθέτουν σήμερα. Πολλοί φορείς αρνήθηκαν την τηλεργασία εν μέσω πανδημίας με αιτιολογία την έλλειψη διαφόρων τεχνολογικών εφαρμογών.
Π.χ. εάν τεθεί εργαζόμενος σε τηλεργασία να μην είναι ανάγκη ο σταθμός εργασίας του στο γραφείο (υπολογιστής) να είναι σε λειτουργία (και σε περίπτωση π.χ. διακοπής ρεύματος να υπάρχουν πολλά προβλήματα).
Θα μπορούσαν να υπάρχουν μεγάλοι σταθμοί (π.χ. servers) όπου είναι εγκατεστημένα τα αρχεία εργασίας ή η απομακρυσμένη πρόσβαση να μην εξαρτάται από ένα τερματικό (π.χ. συστήματα του δημοσίου για πρόσβαση χωρίς να πρέπει να είναι εν λειτουργία ο υπολογιστής του γραφείου).
Θα πρέπει επιπροσθέτως να προβλεφθεί και η μη χρήση λογισμικού παρακολούθησης του τερματικού του εργαζόμενου ως προς την χρήση του διαδικτύου,τον χρόνο αδράνειας του τερματικού καθώς και της ζωντανής παρακολούθησης των ενεργειών του εργαζόμενου στο τερματικό κοκ.
Στην παράγραφο 3 γίνεται λόγος για απομακρυσμένη επιφάνεια εργασίας μέσω σύνδεσης εικονικού ιδιωτικού δικτύου «remote desktop μέσω VPN».
Όμως δεν διευκρινίζεται εάν θα υπάρχει δυνατότητα σύνδεσης στο τοπικό δίκτυο του φορέα μέσω εικονικού ιδιωτικού δικτύου «σύνδεση VPN» (χωρίς remote desktop). (π.χ. για πρόσβαση σε πόρους του φορέα με χρήση εφαρμογής εγκατεστημένης στη συσκευή τηλεργασίας).
Το θεσμικό πλαίσιο προστασίας προσωπικών δεδομένων δεν λαμβάνει υπόψην την έκθεση των στοιχείων σε σταθμούς εργασίας και σε χώρους με άτομα τα οποία δεν έχουν συνάψει σύμβαση με τον φορέα και συνεπώς δέσμευση για την τήρηση τον τρόπο επεξεργασίας των δεδομένων.
Ανεξάρτητα από τον απομακρυσμένο σταθμό εργασίας και ενδεχόμενα firewall τα όποια στοιχεία είναι εκτεθειμένα σε τρίτους (Οικογένεια – φίλους – printscreen ) για την όποια χρήση.
Στην παράγραφο 3 αναφέρεται ότι » … [ο φορέας] διασφαλίζει τη σύνδεση σε υπολογιστικά συστήματα του φορέα μέσω υπηρεσίας «απομακρυσμένης επιφάνειας εργασίας» μόνο μέσω σύνδεσης εικονικού ιδιωτικού δικτύου με κρυπτογραφημένη και προστατευμένη δρομολόγηση δεδομένων».
Η σύνδεση εικονικού ιδιωτικού δικτύου, δυνητικά αφήνει ευάλωτο το (επιθυμητά) προστατευμένο και με υψηλό επίπεδο ασφαλείας τοπικό δίκτυο του φορέα σε δικτυακές επιθέσεις που μπορεί να οφείλονται αν ο σταθμός εργασίας του εξ’αποστάσεως χρήστη έχει παραβιαστεί. Σε οικιακό περιβάλλον ο διαχειριστής δικτύου του φορέα και δεν μπορεί να επιβάλει κάποια πολιτική, αν ο υπολογιστής είναι του ίδιου του χρήστη (όπως επιτρέπεται από το άρθρο 12, παρ. 1) ή αν υπάρχουν άλλοι μολυσμένοι και/ή παραβιασμένοι υπολογιστές στο εξ’αποστάσεως τοπικό δίκτυο.
Επιπρόσθετα, υπάρχουν πλέον διαθέσιμες τεχνολογίες οι οποίες παρέχουν εξ’αποστάσεως πρόσβαση στην επιφάνεια εργασίας του χρήστη, οι οποίες όμως δε χρησιμοποιούν την υποδομή της εκάστοτε εταιρίας για να πραγματοποιήσουν τη σύνδεση προς τον υπολογιστή εταιρίας (λ.χ Anydesk, Remote Utilities κ.α. μέσω relay εγκατεστημένου στον ίδιο το φορέα).
Σημαντικός αριθμός φορέων χρησιμοποιεί αυτές τις λύσεις, οπότε και αποφεύγεται η αγορά επιπρόσθετου εξοπλισμού και παραμετροποίησης, με όφελος και προς την εκάστοτε οργανωτική μονάδα Πληροφορικής και προς τον φορολογούμενο. Θα πρέπει όμως να τονισθεί ότι θα πρέπει να αποφευχθεί η χρήση λογισμικού τηλεχειρισμού όταν η δικτυακή κίνηση περνάει μέσα από το δίκτυο της κατασκευάστριας εταιρίας και για λόγους συμμόρφωσης με τον ΓΚΠΔ.
Εν ολίγοις προτείνεται επιπρόσθετα και η χρήση των παραπάνω συστημάτων τηλεχειρισμού, σε σχέση με τα ιδιωτικά ιδεατά δίκτυα, λαμβάνοντας όμως τον περιορισμό της διακίνησης δεδομένων μέσω της κατασκευάστριας εταιρίας. Με αυτό το σκεπτικό προτείνεται η ακόλουθη αλλαγή στην παράγραφο 3.
«3. Για την πρόσβαση στο δίκτυο, ο φορέας ως υπεύθυνος επεξεργασίας δεδομένων διασφαλίζει ότι υπάρχει δυνατότητα ασφαλούς απομακρυσμένης πρόσβασης σε πόρους πληροφοριακών συστημάτων του φορέα, καθορίζει τους περιορισμούς σύμφωνα με τους οποίους επιτρέπεται η απομακρυσμένη πρόσβαση, διασφαλίζει τη σύνδεση σε υπολογιστικά συστήματα του φορέα μέσω υπηρεσίας «απομακρυσμένης επιφάνειας εργασίας» (ΑΡΧΗ ΑΛΛΑΓΗΣ) είτε μέσω προγραμμάτων τηλεχειρισμού με κρυπτογραφημένη και προστατευμένη δρομολόγηση των δεδομένων του χρήστη απευθείας προς το δίκτυο του φορέα, είτε μέσω σύνδεσης εικονικού ιδιωτικού δικτύου με κρυπτογραφημένη και προστατευμένη δρομολόγηση δεδομένων (ΤΕΛΟΣ ΑΛΛΑΓΗΣ), εγκαθιστά ασφαλές πρωτόκολλο ασύρματης σύνδεσης με ισχυρό κωδικό στη συσκευή τηλεργασίας που χρησιμοποιεί ο τηλεργαζόμενος, όταν ο τελευταίος συνδέεται στο διαδίκτυο μέσω ασύρματου δικτύου, και διασφαλίζει ότι αποφεύγεται η χρήση αρχείων με δεδομένα προσωπικού χαρακτήρα σε υπηρεσίες προσωπικής διαδικτυακής αποθήκευσης των τηλεργαζόμενων.»