Με το νέο Προεδρικό διάταγμα 13/2025 θεσπίζονται οι όροι και οι προϋποθέσεις της επεξεργασίας δεδομένων προσωπικού χαρακτήρα κατά την τηλεργασία στον δημόσιο τομέα κατά την εφαρμογή των διατάξεων του ν. 4807/2021 «Θεσμικό πλαίσιο τηλεργασίας, διατάξεις για το ανθρώπινο δυναμικό του δημοσίου τομέα και άλλες επείγουσες ρυθμίσεις.», εξειδικεύονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας για την προστασία των δεδομένων προσωπικού χαρακτήρα των τηλεργαζόμενων και τρίτων φυσικών προσώπων, καθορίζονται οι υποχρεώσεις των Φορέων ως υπευθύνων επεξεργασίας και ρυθμίζεται κάθε άλλη αναγκαία λεπτομέρεια για την προστασία των δεδομένων προσωπικού χαρακτήρα κατά την εκτέλεση της τηλεργασίας, σύμφωνα με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (εφεξής «ΓΚΠΔ») και τον ν. 4624/2019.
Υποχρεώσεις Φορέα σύμφωνα με το άρθρο 5 του π.δ/τος
1. Ο Φορέας, υπό την ιδιότητά του ως Υπευθύνου Επεξεργασίας σύμφωνα με την παρ. 3 του άρθρου 6 του ν. 4807/2021, εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως αυτά προβλέπονται στον ΓΚΠΔ και την εθνική νομοθεσία και, ιδίως, τον ν. 4624/2019, προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων για τα δεδομένα προσωπικού χαρακτήρα. Τα εφαρμοζόμενα τεχνικά και οργανωτικά μέτρα κατά την υλοποίηση της τηλεργασίας στον δημόσιο τομέα εξειδικεύονται στο άρθρο 8 του παρόντος.
Η διενέργεια εκτίμησης επιπτώσεων (αντικτύπου) κατά την παρ. 1 του άρθρου 35 του ΓΚΠΔ, η εκπόνηση πολιτικής ορθής χρήσης εφαρμογής, πολιτικής ασφάλειας λειτουργίας εφαρμογής και πολιτικής για ανταπόκριση στα συμβάντα ασφάλειας για μετριασμό και αποκατάσταση απειλών, εκπονούνται από τον Φορέα, με την επιφύλαξη των διατάξεων της παρ. 9 του άρθρου 6 του ν. 4807/2021, πριν από την έκδοση της απόφασης τηλεργασίας, όπως προβλέπεται ειδικότερα στο άρθρο 14 του Κεφαλαίου Ε’ του ν. 4807/2021.
2. Σε περίπτωση που κατά την παροχή τηλεργασίας λαμβάνει χώρα διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες, ο Φορέας επιλέγει και χρησιμοποιεί ηλεκτρονικές εφαρμογές, λαμβάνοντας υπόψη τις διατάξεις του Κεφαλαίου V του ΓΚΠΔ, και ειδικότερα τα άρθρα 44 επ. αυτού, για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες.
3. Η υπηρεσία του Φορέα που είναι αρμόδια για την παροχή εξοπλισμού και την πληροφοριακή υποστήριξη, προμηθεύει τον τηλεργαζόμενο με τον τηλεπικοινωνιακό εξοπλισμό και την τεχνολογική συσκευή (εφεξής
«Σταθμός Τηλεργασίας») που είναι απαραίτητα και κατάλληλα για την αποτελεσματική εκτέλεση των καθηκόντων του μέσω τηλεργασίας. Ο Σταθμός Τηλεργασίας που παρέχει ο Φορέας χρησιμοποιείται από τον τηλεργαζόμενο αποκλειστικά και μόνο στο πλαίσιο άσκησης των καθηκόντων του προς τον Φορέα, τηρώντας κατ’ ελάχιστον τα μέτρα που προβλέπονται στο άρθρο 9 του παρόντος και τις σχετικές πολιτικές ασφάλειας που του κοινοποιεί ο Φορέας.
4. Ο Φορέας παρέχει στον τηλεργαζόμενο οδηγίες για την κατάλληλη χωροθέτηση και διαμόρφωση του Σταθμού Τηλεργασίας, τις πολιτικές ασφαλείας και τους όρους χρήσης του Σταθμού Τηλεργασίας, καθώς και εκπαίδευση και τεχνική υποστήριξη για την εγκατάσταση και ορθή χρήση του, ώστε να διασφαλίζονται, σε κάθε περίπτωση, οι ελάχιστες προϋποθέσεις εργονομίας και ασφάλειας. Κάθε τηλεργαζόμενος απευθύνεται για οποιοδήποτε θέμα αφορά τον Σταθμό Τηλεργασίας, τη χρήση και την ασφάλειά του στην αρμόδια υπηρεσία του Φορέα που παρέχει εξειδικευμένη τεχνική υποστήριξη.
5. Εφόσον ο Φορέας δεν έχει τη δυνατότητα να παράσχει Σταθμό Τηλεργασίας, ο τηλεργαζόμενος δύναται, εφόσον το επιθυμεί, να κάνει χρήση του προσωπικού του τεχνολογικού εξοπλισμού, υπό τους όρους που τίθενται στην παρ. 3 του άρθρου 8 του παρόντος. Η χρήση προσωπικού εξοπλισμού του τηλεργαζόμενου επιτρέπεται μόνο έπειτα από απόφαση του Φορέα, σύμφωνα με τα οριζόμενα στην παρ. 1 του άρθρου 12 και την περ. γ του άρθρου 15 του ν. 4807/2021, αφού συνεκτιμηθούν τα οφέλη και οι κίνδυνοι που δημιουργούνται από τη χρήση αυτή. Ο Φορέας οφείλει να προσδιορίσει τους κινδύνους, λαμβάνοντας υπόψη τις ιδιαιτερότητες της εκάστοτε περίπτωσης, ήτοι τον εξοπλισμό, τις τεχνικές εφαρμογές, το είδος και τη φύση των δεδομένων, και να τους εκτιμήσει ως προς τη σοβαρότητα και την πιθανότητα εμφάνισης περιστατικών παραβίασης, προκειμένου να καθορίσει τα μέτρα που πρέπει να ληφθούν και να ενταχθούν στην πολιτική ασφάλειας. Στην απόφαση του Φορέα περιλαμβάνονται και τα τεχνικά και οργανωτικά μέτρα ασφάλειας, τα οποία λαμβάνονται πριν την έναρξη της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Ο Φορέας φέρει τις υποχρεώσεις που αναφέρονται στις κατευθυντήριες γραμμές 1/2021 της ΑΠΔΠΧ (σημ. 11) και ιδίως εφαρμόζει τα κατάλληλα ανά περίπτωση τεχνικά και οργανωτικά μέτρα ασφάλειας. Όσον αφορά στη χρήση προσωπικών συσκευών («bring your own device» «φέρε τη δική σου συσκευή» B.Y.O.D.) των τηλεργαζόμενων και για την πρόσβαση στο δίκτυο, ο Φορέας παραμένει υπεύθυνος για την ασφάλεια των προσωπικών δεδομένων που υφίστανται επεξεργασία από τον Φορέα ακόμη και όταν αποθηκεύονται σε τερματικούς σταθμούς, στους οποίους δεν έχει φυσικό έλεγχο ή ιδιοκτησία, αλλά για τους οποίους έχει εξουσιοδοτήσει την πραγματοποίηση ρυθμίσεων, ώστε να έχουν πρόσβαση σε δεδομένα οι εργαζόμενοι. Δεν επιτρέπεται ο τηλεργαζόμενος να καταγράφει σε προσωπική του συσκευή που χρησιμοποιεί για τηλεργασία (B.Y.O.D.) ήχο ή εικόνα από τις τηλεδιασκέψεις, στις οποίες συμμετέχει. Ο Φορέας απαγορεύεται να έχει πρόσβαση σε δεδομένα ειδικής κατηγορίας σε προσωπική συσκευή του τηλεργαζόμενου που χρησιμοποιεί για την τηλεργασία (B.Y.O.D.).
Ο Φορέας, λαμβάνοντας υπόψη τις ανωτέρω πολιτικές, δύναται να αποκλείει τη δυνατότητα πρόσβασης σε ηλεκτρονικά συστήματα που χαρακτηρίζονται ως κρίσιμα ή ευαίσθητα, σε περίπτωση χρήσης προσωπικού εξοπλισμού από τηλεργαζόμενους.
6. Ο Φορέας, με τη συνδρομή του Υπεύθυνου Προστασίας Δεδομένων που έχει ορίσει, είναι υπεύθυνος να ενημερώνει επαρκώς, να εκπαιδεύει και να επικουρεί τους τηλεργαζόμενους στην εφαρμογή των πολιτικών και των διαδικασιών για την προστασία των δεδομένων προσωπικού χαρακτήρα. Μεταξύ άλλων, ο Φορέας παρέχει οδηγίες και ενημέρωση στους τηλεργαζόμενους, σε κατανοητή και εύκολα προσβάσιμη μορφή, σχετικά με την ασφαλή διαμόρφωση και χρήση του εξοπλισμού τους, τη χρήση ισχυρών κωδικών πρόσβασης, την ασφαλή χρήση του ηλεκτρονικού ταχυδρομείου και εξωτερικών μέσων αποθήκευσης, καθώς και την τήρηση μέτρων για την εν γένει ασφαλή πλοήγηση στο διαδίκτυο.
7. Ο Φορέας μπορεί να λαμβάνει τα αναγκαία μέτρα προκειμένου να ασκεί τον αναγκαίο και πρόσφορο έλεγχο για την παρεχόμενη εργασία. Ο Φορέας μπορεί να έχει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα των εργαζομένων στο πλαίσιο των εργασιακών σχέσεων μέσω ηλεκτρονικών μέσων, να οριοθετεί και να θέτει περιορισμούς στον τρόπο χρήσης της υποδομής υπολογιστών και επικοινωνιών του, τηρουμένης της αρχής της αναλογικότητας. Οι προϋποθέσεις, οι όροι και οι διαδικασίες πρόσβασης του Φορέα στα παραπάνω δεδομένα προσωπικού χαρακτήρα, καθώς και οι τιθέμενοι περιορισμοί, περιλαμβάνονται στην πολιτική του, η οποία πρέπει να γνωστοποιείται στους τηλεργαζόμενους πριν από την έναρξη της τηλεργασίας.
Υποχρεώσεις τηλεργαζόμενου σύμφωνα με το άρθρο 9 του π.δ/τος
1. Ο τηλεργαζόμενος είναι υπεύθυνος για την τήρηση του συνόλου των πολιτικών για την ασφάλεια των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία.
2. Ο τηλεργαζόμενος οφείλει να τηρεί απαρέγκλιτα τις πολιτικές και τις διαδικασίες ασφάλειας των δεδομένων προσωπικού χαρακτήρα που του έχουν κοινοποιηθεί από τον Φορέα σε σχέση με τις εφαρμογές τηλεργασίας, καθώς και την πολιτική απομακρυσμένης πρόσβασης και ορθής χρήσης προσωπικού εξοπλισμού.
3. Κατά την παροχή τηλεργασίας εφαρμόζονται οι διατάξεις του ν. 3528/2007 (Α’ 26) όσον αφορά την υποχρέωση εχεμύθειας για γεγονότα ή πληροφορίες, των οποίων ο τηλεργαζόμενος λαμβάνει γνώση κατά την εκτέλεση των καθηκόντων του ή επ’ ευκαιρία αυτής, καθώς και όσον αφορά τη χρήση του Σταθμού Τηλεργασίας. Ειδικότερα, κατά την παροχή της τηλεργασίας ο τηλεργαζόμενος δεσμεύεται από την υποχρέωση τήρησης εχεμύθειας κατ’ εφαρμογή του άρθρου 26 του ν. 3528/2007 και κάθε άλλης οικείας διάταξης νόμου και υποχρεούται να διασφαλίσει ότι τρίτα προς τη σχέση απασχόλησης πρόσωπα, όπως ενδεικτικά τα μέλη της οικογένειάς του, δεν αποκτούν πρόσβαση στα αρχεία του Φορέα. Η εκτύπωση εγγράφων του Φορέα στην οικία του τηλεργαζόμενου ή σε οποιονδήποτε χώρο πέραν του χώρου εργασίας πραγματοποιείται με ευθύνη του τηλεργαζόμενου, κατά τρόπο που να διασφαλίζεται ότι δεδομένα προσωπικού χαρακτήρα δεν μπορούν να γνωστοποιηθούν σε τρίτα μη δικαιούμενα πρόσωπα. Στην περίπτωση της μη προσήκουσας χρήσης των Σταθμών Τηλεργασίας εφαρμόζονται οι διατάξεις των άρθρων 107 επ. του ν. 3528/2007.
4. Η τηλεργασία μπορεί να παρασχεθεί από οποιονδήποτε χώρο εκτός των εγκαταστάσεων του Φορέα, όπου υπηρετεί ο τηλεργαζόμενος, καθώς και από την οικία του και εντός των συνόρων των κρατών μελών του Συμβουλίου της Ευρώπης, υπό την προϋπόθεση έγκρισης από τον εκάστοτε Προϊστάμενο Διεύθυνσης του Φορέα, σύμφωνα με το άρθρο 14 του ν. 4807/2021. Ο τηλεργαζόμενος οφείλει να διασφαλίσει ότι ο επιλεγόμενος χώρος πληροί τις ελάχιστες απαιτούμενες προδιαγραφές που καθιστούν εφικτή την απρόσκοπτη και αποτελεσματική εκτέλεση των καθηκόντων του μέσω τηλεργασίας και ότι συνάδει με τους γενικούς κανόνες πρόληψης, υγιεινής και ασφάλειας. Σε περίπτωση που ο Φορέας κατ’ εξαίρεση εγκρίνει την παροχή της τηλεργασίας εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ), πρέπει να διενεργεί ειδική εκτίμηση αντικτύπου για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός ΕΟΧ.
5. Σε περίπτωση προγραμματισμένης τηλεδιάσκεψης, ο υπερσύνδεσμος (hyperlink) αυτής πρέπει να τηρείται εμπιστευτικός και να μην κοινοποιείται σε οποιονδήποτε τρίτο ή να δημοσιοποιείται.
Δείτε ολόκληρο το Προεδρικό διάταγμα 13/2025 από το αρχείο του κόμβου