Πως προστατεύεται η ιδιωτική ζωή των υπαλλήλων σε καθεστώς τηλεργασίας;

Οι διευκρινίσεις από την κατευθυντήρια οδηγία της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα

Μπορεί ο εργοδότης να παρακολουθεί διαρκώς τον εργαζόμενο μέσω κάμερας κατά την διάρκεια της τηλεργασίας; Είναι υποχρεωμένος ο εργαζόμενος να έχει διαρκώς ανοιχτή την κάμερα κατά την διάρκεια τηλεδιάσκεψης με τον εργοδότη; Μπορεί ο εργοδότης να καλεί τον εργαζόμενο μετά το πέρας της τηλεργασίας; Που σταματά το διευθυντικό δικαίωμα του εργοδότη πάνω στον εργαζόμενο; Πως εν τέλει προστατεύεται η ιδιωτική ζωή του εργαζόμενου από τον εργοδότη σε καθεστώς τηλεργασίας; Σε αυτά τα ερωτήματα απαντά η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) με την τελευταία κατευθυντήρια οδηγία της που αφορά στην εφαρμογή των νόμων για την τηλεργασία σε Δημόσιο και Ιδιωτικό τομέα.

Με την επισήμανση ότι λόγω της ανισότητας απασχολούμενου και εργοδότη «η οργάνωση του τρόπου της τηλεργασίας δεν πρέπει να οδηγεί σε ανισότητες και διακρίσεις (μισθολογικές, ευκαιρίες επαγγελματικής ανέλιξης, συμμετοχή σε προγράμματα επαγγελματικής κατάρτισης) και να θίγει εργασιακά, ασφαλιστικά και κοινωνικά δικαιώματα των απασχολούμενων», η ΑΠΔΠΧ υπογραμμίζει ότι η τηλεργασία «δεν πρέπει σε καμία περίπτωση να έρχεται σε ευθεία προσβολή του δικαιώματος στην προσωπικότητα».

Σε αυτό το πνεύμα, η κατευθυντήρια οδηγία της Αρχής προσδιορίζει επ’ ακριβώς τις υποχρεώσεις του υπεύθυνου επεξεργασίας, δηλαδή του εργοδότη, προκειμένου αυτός «να προσαρμόζεται διαρκώς στις νέες συνθήκες που δημιουργούνται κατά την οργάνωση της εργασίας από απόσταση». Ταυτόχρονα, ο υπεύθυνος επεξεργασίας πρέπει «να αποδεικνύει τη συμμόρφωση του στο πλαίσιο της αρχής της λογοδοσίας».

Τα όρια της επιτήρησης των εργαζομένων

Στο σκέλος της άσκησης του διευθυντικού δικαιώματος του εργοδότη για την επιτήρηση των εργαζομένων κατά την εκτέλεση των καθηκόντων τους, η ΑΠΔΠΧ επικαλείται την «αρχή της αναλογικότητας». Ιδίως για την επιτήρηση μέσω λειτουργίας της κάμερας του Η/Υ και τη χρήση του σχετικού λογισμικού, η Αρχή επισημαίνει ότι από τους τελευταίους δυο νόμους είναι θεσπισμένες οι απαγορεύσεις στην χρήση κάμερας (web cam), για τον έλεγχο της απόδοσης του εργαζομένου.

Στο μεν νόμο για την τηλεργασία στο Δημόσιο (Ν. 4807/2021) ορίζεται ότι «δεν επιτρέπεται η χρήση συστημάτων λήψης και εγγραφής κινούμενων εικόνων του τηλεργαζόμενου (κάμερα) που είναι ενσωματωμένα στη συσκευή τηλεργασίας, κατά τη διενέργεια τηλεδιασκέψεων και για τον έλεγχο της απόδοσης του τηλεργαζόμενου. Αν τεθεί σε λειτουργία οποιοδήποτε σύστημα, αυτό πρέπει να επιβάλλεται από τις λειτουργικές ανάγκες της εργασίας που παρέχει ο φορέας και να περιορίζεται στο πλαίσιο του επιδιωκόμενου σκοπού».

Στον δε νόμο για την τηλεργασία στον Ιδιωτικό Τομέα (Ν. 4808/2021) ορίζεται ότι «ο εργοδότης ελέγχει την απόδοση του εργαζομένου κατά τρόπο, που σέβεται την ιδιωτική του ζωή και είναι σύμφωνος με την προστασία των δεδομένων προσωπικού χαρακτήρα. Απαγορεύεται η χρήση της κάμερας (web cam) για τον έλεγχο της απόδοσης του εργαζομένου». Η ΑΠΔΠΧ υπογραμμίζει ότι «η νομιμότητα λήψης κάθε τέτοιου σχετικού μέτρου» από την χρήση κάμερας «συνιστά επεξεργασία προσωπικών δεδομένων προϋποθέτει την προηγούμενη ενημέρωση του υποκειμένου των δεδομένων».

Η χρήση κάμερας στις τηλεδιασκέψεις

Παράλληλα, η Αρχή ορίζει ότι για τους εργαζόμενους δεν είναι υποχρεωτική η διαρκής χρήση κάμερας στις τηλεδιασκέψεις. Διευκρινίζει, μάλιστα, ότι «ο απασχολούμενος εξ αποστάσεως τόσο δημόσιο, όσο και στον ιδιωτικό τομέα, δικαιούται, κατ’ εφαρμογή της αρχής της ελαχιστοποίησης των δεδομένων, να ενεργοποιεί τη δυνατότητα της χρησιμοποιούμενης πλατφόρμας, για συμμετοχή του σ’ αυτή μόνο μέσω μικροφώνου, και όχι συνεχώς κατά τη διάρκεια πραγματοποίησής της μέσω κάμερας, ιδίως όταν συντρέχουν λόγοι που το επιβάλλουν (π.χ. προστασία της ανηλικότητας)».

Επιπλέον, η Αρχή υπογραμμίζει ότι «ο απασχολούμενος εξ αποστάσεως μπορεί να επιλέγει δυνατότητες της χρησιμοποιούμενης πλατφόρμας, που να του επιτρέπουν την απόκρυψη φόντου (background) με θόλωση ή με προσθήκη εικόνας (virtual background), προκειμένου να αποφευχθεί ο κίνδυνος αποκάλυψης προσωπικών πληροφοριών που μπορεί να προκύψουν από την θέαση».

Σύμφωνα, μάλιστα, με την Αρχή «ο εργοδότης παραμένει υπεύθυνος για την ασφάλεια των προσωπικών δεδομένων που υφίστανται επεξεργασία από την επιχείρηση ή τον οργανισμό, ακόμη και όταν αποθηκεύονται σε τερματικούς σταθμούς στους οποίους δεν έχει φυσικό έλεγχο ή ιδιοκτησία, αλλά για τους οποίους έχει εξουσιοδοτήσει την πραγματοποίηση ρυθμίσεων ώστε να έχουν  πρόσβαση σε δεδομένα οι εργαζόμενοι».

Η κατοχύρωση του δικαιώματος στην αποσύνδεση

Μπορεί στην πραγματικότητα χιλιάδων εργαζομένων το δικαίωμα στην αποσύνδεση να καταπατάται από τους εργοδότες με πάρα πολλούς τρόπους, όμως η νομοθεσία, όπως και κατευθυντήρια οδηγία της ΑΠΔΠΧ το κατοχυρώνει ως «θεμελιώδες εργασιακό δικαίωμα». «Ο απασχολούμενος εξ αποστάσεως έχει το δικαίωμα μετά το πέρας του χρόνου κατά τον οποίο έχει υποχρέωση παροχής εργασίας να αποσυνδέεται, χωρίς σε βάρος του επιπτώσεις, από τα ψηφιακά μέσα (λογισμικά, ψηφιακή πλατφόρμα, κοινωνικά δίκτυα, ασύρματες συνδέσεις, ηλεκτρονικά μηνύματα, internet/intranet) που χρησιμοποιούνται για την οργάνωση της απασχόλησης», αναφέρει ξεκάθαρα η Αρχή στην κατευθυντήρια οδηγία της.

Επικαλούμενη το Σύνταγμα και την Ευρωπαϊκή Σύμβαση των Δικαιωμάτων του Ανθρώπου, η Αρχή ξεκαθαρίζει ότι: «Το δικαίωμα στην ψηφιακή αποσύνδεση μετά το πέρας του χρόνου εργασίας αποτελεί θεμελιώδες δικαίωμα των εργαζομένων, ζωτικής σημασίας και άμεσα συνδεδεμένο τόσο με το θεμελιώδες δικαίωμα της προστασίας της ιδιωτικότητας, των προσωπικών δεδομένων, του δικαιώματος στον ιδιωτικό βίο και του σεβασμού στην ιδιωτική και οικογενειακή ζωή».

Η διαφύλαξη της εμπιστευτικότητας των δεδομένων του φορέα απασχόλησης

Σοβαρό ζήτημα γεννάται και με την διαφύλαξη της εμπιστευτικότητας των δεδομένων του φορέα απασχόλησης από την πλευρά του εργαζόμενου. Τι συμβαίνει δηλαδή εάν εν αγνοία του ο εργαζόμενος θέσει σε έκθεση στοιχεία που αφορούν την λειτουργία του φορέα απασχόλησης; Πρόκειται για ένα σύνθετο ζήτημα, που όμως με βάση τη νομοθεσία βαρύνει και τις δυο πλευρές, δηλαδή και του εργοδότη. Στην κατευθυντήρια εγκύκλιο της ΑΠΔΠΧ διευκρινίζεται ότι συνίσταται «διαρκής υποχρέωση του υπευθύνου επεξεργασίας», δηλαδή του εργοδότη «για τη λήψη τεχνικών μέτρων ασφάλειας και τη σχετική ενημέρωση των απασχολούμενων, με αξιοποίηση των υπηρεσιών του Υπεύθυνου Προστασίας Δεδομένων της επιχείρησης ή του οργανισμού». Από την πλευρά του ο εργαζόμενος έχει την «υποχρέωση τήρησης απορρήτου- εχεμύθειας – πίστης κατά τρόπο που να διασφαλίζεται ότι τρίτοι προς τη σχέση απασχόλησης (π.χ. μέλη οικογένειας) δεν αποκτούν πρόσβαση στα αρχεία του οργανισμού ή της επιχείρησης». Παράλληλα, επισημαίνεται ότι «ο υπεύθυνος επεξεργασίας ευθύνεται για την ασφαλή επεξεργασία των προσωπικών δεδομένων στο πλαίσιο της λειτουργίας της επιχείρησης που λαμβάνει χώρα μέσω των συστημάτων υλικού και λογισμικού της εταιρίας, δικτύων VPN κ.λπ. των οποίων κάνουν χρήση οι εργαζόμενοι, συμπεριλαμβανομένων των αποθηκευμένων σε τερματικές συσκευές, διακομιστές κ.λπ., είτε ανήκουν στην επιχείρηση, είτε στους ίδιους τους υπαλλήλους».

Προστασία του ηλεκτρονικού ταχυδρομείου

Στην κατευθυντήρια οδηγία υπάρχει πρόβλεψη και για την προστασία του προσωπικού ηλεκτρονικού ταχυδρομείου του εργαζομένου. Συστήνεται ότι «πρέπει να αποφεύγεται η προώθηση μηνυμάτων ηλεκτρονικού ταχυδρομείου, τόσο από την επιχείρηση ή τον οργανισμό όσο και από τον εξ αποστάσεως απασχολούμενο στην προσωπική ηλεκτρονική διεύθυνση του τελευταίου, ιδίως όταν δεν πραγματοποιείται κρυπτογράφηση του περιεχόμενου του μηνύματος». Επίσης, «η εκτύπωση υπηρεσιακών/εταιρικών εγγράφων στην οικία του απασχολούμενου ή σε τόπο/χώρο άλλο πέραν του χώρου εργασίας πρέπει να πραγματοποιείται κατά τρόπο που να διασφαλίζεται ότι δεδομένα προσωπικά χαρακτήρα δεν μπορούν να διαρρεύσουν σε τρίτα μη δικαιούμενα πρόσωπα».

Για προστασία από τις διαδικτυακές επιθέσεις

Στην περίπτωση των διαδικτυακών επιθέσεων ή κυβερνοεπιθέσεων, η ΑΠΔΠΧ διευκρινίζει ότι «ο υπεύθυνος επεξεργασίας οφείλει να λάβει τα κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως η χρήση κατάλληλων εργαλείων εντοπισμού κακόβουλου λογισμικού, η επαρκής διαχείριση ενημερώσεων λογισμικού στις συσκευές μέσω των οποίων πραγματοποιείται η τηλεργασία, καθώς και η κατάλληλη διαδικασία λήψης αντιγράφων ασφαλείας». Επίσης, ο υπεύθυνος επεξεργασίας «οφείλει να παρέχει τα μέσα για να εξακριβωθεί εάν τα μηνύματα που λαμβάνονται μέσω ηλεκτρονικού ταχυδρομείου ή με άλλα μέσα επικοινωνίας είναι αυθεντικά και αξιόπιστα». Παράλληλα, οι εργαζόμενοι «πρέπει να εκπαιδευτούν ώστε να αναγνωρίζουν απόπειρες τέτοιων επιθέσεων (π.χ. αναγνώριση των ’ύποπτων’ μηνυμάτων ηλεκτρονικού ταχυδρομείου), πότε έχει πραγματοποιηθεί μια τέτοια επίθεση και να γνωρίζουν την υποχρέωσή τους να το αναφέρουν αμέσως στον υπεύθυνο ασφαλείας ή και στον υπεύθυνο προστασίας δεδομένων, βάσει μίας σαφώς καταγεγραμμένης διαδικασίας διαχείρισης περιστατικών παραβίασης δεδομένων», αναφέρεται στην ίδια κατευθυντήρια οδηγία.

(Δημοσιεύεται εμπλουτισμένο σε σχέση με την αρχική του εκδοχή, που εκδόθηκε στην έντυπη εφημερίδα «Η ΑΥΓΗ»)

ilektrav.gr – ΗΛΕΚΤΡΑ ΒΙΣΚΑΔΟΥΡΑΚΗ