Με το Π.Δ.13/2025 που δημοσιεύθηκε στο ΦΕΚ ορίζεται το πλαίσιο της προστασίας δεδομένων προσωπικού χαρακτήρα κατά την τηλεργασία στον δημόσιο τομέα.
Ειδικότερα:
Άρθρο 1
Αντικείμενο
Με το παρόν διάταγμα θεσπίζονται οι όροι και οι προϋποθέσεις της επεξεργασίας δεδομένων προσωπικού χαρακτήρα κατά την τηλεργασία στον δημόσιο τομέα κατά την εφαρμογή των διατάξεων του ν. 4807/2021 (Α΄ 96), εξειδικεύονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας για την προστασία των δεδομένων προσωπικού χαρακτήρα των τηλεργαζόμενων και τρίτων φυσικών προσώπων, καθορίζονται οι υποχρεώσεις των Φορέων ως υπευθύνων επεξεργασίας και ρυθμίζεται κάθε άλλη αναγκαία λεπτομέρεια για την προστασία των δεδομένων προσωπικού χαρακτήρα κατά την εκτέλεση της τηλεργασίας, σύμφωνα με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (εφεξής «ΓΚΠΔ») και τον ν. 4624/2019 (Α΄ 137).
Άρθρο 2
Ορισμοί
Για την εφαρμογή του παρόντος, ισχύουν οι ορισμοί των άρθρων 3 και 4 του ν. 4807/2021.
Άρθρο 3
Αντικείμενο ρύθμισης και νομικές βάσεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα
1. Αντικείμενο ρύθμισης του παρόντος αποτελεί η προστασία των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων που παρέχουν την τηλεργασία στον δημόσιο τομέα, τόσο σε κανονικές όσο και σε έκτακτες συνθήκες, μέσω της αξιοποίησης των τεχνολογιών πληροφορικής και επικοινωνιών.
2. Ο εκάστοτε Φορέας υποβάλλει σε επεξεργασία τα δεδομένα προσωπικού χαρακτήρα του προσωπικού κατά την τηλεργασία, προς τον σκοπό εφαρμογής των διατάξεων των άρθρων 1-18 του ν. 4807/2021 που προβλέπουν την τηλεργασία στον δημόσιο τομέα. Νομική βάση της επεξεργασίας είναι η περ. β της παρ. 3 του άρθρου 6 του ΓΚΠΔ σε συνδυασμό με τα άρθρα 5 και 27 του ν. 4624/2019. Περαιτέρω, ο Φορέας υποβάλλει σε επεξεργασία τα προσωπικά δεδομένα του λοιπού προσωπικού, καθώς και λοιπών τρίτων φυσικών προσώπων (διοικουμένων), όταν αυτό είναι απαραίτητο για την άσκηση των καθηκόντων του και την εκπλήρωση της αποστολής του, που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που του έχει ανατεθεί, σύμφωνα με τις περ. γ και ε της παρ. 1 του άρθρου 6 του ΓΚΠΔ. Επίσης, υποβάλλει σε επεξεργασία προσωπικά δεδομένα τρίτων προσώπων, με τα οποία συνδέεται με συμβατική σχέση κατ’ εφαρμογή του άρθρου 6 παρ. 1 περ. β του ΓΚΠΔ.
3. Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα λαμβάνει χώρα για τον σκοπό της υλοποίησης της τηλεργασίας στον δημόσιο τομέα κατ’ εφαρμογή των διατάξεων του ν. 4807/2021. Οι κατηγορίες των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας προσδιορίζονται στο άρθρο 4 του παρόντος. Ο εκάστοτε Φορέας, ως Υπεύθυνος Επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, υποχρεούται να προβεί στην εκπόνηση μελέτης εκτίμησης αντικτύπου πριν από την έναρξη της τηλεργασίας, σύμφωνα με την παρ. 9 του άρθρου 6 του ν. 4807/2021.
4. Λαμβάνοντας υπόψη τη φύση των καθηκόντων του τηλεργαζόμενου και τις λειτουργικές ανάγκες του Φορέα, είναι δυνατή η επεξεργασία δεδομένων προσωπικού χαρακτήρα του τηλεργαζόμενου μέσω της χρήσης συστήματος παρακολούθησης του χρόνου εργασίας, αποκλειστικά για τον σκοπό της εφαρμογής της τηλεργασίας στον δημόσιο τομέα και ειδικότερα, αποκλειστικά, για τον ειδικότερο σκοπό της απόδειξης της τήρησης του νόμιμου ωραρίου. Η χρήση συστήματος παρακολούθησης του χρόνου εργασίας επιτρέπεται μόνο εφόσον είναι αδύνατη η παρακολούθηση της τήρησης του ωραρίου με ηπιότερα μέσα, και η χρήση του συστήματος αιτιολογείται επαρκώς ως ανάλογη του στόχου που υπηρετεί, περιορίζεται στο πλαίσιο του επιδιωκόμενου σκοπού και δεν προκύπτει από τη διενεργηθείσα εκτίμηση αντικτύπου ότι ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των τηλεργαζόμενων του Φορέα, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας. Ο Υπεύθυνος Επεξεργασίας πρέπει να υιοθετεί προς τη συγκεκριμένη κατεύθυνση μέτρα, τα οποία πρέπει να σέβονται τα θεμελιώδη δικαιώματα των τηλεργαζόμενων, σύμφωνα με την αρχή της αναλογικότητας και τις θεμελιώδεις αρχές που διέπουν την επεξεργασία των προσωπικών δεδομένων, αποκλείοντας μέτρα τα οποία παραβιάζουν τα ανωτέρω, καθώς και τις αποφάσεις της Αρχής Προστασίας Προσωπικών Δεδομένων (ΑΠΔΠΧ) και της Ομάδας Εργασίας του άρθρου 29 (ήδη Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων).
5. Ο Φορέας υποχρεούται, πριν από την έναρξη της τηλεργασίας, να κοινοποιεί στους τηλεργαζόμενους αναλυτικά τους σκοπούς επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, τις νομικές βάσεις της επεξεργασίας τους, τυχόν αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, το χρονικό διάστημα για το οποίο αποθηκεύονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και κάθε άλλη πληροφορία που απαιτείται, σύμφωνα με τα άρθρα 13 και 14 του ΓΚΠΔ.
Άρθρο 4
Κατηγορίες δεδομένων προσωπικού χαρακτήρα
1. Κατά την τηλεργασία, η επεξεργασία δεδομένων προσωπικού χαρακτήρα ενδέχεται να περιλαμβάνει τις παρακάτω κατηγορίες δεδομένων:
α) Δεδομένα ταυτότητας, όπως ονοματεπώνυμο, όνομα χρήστη.
β) Δεδομένα επικοινωνίας, όπως διεύθυνση ηλεκτρονικού ταχυδρομείου.
γ) Τεχνικά δεδομένα, όπως διεύθυνση πρωτοκόλλου διαδικτύου (IP).
δ) Σε περίπτωση διενέργειας τηλεδιασκέψεων, επεξεργασία / καταγραφή δεδομένων ήχου ή/και εικόνας, σύμφωνα με τους ειδικότερους ορισμούς του παρόντος άρθρου.
ε) Oποιοδήποτε άλλο προσωπικό δεδομένο σχετίζεται με τα καθήκοντα του Φορέα και είναι απαραίτητο για την άσκηση αυτών, σύμφωνα με την αρχή της ελαχιστοποίησης των δεδομένων, κατά τα οριζόμενα στην περ. γ της παρ. 1 του άρθρου 5 του ΓΚΠΔ, καθώς και τις λοιπές αρχές που διέπουν την επεξεργασία των προσωπικών δεδομένων και τα θεμελιώδη δικαιώματα των εργαζομένων.
Οι ως άνω κατηγορίες προσωπικών δεδομένων υποβάλλονται σε επεξεργασία εφόσον αυτό απαιτείται από τον τρόπο λειτουργίας της εκάστοτε εφαρμογής / συστήματος που επιλέγει ο Υπεύθυνος Επεξεργασίας.
2. Οι ως άνω κατηγορίες δεδομένων αφορούν τις ακόλουθες κατηγορίες υποκειμένων των δεδομένων:
α) Τους τηλεργαζόμενους.
β) Λοιπούς εργαζομένους του Φορέα.
γ) Τυχόν τρίτα πρόσωπα, τα δεδομένα των οποίων μπορεί να τύχουν επεξεργασίας στο πλαίσιο της τηλεργασίας, όπως ενδεικτικά συμμετεχόντων στις τηλεδιασκέψεις, και της άσκησης των καθηκόντων του Φορέα.
3. Ανάλογα με τις λειτουργικές ανάγκες του και στο πλαίσιο του σκοπού που του έχει ανατεθεί, εφόσον κρίνεται απολύτως αναγκαίο, ο Φορέας δύναται να καθορίζει και άλλες κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία στο πλαίσιο της τηλεργασίας, τηρώντας την αρχή της ελαχιστοποίησης των δεδομένων, σύμφωνα με την περ. γ της παρ. 1 του άρθρου 5 του ΓΚΠΔ, καθώς και τις λοιπές αρχές που διέπουν την επεξεργασία των προσωπικών δεδομένων και τα θεμελιώδη δικαιώματα των εργαζομένων.
4. Στις περιπτώσεις των τηλεδιασκέψεων, καταρχήν απαγορεύεται η επεξεργασία δεδομένων εικόνας και κινούμενης εικόνας (χρήση κάμερας). Η χρήση κάμερας επιτρέπεται μόνο εφόσον οι ειδικότερες συγκεκριμένες λειτουργικές ανάγκες της υπηρεσίας και η φύση της τηλεδιάσκεψης το δικαιολογούν και είναι σαφείς, νόμιμες και διαφανείς, λαμβάνοντας υπόψη τα τυχόν ειδικότερα οριζόμενα στην οικεία πολιτική προστασίας προσωπικών δεδομένων του Φορέα, καθώς και στην πολιτική για την απομακρυσμένη πρόσβαση και σε λοιπές πολιτικές που έχει υιοθετήσει ο Φορέας στο πλαίσιο της αρχής της λογοδοσίας. Σε περίπτωση που τυγχάνουν επεξεργασίας δεδομένα ήχου, η επεξεργασία αυτή περιορίζεται στην απολύτως απαραίτητη για τη διενέργεια τηλεδιασκέψεων. Η επεξεργασία δεδομένων ήχου ή/ και εικόνας του τηλεργαζόμενου με τη χρήση συστημάτων λήψης και εγγραφής ήχου ή/και κινούμενων εικόνων (μέσω καταγραφέα ήχου ή/και κάμερας) που είναι ενσωματωμένα στη συσκευή τηλεργασίας, είτε αυτή παρέχεται από τον Φορέα είτε αποτελεί προσωπικό εξοπλισμό του τηλεργαζόμενου, επιτρέπεται κατά τη διενέργεια τηλεδιασκέψεων για τον σκοπό της ορθής διεξαγωγής της τηλεργασίας και εφόσον απαιτείται από τη φύση και το αντικείμενο της τηλεδιάσκεψης, μόνο εφόσον επιβάλλεται από τις λειτουργικές ανάγκες της υπηρεσίας που παρέχει ο Φορέας, περιορίζεται στο πλαίσιο του επιδιωκόμενου σκοπού, είναι ανάλογη του στόχου που υπηρετεί και από τη διενεργηθείσα εκτίμηση αντικτύπου του παρόντος δεν προκύπτει ότι ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των τηλεργαζόμενων, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, λαμβάνοντας υπόψη τα τυχόν ειδικότερα οριζόμενα στην οικεία πολιτική προστασίας προσωπικών δεδομένων του Φορέα. Πριν από την έναρξη της καταγραφής θα πρέπει να ενημερώνονται σχετικά οι συμμετέχοντες και η ενημέρωση αυτή να καταγράφεται. Σε περίπτωση καταγραφής τηλεδιάσκεψης με τρίτο πρόσωπο/μέρος (πέραν του τηλεργαζόμενου) που πραγματοποιείται κατά τη διάρκεια νόμιμης επαγγελματικής πρακτικής με σκοπό την παροχή αποδεικτικών στοιχείων επαγγελματικής συναλλαγής ή άλλης επικοινωνίας επαγγελματικού χαρακτήρα, απαιτείται η, μετά από προηγούμενη ενημέρωση για τους σκοπούς της καταγραφής, προηγούμενη συγκατάθεση των τρίτων μερών της επικοινωνίας.
5. Στην περίπτωση επιτρεπόμενης καταγραφής της τηλεδιάσκεψης, η ενεργοποίηση της σχετικής λειτουργίας γίνεται αποκλειστικά από ειδικά εξουσιοδοτημένους χρήστες, οι οποίοι οφείλουν να ενημερώσουν τους συμμετέχοντες ότι η τηλεδιάσκεψη καταγράφεται εν όλω ή εν μέρει. Οι καταγραφές των τηλεδιασκέψεων γίνονται από τον Φορέα υποχρεωτικά σε κρυπτογραφημένη μορφή. Εφόσον η κρυπτογράφηση δεν καθίσταται τεχνικά εφικτή, μπορεί να λάβει χώρα καταγραφή της τηλεδιάσκεψης χωρίς κρυπτογράφηση, κατόπιν αιτιολογημένης απόφασης του Φορέα, μόνο κατ’ εξαίρεση, και υπό την προϋπόθεση ότι ο κίνδυνος για την προστασία των προσωπικών δεδομένων κρίνεται ως χαμηλός.
6. Στις περιπτώσεις που κρίνεται απαραίτητη η θέση σε λειτουργία της κάμερας από τον τηλεργαζόμενο, συστήνεται αυτός να επιλέγει δυνατότητες της χρησιμοποιούμενης πλατφόρμας που επιτρέπουν την απόκρυψη φόντου (background) με θόλωση ή με προσθήκη εικόνας (virtual background), προκειμένου να αποφευχθεί ο κίνδυνος αποκάλυψης προσωπικών πληροφοριών που μπορεί να προκύψουν από τη θέαση.
aftodioikisi.gr
