Skip to main content

COVID19: Τηλεργασία, κυβερνοέγκλημα και GDPR – Τι πρέπει να προσέχουμε

Πρώτη δημοσίευση: www.huffingtonpost.gr
Ημερομηνία πρώτης δημοσίευσης: 17/07/2020

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Κατά την κρίσιμη περίοδο του κορωνοϊού που διανύουμε, η τηλεργασία, ήτοι η εξ αποστάσεως εργασία, έχει καταστεί πλέον ο κανόνας για χιλιάδες επιχειρήσεις και εργαζόμενους του δημόσιου και του ιδιωτικού τομέα. Ολοένα και περισσότερα άτομα εργάζονται σε τακτική βάση από την οικία τους, με τη χρήση ηλεκτρονικών υπολογιστών, οι οποίοι συχνά συνδέονται με το δίκτυο του τόπου εργασίας τους. Η επιστράτευση συστημάτων τηλεσυνεργασίας, π.χ. τηλεδιάσκεψης, επίσης διαρκώς διευρύνεται. Εξαιτίας αυτού, πολύ μεγάλος όγκος προσωπικών δεδομένων, όπως δεδομένα πελατών, προμηθευτών, συνεργατών, αλλά και των ίδιων των τηλεργαζόμενων, τυγχάνει πλέον επεξεργασίας, ήτοι συλλογής, χρήσης, διαβίβασης κ.λπ., εξ αποστάσεως. 

Η ευρύτατη χρήση των νέων τεχνολογιών όμως, μέσω των οποίων λαμβάνουν χώρα οι ως άνω δραστηριότητες, γεννά νέους κινδύνους για την προστασία των προσωπικών δεδομένων. Είναι χαρακτηριστικό ότι λόγω αυτής, το κυβερνοέγκλημα τις τελευταίες ημέρες φαίνεται να ανθεί, «προσαρμοζόμενο» στις ειδικές συνθήκες που δημιουργεί ο κορωνοϊός. Έτσι, με πρόσφατες ανακοινώσεις της η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος επισημαίνει τις πολυάριθμες νέες περιπτώσεις διαδικτυακής απάτης που συνδέονται με την πανδημία. Κρούει επίσης τον κώδωνα του κινδύνου για τις απάτες μέσω παραβίασης λογαριασμών σε ιστοσελίδες κοινωνικής δικτύωσης, που πληθαίνουν. Σε όλα τα ως άνω σενάρια, οι δράστες επιτυγχάνουν πάντοτε να αποκτήσουν παρανόμως πρόσβαση σε προσωπικά δεδομένα, τα οποία στη συνέχεια χρησιμοποιούν για την εγκληματική δράση τους, προφανώς κόντρα στο γράμμα και το πνεύμα του GDPR. 

Από την οπτική γωνία των υποχρεώσεων των οργανισμών που υιοθετούν την τηλεργασία, υπενθυμίζεται ότι σύμφωνα με το άρθρο 24 του GDPR, ο εκάστοτε υπεύθυνος επεξεργασίας οφείλει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα, προκειμένου να διασφαλίζει ότι η επεξεργασία προσωπικών δεδομένων διενεργείται σύμφωνα με τον Γενικό Κανονισμό Προστασίας Δεδομένων. Περαιτέρω, σύμφωνα με το άρθρο 32 του GDPR, ο εκάστοτε υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία οφείλουν να εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφαλείας έναντι των κινδύνων για τα προσωπικά δεδομένα. Είναι αυτονόητο, άλλωστε, ότι ο GDPR εξακολουθεί να καλείται σε εφαρμογή τόσο για τον τηλεργαζόμενο όσο και για τον οργανισμό στον οποίο εργάζεται. Αμφότεροι οφείλουν να συμμορφώνονται στις ρυθμίσεις του, ασχέτως της πανδημίας.

Ποια μέτρα πρέπει να λάβουν, λοιπόν, οι τηλεργαζόμενοι και οι οργανισμοί στους οποίους εργάζονται, ώστε να προστατέψουν τα προσωπικά δεδομένα που συνδέονται με αυτή; Ιδιαίτερα χρήσιμες είναι οι συμβουλές του Υπουργείου Ψηφιακής Διακυβέρνησης για την ασφαλή εργασία στο σπίτι από τη σκοπιά του τηλεργαζόμενου, υπό τον τίτλο «Συμβουλές για την ασφαλή εργασία από το σπίτι». Ομοίως, μεγάλο ενδιαφέρον παρουσιάζει και ο σχετικός Οδηγός του Συνδέσμου Επιχειρήσεων και Βιομηχανιών για την τηλεργασία από τη σκοπιά κυρίως των επιχειρήσεων, υπό τον τίτλο «Τηλεργασία: Q&A και Οδηγός Εφαρμογής». Αμφότερα τα κείμενα δημοσιεύθηκαν τον Μάρτιο.

Κατά το Υπουργείο Ψηφιακής Διακυβέρνησης προτείνονται, μεταξύ άλλων, τα ακόλουθα μέτρα (αποδιδόμενα επιλεκτικά στο παρόν με κριτήριο τη σπουδαιότητά τους, με την πλήρη προσέγγιση του οικείου κειμένου να είναι επιβεβλημένη):

1. Η χρήση εφαρμογών που παρέχουν πλήρη κρυπτογράφηση στην επικοινωνία για την αποστολή ευαίσθητων πληροφοριών.

2. Η ενεργοποίηση της δυνατότητας σύνδεσης με την ταυτοποίηση δύο βημάτων για κάθε λογαριασμό που ο τηλεργαζόμενος διατηρεί.

3. Η ενεργοποίηση στο κινητό τηλέφωνο της λειτουργίας πρόσβασης σε online υπηρεσίες με χρήση βιομετρικών δεδομένων.

4. Η μη διακίνηση διευθύνσεων και οδηγιών μέσω των κοινωνικών δικτύων για τη συμμετοχή σε τηλεδιάσκεψη.

5. Η μη χρήση ανοικτών ασύρματων δικτύων, τα οποία είναι περισσότερο ευάλωτα σε κακόβουλες ενέργειες.

6. Η χρήση ισχυρών κωδικών πρόσβασης και λογισμικού προστασίας στον οικείο εξοπλισμό.

Κατά τον Σύνδεσμο Επιχειρήσεων και Βιομηχανιών, προτείνονται ιδίως για τις επιχειρήσεις, μεταξύ άλλων, οι εξής ενέργειες (αποδιδόμενες επιλεκτικά στο παρόν με κριτήριο τη σπουδαιότητά τους, με την πλήρη προσέγγιση του οικείου κειμένου να είναι επίσης επιβεβλημένη):

1. Η χρήση VPN.

2. Ο αυστηρός περιορισμός των υπολογιστών που συνδέονται στα εταιρικά συστήματα.

3. Ο έλεγχος πρόσβασης σε απαγορευμένες ιστοσελίδες από τους υπολογιστές της τηλεργασίας, σύμφωνα με την αντίστοιχη πολιτική.

4. Η επιβολή περιορισμών στα προγράμματα λογισμικού που εγκαθίστανται στους υπολογιστές της τηλεργασίας.

5. Ο περιορισμός στη διακίνηση δεδομένων και τα σχετικά μέσα αποθήκευσης που χρησιμοποιούνται.

6. Ο περιορισμός στα πληροφοριακά συστήματα που είναι προσβάσιμα στον τηλεργαζόμενο.

Συνοψίζοντας, η παράθεση των ως άνω προτάσεων καθιστά εμφανή τα χαρακτηριστικά του πλέγματος των μέτρων που πρέπει να εφαρμοστούν για την ασφαλή τηλεργασία κατά την περίοδο του κορωνοϊού, σε συμμόρφωση και με τις επιταγές του GDPR. Πρόκειται κατά κανόνα για λύσεις χαμηλού κόστους που μπορούν να υλοποιηθούν με ταχύτητα ως μέσα ανάσχεσης του κυβερνοεγκλήματος.

Ενέργειες τέτοιας φύσης μπορούν πράγματι να αποτρέψουν δυσάρεστες συνέπειες τόσο σε περιουσιακό όσο και προσωπικό επίπεδο για τηλεργαζόμενους και οργανισμούς, καθώς και να περιορίσουν σημαντικά τον κίνδυνο της σε δεύτερο χρόνο επιβολής διοικητικών προστίμων για παραβίαση του πλαισίου προστασίας των προσωπικών δεδομένων. Σε κάθε περίπτωση πάντως, υπογραμμίζεται ότι τα ιδιαίτερα χαρακτηριστικά του εκάστοτε οργανισμού και των τηλεργαζόμενων σε αυτόν υπαγορεύουν τα αλά καρτ μέτρα που επιβάλλεται να ληφθούν κατά τον GDPR, καθώς και την έκταση, αλλά και ένταση αυτών.

Αιμίλιος Κορωναίος | Δικηγόρος Αθηνών | 2024