GDPR: Κορωνοϊός, τηλεργασία και μέτρα ασφαλείας

Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 13/03/2020

Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)

Ο αριθμός των επιχειρήσεων που υιοθετούν την τηλεργασία διαρκώς αυξάνεται, στο πλαίσιο λήψης μέτρων αναχαίτισης του κορωνοϊού. Η εξ αποστάσεως εργασία οδηγεί με τη σειρά της σε μεγέθυνση της εξ αποστάσεως επεξεργασίας προσωπικών δεδομένων. Πρόκειται για τάση που εγκυμονεί ειδικούς κινδύνους για την ασφάλεια των προσωπικών δεδομένων. Εξαιτίας αυτού, η εποπτική αρχή της Ιρλανδίας, όπου εφαρμόζεται ο GDPR, με χθεσινή ανακοίνωσή της παρέχει τις ακόλουθες βασικές συμβουλές για την αντιμετώπισή τους. Οι τελευταίες είναι πολύ χρήσιμες και για την ελληνική πραγματικότητα.

Α. Συσκευές

– Επίδειξη αυξημένης μέριμνας ώστε συσκευές όπως USBs, τηλέφωνα, φορητοί υπολογιστές ή tablets να μην χαθούν ή να παραπέσουν.
– Έλεγχος ότι κάθε συσκευή έχει τις αναγκαίες ενημερώσεις, όπως τις ενημερώσεις για τα λειτουργικά συστήματα και ενημερώσεις προγραμμάτων/antivirus.
– Εξασφάλιση ότι ο υπολογιστής, ο φορητός υπολογιστής ή η συσκευή χρησιμοποιείται σε ασφαλή τοποθεσία, για παράδειγμα σε μέρος εντός του οπτικού πεδίου του χρήστη και ελαχιστοποίηση της δυνατότητας τρίτου να δει την οθόνη, ιδίως εάν εργάζεστε με ευαίσθητα προσωπικά δεδομένα.
– Κλείδωμα της συσκευής, αν χρειαστεί αυτή να μείνει χωρίς εποπτεία για οποιοδήποτε λόγο.
– Έλεγχος ότι οι συσκευές είναι κλειστές, κλειδωμένες ή αποθηκευμένες με ασφάλεια, όταν δεν χρησιμοποιούνται.
– Χρήση αποτελεσματικών ελέγχων πρόσβασης (όπως έλεγχος ταυτότητας πολλαπλών παραγόντων και ισχυροί κωδικοί πρόσβασης) και, όπου είναι διαθέσιμη, κρυπτογράφηση, για να περιορίσετε την πρόσβαση στη συσκευή και να μειώσετε τον κίνδυνο σε περίπτωση όπου η συσκευή κλαπεί ή παραπέσει.
– Όταν μια συσκευή χαθεί ή κλαπεί, λήψη αμέσως μέτρων ώστε να επιτευχθεί η διαγραφή της μνήμης εξ αποστάσεως, όταν αυτό είναι εφικτό.

Β. Ηλεκτρονική αλληλογραφία

– Τήρηση όλων των εφαρμοστέων πολιτικών του οργανισμού σας για την ηλεκτρονική αλληλογραφία.
– Χρήση επαγγελματικών λογαριασμών ηλεκτρονικής αλληλογραφίας αντί προσωπικών λογαριασμών ηλεκτρονικής αλληλογραφίας αναφορικά με επαγγελματική αλληλογραφία που αφορά προσωπικά δεδομένα. Αν είναι αναγκαία η χρήση προσωπικού λογαριασμού ηλεκτρονικής αλληλογραφίας, εξασφάλιση ότι τα περιεχόμενα και τα συνημμένα αρχεία είναι κρυπτογραφημένα και αποφυγή χρήσης προσωπικών ή εμπιστευτικών δεδομένων στο θέμα του μηνύματος ηλεκτρονικής αλληλογραφίας.
– Προ της αποστολής του μηνύματος ηλεκτρονικής αλληλογραφίας, επιβεβαίωση ότι αποστέλλεται στον σωστό παραλήπτη, ιδίως για μηνύματα ηλεκτρονικής αλληλογραφίας που αφορούν μεγάλο όγκο προσωπικών δεδομένων ή ευαίσθητων προσωπικών δεδομένων.

Γ. Cloud και πρόσβαση στο δίκτυο

– Όπου είναι δυνατόν, χρήση μόνο αξιόπιστων δικτύων ή υπηρεσιών cloud του οργανισμού σας και συμμόρφωση με όλους τους κανόνες και διαδικασίες του οργανισμού σας σχετικά με την πρόσβαση στο cloud ή στο δίκτυο, τη σύνδεση και την κοινή χρήση δεδομένων.
– Σε περίπτωση εργασίας χωρίς χρήση cloud ή πρόσβαση στο δίκτυο, εξασφάλιση ότι όλα τα τοπικώς αποθηκευμένα δεδομένα έχουν γίνει backup με τον δέοντα τρόπο και με ασφάλεια.

Οι ως άνω συμβουλές είναι σε ένα βαθμό αυτονόητες για οργανισμούς που έχουν ήδη συμμορφωθεί με τον GDPR. Χρήσιμο είναι πάντως ένα «φρεσκάρισμα» ως προς το περιεχόμενό τους, δεδομένου ότι η τηλεργασία για το προσεχές χρονικό διάστημα φαίνεται πως θα καταστεί ο κανόνας για πολύ μεγάλο αριθμό επιχειρήσεων. Υπό αυτές τις συνθήκες, άλλωστε, πολλαπλασιάζονται και τα κίνητρα για σχετικές κακόβουλες ενέργειες.

Έτσι, προβλέπεται ότι η πιθανότητα παραβίασης προσωπικών δεδομένων με αυτά τα ειδικά χαρακτηριστικά θα αυξηθεί σημαντικά. Απαιτείται, λοιπόν, η δέουσα έμφαση στα οικεία μέτρα ασφαλείας. Προσέχουμε… για να έχουμε (ασφάλεια προσωπικών δεδομένων).