Τηλεργασία εν καιρώ πανδημίας – Κυβερνοέγκλημα και προσωπικά δεδομένα
Πρώτη δημοσίευση: www.taxheaven.gr
Ημερομηνία πρώτης δημοσίευσης: 17/07/2020
Αιμίλιος Κορωναίος
Δικηγόρος παρ’ Αρείω Πάγω
LL.M. (Aberdeen), ΜΔΕ (Αθήνα)
Ι. Γενικά
Η μεγάλη πρόκληση της πανδημίας του κορωνοϊού -COVID19 κατά τη διεθνή ορολογία-, που εξακολουθεί να πλήττει συνολικά την ανθρωπότητα, προκαλεί ραγδαίες αλλαγές στον μέχρι σήμερα τρόπο ζωής μας. Συμπεριφορές και στάσεις δεκαετιών μεταβάλλονται εν μία νυκτί, συχνά απρόσμενα και αιφνίδια, στην προσπάθεια επιτυχούς διαχείρισης της κρίσης. Στον εργασιακό τομέα σημαντική εξέλιξη θεωρείται η μαζική μετάβαση σε ένα νέο μοντέλο οργάνωσης και παροχής της εργασίας, την καλούμενη τηλεργασία. Η τηλεργασία, θεμέλιο της οποίας αποτελεί η χρήση τεχνολογιών πληροφορικής, ιδίως μέσων τηλεπικοινωνίας, ασφαλώς δεν αποτελεί καινοφανές ζήτημα. Για τα ελληνικά δεδομένα όμως, πρωτόγνωρη είναι η ένταση και η έκτασή της κατά την περίοδο την οποία διανύουμε. Η άνευ προηγουμένου διόγκωσή της πολλαπλασιάζει τα κίνητρα του κυβερνοεγκλήματος, καθώς και οι δράστες αυτού εντοπίζουν με μεγαλύτερη ευκολία το θύμα τους. Υπό αυτό το πρίσμα γεννώνται σοβαρά ζητήματα προστασίας προσωπικών δεδομένων τόσο των τηλεργαζόμενων-θυμάτων κυβερνοεγκλημάτων όσο και των προσώπων τα δεδομένα των οποίων εμπλέκονται με τον έναν ή άλλο τρόπο στην τηλεργασία. Πρώτη γραμμή άμυνας σε αυτή τη νέα πραγματικότητα, τις οικείες προκλήσεις και προβληματισμούς, αποτελεί η συνεπής συμμόρφωση με την ισχύουσα νομοθεσία για την προστασία των προσωπικών δεδομένων, ιδίως με την υποχρέωση της λήψης των δεόντων μέτρων ασφαλείας από επιχειρήσεις και οργανισμούς.
ΙΙ. Η τηλεργασία
Α. Ορισμός και βασικά χαρακτηριστικά
Ως τηλεργασία ορίζεται η μορφή οργάνωσης ή/και εκτέλεσης εργασίας που χρησιμοποιεί τεχνολογίες πληροφορικής, στο πλαίσιο μιας σύμβασης ή σχέσης εργασίας, όπου μια εργασία, η οποία θα μπορούσε να εκτελεστεί στις εγκαταστάσεις του εργοδότη, εκτελείται, σε τακτική βάση, εκτός αυτής1. Ως τηλεργαζόμενος δε ορίζεται ο εργαζόμενος που εκτελεί τηλεργασία σύμφωνα με τον ως άνω ορισμό2. Η παροχή της τηλεργασίας είναι αδύνατη χωρίς τη χρήση της ψηφιακής τεχνολογίας, γι’ αυτό και αυτή θεωρείται κλειδί για τον ψηφιακό μετασχηματισμό της οικονομίας.
Αναφορικά με τον τόπο της τηλεργασίας, αυτή μπορεί να είναι κατ’ οίκον, όταν παρέχεται από την κατοικία του τηλεργαζόμενου, ή κινητή, όταν παρέχεται από άλλους προσωρινούς χώρους στο πλαίσιο μετακινήσεων αυτού, ή από τηλεκέντρο, όταν παρέχεται από ειδικά οργανωμένους χώρους που απευθύνονται σε τηλεργαζόμενους διαφόρων εταιρειών3. Ολοένα και περισσότερο, η τηλεργασία παρέχεται μέσω σύνδεσης σε εταιρικό δίκτυο, ώστε να καταστεί εφικτή η πρόσβαση σε απαραίτητα εταιρικά αρχεία για τη διεκπεραίωσή της. Με σκοπό την επιτυχή παροχή της μάλιστα επιστρατεύονται και σειρά εφαρμογών τηλεσυνεργασίας, όπως εφαρμογές τηλεδιάσκεψης.
Η εξέταση της έκτασης της τηλεργασίας προ του κορωνοϊού καταδεικνύει το τότε περιορισμένο αυτής. Έτσι, σύμφωνα με έρευνα του 2017, στην Ευρωπαϊκή Ένωση οι τηλεργαζόμενοι αποτελούσαν περίπου το 17% του συνόλου των μισθωτών, με τη Δανία να βρίσκεται στην πρώτη θέση με ποσοστό 37% και την Ελλάδα να βρίσκεται στην προτελευταία θέση με ποσοστό 9%4. Η κατάταξη της Ελλάδας κρινόταν ως αρνητική, αποδιδόμενη στις εν γένει δυσκολίες προσαρμογής της χώρας σε νέες εξελίξεις, την ώρα που η ισχυρή επέκταση της τηλεργασίας ετίθετο ως ζητούμενο λόγω των θετικών χαρακτηριστικών της5.
Το 2020 η τηλεργασία εν μέσω κορωνοϊού εκτοξεύθηκε τόσο στην Ευρωπαϊκή Ένωση όσο και στην Ελλάδα. Σύμφωνα με έρευνα του Aπριλίου του 2020, στο ερώτημα «Αρχίσατε να εργάζεστε από το σπίτι σας ως αποτέλεσμα του κορωνοϊού», στις πρώτες θέσεις καταφατικής απάντησης με ποσοστό άνω του 40% βρίσκονταν με 59% η Φινλανδία, με 53,9% η Ολλανδία, με 46,7% η Δανία, με 43,4% η Ιρλανδία, με 41,8% η Σουηδία, με 41,5% η Αυστρία και με 40,8% η Ιταλία6. Στην Ελλάδα, το ποσοστό ήταν 26%7, εμφανώς μεγαλύτερο των μέχρι τότε μετρηθέντων.
Η τηλεργασία έχει αμοιβαία πλεονεκτήματα τόσο για τους επιχειρήσεις όσο και για τους εργαζόμενους8. Για τις μεν πρώτες, σε αυτά εντάσσονται η αύξηση της παραγωγικότητας, το ελκυστικό προφίλ της για νεότερο προσωπικό, η μείωση δαπανών για την επιχείρηση, η ελάττωση των έκτακτων απουσιών των εργαζομένων9. Για τους δε δεύτερους, σε αυτά εντοπίζονται η μείωση των εξόδων τους, π.χ. μείωση μετακινήσεων, καθώς και ο πιο ισορροπημένος βίος, δεδομένου ότι γίνεται καλύτερη διαχείριση των επαγγελματικών και προσωπικών υποχρεώσεων10. Στα αδύναμα σημεία της τηλεργασίας εντοπίζονται το ενδεχόμενο παράτασης της διάρκειας εργασίας και η αποδυνάμωση της διάκρισης μεταξύ επαγγελματικού και προσωπικού βίου11.
Β. Το ρυθμιστικό πλαίσιο
Η τηλεργασία σε ευρωπαϊκό επίπεδο διέπεται από την Ευρωπαϊκή Συμφωνία Πλαίσιο για την Τηλεργασία του 2002. Η εν λόγω Συμφωνία ενσωματώθηκε στο ελληνικό δίκαιο για πρώτη φορά με την Εθνική Γενική Συλλογική Σύμβαση Εργασίας ετών 2006 και 2007 (ΕΓΣΣΕ 2006-2007), ενώ αποτελεί πλέον σταθερά τμήμα όσων τη διαδέχθηκαν. Έτσι, η ΕΓΣΣΕ 2006-2007 στο άρθρο 4 αυτής προβλέπει ότι τα μέρη αποφασίζουν την άμεση εφαρμογή της ευρωπαϊκής συμφωνίας – πλαισίου για την τηλεργασία, που συνήφθη από τη Συνομοσπονδία Ευρωπαϊκών Συνδικάτων (C.E.S.), την Ευρωπαϊκή Εργοδοτική Οργάνωση Επιχειρήσεων Ιδιωτικού Τομέα (UNICE), την Ευρωπαϊκή Οργάνωση Βιοτεχνών Μικρομεσαίων Επιχειρήσεων (UEAPME) και το Ευρωπαϊκό Κέντρο Δημοσίων Επιχειρήσεων (CEEP). Το εν λόγω κείμενο της Συμφωνίας – Πλαίσιο για την Τηλεργασία προσαρτάται μάλιστα στην ΕΓΣΣΕ 2006-2007 ως Προσάρτημα Β, ενώ προβλέπεται ρητά ότι αποτελεί αναπόσπαστο τμήμα της. Με την ως άνω Συμφωνία επιδιώχθηκε η θέσπιση ενός γενικού πλαισίου για την τηλεργασία προς εφαρμογή από τα συμμετέχοντα κράτη12, ιδίως θεσπίστηκαν κατευθυντήριες γραμμές για την εξασφάλιση των δικαιωμάτων των τηλεργαζομένων13. Ειδικότερα, κατά τα προβλεπόμενα σε αυτή, η τηλεργασία έχει οικειοθελή χαρακτήρα14. Ως γενικός κανόνας προβλέπεται ότι ο εργοδότης είναι υπεύθυνος για την παροχή, εγκατάσταση και συντήρηση του εξοπλισμού της τακτικής τηλεργασίας, εκτός αν ο τηλεργαζόμενος χρησιμοποιεί τον δικό του εξοπλισμό15. Στην ίδια κατεύθυνση, αν η τηλεργασία παρέχεται σε τακτική βάση, ο εργοδότης είναι υπεύθυνος για τις δαπάνες που προκαλούνται άμεσα από την τηλεργασία, ιδίως αυτές που σχετίζονται με την επικοινωνία16.
Σε επίπεδο τυπικού νόμου, σχετική πρόβλεψη περιλαμβάνει το άρθρο 5 του Ν. 3846/201017. Ειδικότερα, σύμφωνα με την παρ. 1 αυτού, κατά την κατάρτιση σύμβαση εργασίας για τηλεργασία ο εργοδότης υποχρεούται να παραδώσει εγγράφως εντός διαστήματος οκτώ ημερών στον εργαζόμενο το σύνολο των πληροφοριών που αναφέρονται στην εκτέλεση της εργασίας. Οι πληροφορίες αυτές αφορούν στην ιεραρχική σύνδεση του εργαζόμενου με τους προϊσταμένους του στην επιχείρηση, τα λεπτομερή καθήκοντα του, τον τρόπο υπολογισμού της αμοιβής, τον τρόπο μέτρησης του χρόνου εργασίας, την αποκατάσταση του κόστους που προκαλείται από την παροχή της, όπως τηλεπικοινωνίες, εξοπλισμός και βλάβες συσκευών. Αν στη σύμβαση περιέχεται συμφωνία για τηλε-ετοιμότητα ορίζονται τα χρονικά όριά της και οι προθεσμίες ανταπόκρισης του μισθωτού. Περαιτέρω κατά την παρ. 2 του ως άνω άρθρου, αν κανονική εργασία μετατρέπεται σε τηλεργασία, καθορίζεται στη σχετική συμφωνία μια περίοδος προσαρμογής τριών μηνών, κατά την οποία οποιοδήποτε από τα μέρη, μετά από τήρηση προθεσμίας δεκαπέντε ημερών, μπορεί να θέσει τέλος στην τηλεργασία και ο μισθωτός να επιστρέψει στην εργασία του σε αντίστοιχη θέση με αυτήν που κατείχε. Ως προς το κόστος της τηλεργασίας, κατά την παρ. 3 του ως άνω άρθρου, ο εργοδότης αναλαμβάνει σε κάθε περίπτωση το κόστος που προκαλείται στον μισθωτό από τη μορφή αυτή εργασίας και ειδικότερα των τηλεπικοινωνιών, παρέχει στον μισθωτό τεχνική υποστήριξη για την παροχή της εργασίας του και αναλαμβάνει να αποκαταστήσει τις δαπάνες επισκευής των συσκευών που χρησιμοποιούνται για την εκτέλεσή της ή να τις αντικαταστήσει σε περίπτωση βλάβης. Η εν λόγω υποχρέωση του εργοδότη αφορά και στις συσκευές που ανήκουν στον μισθωτό, εκτός εάν στη σύμβαση ή στη σχέση εργασίας ορίζεται διαφορετικά. Στη σύμβαση ή στη σχέση εργασίας ορίζεται επίσης ο τρόπος χρηματικής αποκατάστασης εκ μέρους του εργοδότη της χρησιμοποίησης του οικιακού χώρου εργασίας του μισθωτού.
Πιο πρόσφατα και εν μέσω πανδημίας, με την από 11.3.2020 Πράξη Νομοθετικού Περιεχόμενου18 προβλέφθηκε στο άρθρο 4 παρ. 2 αυτής η δυνατότητα των εργοδοτών με δική τους απόφαση να εφαρμόσουν σε εργαζόμενους το σύστημα της εξ αποστάσεως εργασίας.
Το ως άνω ρυθμιστικό πλαίσιο της τηλεργασίας κρίνεται σήμερα συνολικά ανεπαρκές, ιδίως κατόπιν της εξαιρετικής διόγκωσης της ως αποτέλεσμα των νέων συνθηκών. Γι’ αυτό τον λόγο συνιστάται η υιοθέτηση ειδικών ρυθμίσεων οι οποίες θα αφορούν, μεταξύ άλλων, τις δαπάνες του εργαζόμενου για τον υλικό εξοπλισμό και την επικοινωνία του, καθώς και την αμοιβή της τηλε-ετοιμότητας, της διαρκούς δηλαδή διαθεσιμότητας του τηλεργαζόμενου19.
ΙΙΙ. Το κυβερνοέγκλημα
Η διόγκωση της τηλεργασίας εν μέσω πανδημίας πρόσφερε στέρεη βάση στην επακόλουθη πρόβλεψη για ανάλογη διόγκωση του κυβερνοεγκλήματος. Και αυτό γιατί η υιοθέτηση μέσων εξ αποστάσεως εργασίας διευρύνει σημαντικά τη δεξαμενή υποψήφιων θυμάτων για τους κυβερνοεγκληματίες. Έτσι, η Europol ήδη τον Μάρτιο του 2020, προέβλεψε σχετικό κίνδυνο λόγω της αύξησης του αριθμού των εργοδοτών που ενεργοποιούν τη δυνατότητα της τηλεργασίας και επιτρέπουν μέσω αυτής την πρόσβαση στα πληροφοριακά συστήματά τους20. Στην ίδια κατεύθυνση, το Συμβούλιο της Ευρώπης, την ίδια περίοδο, υπογράμμισε ότι η μεγαλύτερη έμφαση που δίδεται κατά τη διάρκεια της πανδημίας για εργασιακούς λόγους, μεταξύ άλλων, σε υπολογιστικά συστήματα, κινητές συσκευές και το διαδίκτυο, έχει οδηγήσει τους κυβερνοεγκληματίες να προσπαθούν να το εκμεταλλευθούν σε όφελός τους21.
Ποια μέσα χρησιμοποιούν οι κυβερνοεγκληματίες στο πλαίσιο της εγκληματικής δραστηριότητάς τους σε σχέση με την πανδημία; Πρόκειται ιδίως για: α) εκστρατείες «ηλεκτρονικού ψαρέματος» (phishing) και εγκατάστασης κακόβουλου λογισμικού (malware) μέσω δήθεν γνησίων ιστοσελίδων και εγγράφων που παρέχουν πληροφορίες για την πανδημία, ώστε να επιτυγχάνεται παράνομη πρόσβαση σε προσωπικά δεδομένα, β) εγκατάσταση «κωδικοποιητών αρχείων» (ransomware) σε κινητά τηλέφωνα μέσω της εγκατάστασης ψευδο-εφαρμογών, οι οποίες υποστηρίζουν ότι δήθεν παρέχουν πληροφορίες για την πανδημία, ώστε στη συνέχεια να καθίσταται δυνατή η απόσπαση χρημάτων, και γ) παράνομη απόκτηση πρόσβασης σε εταιρικά δίκτυα μέσω επιθέσεων σε τηλεργαζόμενους22.
Στην Ελλάδα, η περιγραφείσα κατάσταση οδήγησε την Εθνική Αρχή Διαφάνειας στην έκδοση ειδικού Οδηγού προστασίας από τεχνικές εξαπάτησης COVID-1923. Σε αυτόν υπογραμμίζεται ότι η πανδημία δημιουργεί νέες ευκαιρίες για έκνομες ενέργειες, ιδίως απάτες24. Περαιτέρω, επισημαίνεται ότι στις πρακτικές και τα τεχνάσματα των κυβερνοεγκληματιών περιλαμβάνεται η χειραγώγηση και εξαπάτηση μέσω διαδικτύου, τουτέστιν μέσω «κοινωνικής μηχανικής» (social engineering), με τη χρήση «ηλεκτρονικού ψαρέματος» (phishing) και λοιπών μεθόδων, έχουσα ως σκοπό την παράνομη απόκτησης πρόσβασης σε κωδικούς25. Ιδίως στο πλαίσιο των απατών «ηλεκτρονικού ψαρέματος» (phishing), οι κυβερνοεγκληματίες αυτοπαρουσιάζονται ως δήθεν εκπρόσωποι εθνικών και παγκόσμιων υγειονομικών αρχών, π.χ. του Παγκόσμιου Οργανισμού Υγείας και των Κέντρων Ελέγχου και Πρόληψης Νοσημάτων, ώστε να επιτύχουν την εγκατάσταση από τον τηλεργαζόμενο κακόβουλου λογισμικού και στη συνέχεια να αποκτήσουν παράνομη πρόσβαση σε προσωπικά δεδομένα26.
Σε αντίστοιχη ενημέρωση προέβη επίσης η Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος (ΔΔΗΕ) για προσπάθειες εξαπάτησης μέσω διαδικτύου με αφορμή τον κορωνοϊό27. Επισημαίνοντας ότι κατά την περίοδο της πανδημίας έχουν υποβληθεί καταγγελίες πολιτών, ενώ έχουν δημοσιευθεί και ενημερώσεις από την Interpol και τη Europol, για πλήθος διαδικτυακών απατών, που στηρίζονται στην προσπάθεια εκμετάλλευσης της γενικευμένης ανησυχίας για τον κορωνοϊό, η ΔΔΗΕ παρουσίασε βασικά στοιχεία της μεθοδολογίας των κυβερνοεγκληματιών28. Σε αυτή περιλαμβάνεται και το «ηλεκτρονικό ψάρεμα» (phishing), ήτοι η αποστολή απατηλών μηνυμάτων ηλεκτρονικού ταχυδρομείου, τα οποία δήθεν προέρχονται από εθνικές ή παγκόσμιες υγειονομικές αρχές, με συνδέσμους η συνημμένα αρχεία που υποτίθεται ότι αφορούν την πανδημία. Στην πραγματικότητα όμως, τα εν λόγω μηνύματα περιέχουν κακόβουλο λογισμικό (malware), η εγκατάσταση του οποίου καθιστά εφικτή την παράνομη πρόσβαση σε προσωπικά δεδομένα29.
Την ίδια ώρα, πλήθος διεθνών, ευρωπαϊκών και εθνικών οργανισμών έχουν προβεί στην έκδοση οδηγιών για τα απαιτούμενα μέτρα ασφαλείας που πρέπει να λαμβάνουν, μεταξύ άλλων, οι τηλεργαζόμενοι, ώστε να προφυλαχθούν από τους κυβερνοεγκληματίες30. Επιλεκτική παράθεση των σπουδαιότερων εξ αυτών για την Ελλάδα θα γίνει στη συνέχεια του παρόντος πονήματος.
Υπενθυμίζεται ότι κυβερνοεγκλήματα όπως τα ως άνω αποτελούν αξιόποινες πράξεις που καλούν ιδίως σε εφαρμογή το άρθρο 292Β για την παρακώλυση λειτουργίας πληροφοριακών συστημάτων (διωκόμενο αυτεπαγγέλτως), το άρθρο 370 παρ. 2 ΠΚ για την αθέμιτη πρόσβαση σε ηλεκτρονικό μήνυμα ή ηλεκτρονική αλληλογραφία άλλου (διωκόμενο κατ’ έγκληση), το άρθρο 370Β ΠΚ για την παράνομη πρόσβαση σε σύστημα πληροφοριών ή δεδομένων (διωκόμενο κατ’ έγκληση), το άρθρο 370Γ για την παράνομη συμπεριφορά σε σχέση με κρατικά, επιστημονικά, επαγγελματικά απόρρητα ή απόρρητα επιχείρησης του δημόσιου ή ιδιωτικού τομέα (διωκόμενο κατ’ έγκληση) και το άρθρο 386Α για την απάτη με υπολογιστή (διωκόμενο κατά κανόνα κατ’ έγκληση). Ανάλογα με τις περιστάσεις, ενδέχεται επίσης να στοιχειοθετείται εκβίαση κατά το άρθρο 385 ΠΚ.
IV. Η προστασία των προσωπικών δεδομένων
Α. Το ρυθμιστικό πλαίσιο
Η τηλεργασία είναι αναπόσπαστα συνδεδεμένη με την επεξεργασία προσωπικών δεδομένων. Και αυτό γιατί η παροχή της επιβάλλει δεδομένα ιδίως πελατών, προμηθευτών, συνεργατών, αλλά και των ίδιων των τηλεργαζόμενων, να τύχουν επεξεργασίας, ήτοι, μεταξύ άλλων, συλλογής, αποθήκευσης, χρήσης και διαβίβασης εξ αποστάσεως. Έτσι, κατά την τηλεργασία, τα προσωπικά δεδομένα συχνά βρίσκονται σε ένα διαρκές «ταξίδι» από και προς τις εγκαταστάσεις του εκάστοτε οργανισμού ή επιχείρησης. Αυτή η διαδρομή τους όμως τα καθιστά πρωταρχικό στόχο των κυβερνοεγκληματιών, οι οποίοι επιδιώκουν την παράνομη πρόσβαση σε αυτά, ώστε στη συνέχεια να τα χρησιμοποιήσουν περαιτέρω για την εγκληματική δράση τους, π.χ. για παράνομη πρόσβαση σε τραπεζικούς λογαριασμούς, για εκβίαση κ.ο.κ.. Καθίσταται, λοιπόν, εμφανές ότι η τηλεργασία δημιουργεί νέους κινδύνους για την προστασία των προσωπικών δεδομένων λόγω της αυξημένης χρήσης τηλεπικοινωνιών και τη διευρυμένη χρήση ηλεκτρονικών συσκευών, συχνά μάλιστα προσωπικών συσκευών του τηλεργαζομένου.
Υπογραμμίζεται ότι στις περιπτώσεις που ο τηλεργαζόμενος καθίσταται θύμα κυβερνοεγκλήματος παραβιάζεται όχι μόνο η αρχή της εμπιστευτικότητας των προσωπικών δεδομένων, καθώς τρίτος μη εξουσιοδοτημένος καθίσταται κοινωνός τους, αλλά και ενδεχομένως η αρχή της διαθεσιμότητας των προσωπικών δεδομένων, όπως π.χ. με τη χρήση «κωδικοποιητή αρχείων» (ransomware), οπότε καθίσταται αδύνατη η πρόσβαση σε αυτά μέχρι την πληρωμή του τιμήματος που απαιτεί ο κυβερνοεγκληματίας.
Ποιο είναι, λοιπόν, το οικείο ρυθμιστικό πλαίσιο προστασίας προσωπικών δεδομένων και μάλιστα οι υποχρεώσεις οργανισμών και επιχειρήσεων, καθώς και τηλεργαζομένων, ώστε να θωρακιστούν απέναντι στο κυβερνοέγκλημα;
Καταρχάς, ειδική ρύθμιση για τα προσωπικά δεδομένα στο πλαίσιο της τηλεργασίας περιέχει η προαναφερθείσα Ευρωπαϊκή Συμφωνία Πλαίσιο για την Τηλεργασία του 2002, όπως ενσωματώθηκε στην ελληνική έννομη τάξη με την ΕΓΣΣΕ 2006-2007. Κατά το άρθρο 5 αυτής, το οποίο φέρει τον τίτλο «Προστασία Δεδομένων», η λήψη των κατάλληλων μέτρων εναπόκειται στον εργοδότη, ιδίως σε σχέση με το λογισμικό, για να εξασφαλίσει την προστασία των δεδομένων που χρησιμοποιούνται και γίνονται αντικείμενο επεξεργασίας από τον τηλεργαζόμενο για επαγγελματικούς λόγους. Έτσι, ο εργοδότης ενημερώνει τον τηλεργαζόμενο για όλες τις ισχύουσες διατάξεις και κανόνες της επιχείρησης που αφορούν την προστασία των δεδομένων, ενώ εναπόκειται στον τηλεργαζόμενο να συμμορφωθεί προς αυτούς τους κανόνες.
Περαιτέρω, για τους οργανισμούς και τις επιχειρήσεις που υιοθετούν την τηλεργασία, αναφορικά με τα προσωπικά δεδομένα που επεξεργάζονται οι τηλεργαζόμενοί τους, σημειώνεται ότι σύμφωνα με το άρθρο 24 παρ. 1 του GDPR31, ο εκάστοτε υπεύθυνος επεξεργασίας οφείλει να εφαρμόζει κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει ότι η επεξεργασία διενεργείται σύμφωνα με τον GDPR. Κατά τα προβλεπόμενα στην παρ. 2 του ως άνω άρθρου, δεν προβλέπονται συγκεκριμένα τεχνικά και οργανωτικά μέτρα, πλην της της εφαρμογής κατάλληλων πολιτικών προστασίας προσωπικών δεδομένων. Όπως προσδιορίζεται όμως στην ως άνω ρύθμιση, η καταλληλότητα και το ειδικότερο περιεχόμενο αυτών των μέτρων καθορίζεται από τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Έτσι, ο υπεύθυνος επεξεργασίας καλείται να επιλέξει τα κατάλληλα τεχνικά και οργανωτικά μέτρα, στο πλαίσιο όμως που προδιαγράφει το άρθρο 24 του GDPR. O υπεύθυνος επεξεργασίας υποχρεούται επίσης να τα επανεξετάζει και να τα επικαιροποιεί, όταν κρίνεται απαραίτητο, σύμφωνα με το άρθρο 24 παρ. 1 τελ. εδ. του GDPR.
Στην ίδια κατεύθυνση, σύμφωνα με το άρθρο 32 παρ. 1 του GDPR, ο εκάστοτε υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία οφείλουν να εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφαλείας έναντι των κινδύνων για τα προσωπικά δεδομένα. Κατά την παρ. 2 του ως άνω άρθρου, για την εκτίμηση του ενδεδειγμένου επιπέδου ασφαλείας λαμβάνονται ιδίως υπόψη οι κίνδυνοι που απορρέουν από την επεξεργασία, ιδίως από τυχαία η παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση προσωπικών δεδομένων που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία. Σε αντίθεση με το άρθρο 28 του GDPR, εδώ γίνεται εκτενέστερη ενδεικτική απαρίθμηση προτεινόμενων μέτρων, η οποία περιλαμβάνει: α) την ψευδωνυμοποίηση και την κρυπτογράφηση προσωπικών δεδομένων, β) τη δυνατότητα διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και των υπηρεσιών επεξεργασίας σε συνεχή βάση, γ) τη δυνατότητα αποκατάστασης της διαθεσιμότητας και της πρόσβασης σε δεδομένα προσωπικού χαρακτήρα σε εύθετο χρόνο σε περίπτωση φυσικού ή τεχνικού συμβάντος, δ) τη διαδικασία για την τακτική δοκιμή, εκτίμηση και αξιολόγηση της αποτελεσματικότητας των τεχνικών και των οργανωτικών μέτρων για τη διασφάλιση της ασφάλειας της επεξεργασίας. Ως προς τα λοιπά μέτρα, στην ίδια παράγραφο προβλέπεται ότι τα κατάλληλα τεχνικά και οργανωτικά μέτρα επιλέγονται λαμβάνοντας υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων.
Συμπερασματικά, οι οργανισμοί και οι επιχειρήσεις που υιοθετούν την τηλεργασία έχουν την ευθύνη να προβλέπουν και να θέτουν σε εφαρμογή τα κατάλληλα τεχνικά και οργανωτικά μέτρα, ώστε να διασφαλίζεται η ασφάλεια των προσωπικών δεδομένων που επεξεργάζονται οι τηλεργαζόμενοι. Οι τελευταίοι υποχρεούνται με τη σειρά τους να εφαρμόζουν τα οικεία μέτρα απαρέγκλιτα.
Β. Προτεινόμενα μέτρα ασφαλείας
Tον Απρίλιο του 2020 η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) δημοσίευσε Κατευθυντήριες Γραμμές για τη λήψη μέτρων ασφαλείας στο πλαίσιο της τηλεργασίας32, λόγω της διευρυμένης εφαρμογής της τηλεργασίας από οργανισμούς και επιχειρήσεις. Στόχος αυτών είναι η ευαισθητοποίηση των υπεύθυνων επεξεργασίας, των εκτελούντων την επεξεργασία, των εργαζομένων και του κοινού για τους κινδύνους σε σχέση με την επεξεργασία προσωπικών δεδομένων, αλλά και τις υποχρεώσεις των εμπλεκομένων με αυτήν33. Κατά την ΑΠΔΠΧ, η επιχείρηση που υιοθετεί την τηλεργασία οφείλει: α) να καθορίσει και να υιοθετήσει συγκεκριμένες διαδικασίες συναφείς με την προστασία των προσωπικών δεδομένων για την τηλεργασία και β) να ενημερώσει, να εκπαιδεύσει και να συνδράμει τους εργαζόμενους στην εφαρμογή των ως άνω διαδικασιών34. Στο οικείο κείμενο έμφαση δίδεται επίσης στην αυξημένη βαρύτητα των υποχρεώσεων του εκάστοτε οργανισμού ή επιχείρησης για την προστασία των προσωπικών δεδομένων των τηλεργαζόμενων, λόγω της αυξημένης προσδοκίας τους για προστασία της ιδιωτικής ζωής τους, όπως αυτή πηγάζει από το γεγονός της παροχής της εργασίας στην οικία τους35.
Το περιεχόμενο των προτεινόμενων από την ΑΠΔΠΧ διαδικασιών συγκεκριμενοποιείται ως προς τέσσερις τομείς: α) πρόσβαση στο δίκτυο, β) χρήση εφαρμογών ηλεκτρονικού ταχυδρομείου / ανταλλαγής μηνυμάτων, γ) χρήση τερματικής συσκευής/αποθηκευτικών μέσων, δ) πραγματοποίηση τηλεδιασκέψεων36.
Για την πρόσβαση στο δίκτυο, προτεινόμενα μέτρα κατά την ΑΠΔΠΧ αποτελούν συνοπτικά τα εξής: α) η διασφάλιση ότι δεν υπάρχει δυνατότητα μη ασφαλούς απομακρυσμένης πρόσβασης σε πόρους πληροφοριακών συστημάτων του φορέα, β) ο καθορισμός και περιορισμών των πόρων στους οποίους επιτρέπεται η απομακρυσμένη πρόσβαση στο απολύτως απαραίτητο, γ) η σύνδεση σε υπολογιστικά συστήματα της επιχείρησης μέσω υπηρεσίας «απομακρυσμένης επιφάνειας εργασίας» μόνο μέσω VPN, δ) η χρήση ασφαλούς πρωτοκόλλου WPA2 με ισχυρό κωδικό, όταν ο τηλεργαζόμενος συνδέεται στο διαδίκτυο μέσω ασύρματου δικτύου, ε) η κατά κανόνα αποφυγή αποθήκευσης αρχείων με προσωπικά δεδομένα σε υπηρεσίες διαδικτυακής αποθήκευσης37.
Για τη χρήση εφαρμογών ηλεκτρονικού ταχυδρομείου/ανταλλαγής μηνυμάτων, προτεινόμενα μέτρα κατά την ΑΠΔΠΧ αποτελούν συνοπτικά τα εξής: α) η κατά κανόνα αποφυγή χρήσης προσωπικού ηλεκτρονικού ταχυδρομείου για σκοπούς τηλεργασίας, β) η κατά κανόνα αποφυγή χρήσης εφαρμογών ανταλλαγής μηνυμάτων για τους σκοπούς τηλεργασίας, όταν αυτά περιέχουν προσωπικά δεδομένα η διαρροή των οποίων θα δημιουργούσε κινδύνους38.
Για τη χρήση τερματικής συσκευής/αποθηκευτικών μέσων, προτεινόμενα μέτρα κατά την ΑΠΔΠΧ αποτελούν συνοπτικά τα εξής: α) η εγκατάσταση στη συσκευή της τηλεργασίας συστήματος εναντίον των ιών (antivirus) και «τείχους προστασίας» (firewall), καθώς και η τακτική ενημέρωσή τους, β) η εγκατάσταση των πλέον πρόσφατων ενημερώσεων του λογισμικού εφαρμογών και του λειτουργικού συστήματος στη συσκευή της τηλεργασίας, γ) η χρήση των πλέον πρόσφατων εκδόσεων προγραμμάτων πλοήγησης στο διαδίκτυο, με μη τήρηση ιστορικού ή διαγραφή του μετά το πέρας της τηλεργασίας, δ) ο διαχωρισμός των προσωπικών δεδομένων τα οποία αφορούν την τηλεργασία στη συσκευή της τηλεργασίας, ε) η χρήση διαδικασιών κατάλληλης κρυπτογράφησης αρχείων που περιέχουν προσωπικά δεδομένα, στ) η χρήση διαδικασιών λήψης αντιγράφων ασφαλείας αρχείων με προσωπικά δεδομένα, ζ) το «κλείδωμα» της συσκευής της τηλεργασίας39.
Για την πραγματοποίηση τηλεδιασκέψεων, προτεινόμενα μέτρα κατά την ΑΠΔΠΧ αποτελούν συνοπτικά τα εξής: α) η αξιοποίηση πλατφόρμων που υποστηρίζουν υπηρεσίες ασφαλείας, όπως κρυπτογράφηση, β) η προστασία του συνδέσμου της προγραμματισμένης τηλεδιάσκεψης, π.χ. με τη μη δημοσιοποίησή του στο διαδίκτυο, γ) η μελέτη σχετικών όρων χρήσης και προστασίας προσωπικών δεδομένων40.
Πέραν της ΑΠΔΠΧ, άξιες μνείας είναι επίσης οι σχετικές ειδικότερες κατευθύνσεις για λήψη μέτρων ασφαλείας που δημοσιεύθηκαν από το Υπουργείο Ψηφιακής Διακυβέρνησης, καθώς και από τον Σύνδεσμο Επιχειρήσεων και Βιομηχανιών.
Κατά το Υπουργείο Ψηφιακής Διακυβέρνησης, στο έγγραφο υπό τον τίτλο «Συμβουλές για την ασφαλή εργασία από το σπίτι», το οποίο δημοσιεύθηκε τον Μάρτιο41, προτείνονται συνοπτικά ιδίως τα ακόλουθα μέτρα: α) η χρήση εφαρμογών που παρέχουν πλήρη κρυπτογράφηση στην επικοινωνία για την αποστολή ευαίσθητων πληροφοριών, β) η ενεργοποίηση της δυνατότητας σύνδεσης με την ταυτοποίηση δύο βημάτων για κάθε λογαριασμό που ο τηλεργαζόμενος διατηρεί, γ) η ενεργοποίηση στο κινητό τηλέφωνο της λειτουργίας πρόσβασης σε επιγραμμικές (online) υπηρεσίες με χρήση βιομετρικών δεδομένων, δ) η μη διακίνηση διευθύνσεων και οδηγιών μέσω των κοινωνικών δικτύων για τη συμμετοχή σε τηλεδιάσκεψη, ε) η μη χρήση ανοικτών ασύρματων δικτύων, τα οποία είναι περισσότερο ευάλωτα σε κακόβουλες ενέργειες, στ) η χρήση ισχυρών κωδικών πρόσβασης και λογισμικού προστασίας στον οικείο εξοπλισμό.
Κατά τον Σύνδεσμο Επιχειρήσεων και Βιομηχανιών, στο έγγραφο υπό τον τίτλο «Τηλεργασία: Q&A και Οδηγός Εφαρμογής», το οποίο δημοσιεύθηκε τον Μάρτιο42, προτείνονται συνοπτικά ιδίως τα ακόλουθα μέτρα: α) η χρήση «εικονικού ιδιωτικού δικτύου» (Virtual Private Network – VPN), β) ο αυστηρός περιορισμός των υπολογιστών που συνδέονται στα εταιρικά συστήματα, γ) ο έλεγχος πρόσβασης σε απαγορευμένες ιστοσελίδες από τους υπολογιστές της τηλεργασίας, σύμφωνα με την αντίστοιχη πολιτική, δ) η επιβολή περιορισμών στα προγράμματα λογισμικού που εγκαθίστανται στους υπολογιστές της τηλεργασίας, ε) ο περιορισμός στη διακίνηση δεδομένων και τα σχετικά μέσα αποθήκευσης που χρησιμοποιούνται, στ) ο περιορισμός στα πληροφοριακά συστήματα που είναι προσβάσιμα στον τηλεργαζόμενο.
Συνοψίζοντας, ο πυρήνας όλων των ως άνω μέτρων ασφαλείας έγκειται στην εκπόνηση των κατάλληλων διαδικασιών/πολιτικών με παράλληλη υιοθέτηση των κατάλληλων μέτρων, στην ενημέρωση και εκπαίδευση των τηλεργαζομένων περί αυτών και στη συνέχεια στη συστηματική εφαρμογή τους. Κατ’ αυτό τον τρόπο μπορεί πράγματι να εκπληρωθούν ουσιωδώς οι υποχρεώσεις που προβλέπουν τα προαναφερθέντα άρθρα 28 και 32 του GDPR, αλλά και το άρθρο 5 της προαναφερθείσας Ευρωπαϊκής Συμφωνίας Πλαίσιο για την Τηλεργασία του 2002, από οργανισμούς και επιχειρήσεις που υιοθετούν την τηλεργασία, με αποτέλεσμα την επιτυχή απόκρουση κυβερνοεγκληματιών και την προστασία των προσωπικών δεδομένων κατά την τηλεργασία. Επισημαίνεται πάντως ότι, όπως προκύπτει και από το γράμμα των εν λόγω προαναφερθεισών ρυθμίσεων του GDPR, τα εκάστοτε μέτρα ασφαλείας απαιτείται να είναι εξατομικευμένα, σύμφωνα με τα κριτήρια που αυτές θέτουν.
Γ. Εν είδει παρέκβασης: η ηλεκτρονική παρακολούθηση του τηλεργαζόμενου
Εν είδει παρέκβασης από τον κύριο άξονα του παρόντος πονήματος, η τηλεργασία θέτει ένα ακόμη σημαντικό ζήτημα στο πεδίο των προσωπικών δεδομένων, πέραν του μείζονος θέματος της ασφάλειας αυτών λόγω του κυβερνοεγκλήματος. Πρόκειται για το την ηλεκτρονική παρακολούθηση του τηλεργαζόμενου από τον εργοδότη του43. Το εν λόγω ζήτημα τίθεται μετ’ επιτάσεως λόγω των επαναλαμβανόμενων ηλεκτρονικών επικοινωνιών μεταξύ εργαζόμενου και εργοδότη και κατ’ επέκταση λόγω του μεγάλου όγκου προσωπικών δεδομένων του εργαζόμενου τα οποία μπορούν να τύχουν πλέον επεξεργασίας44, είτε εκούσια είτε ακούσια από την πλευρά οργανισμού ή επιχείρησης. Έτσι, προγράμματα που χρησιμοποιούνται, π.χ. για τηλεδιασκέψεις, παρέχουν τη δυνατότητα στον εργοδότη να εγγράψει ψηφιακά την επικοινωνία του με τηλεργαζόμενους, με αποτέλεσμα να δύναται να καταγραφεί η φωνή των τελευταίων, το πρόσωπό τους, η συμπεριφορά τους, αλλά και το οικιακό περιβάλλόν τους, όπως αποτυπώνεται στην κάμερα που χρησιμοποιείται, ή περαιτέρω αυτός να προβεί με ψηφιακό τρόπο σε ανάλυση της προσοχής που επιδεικνύουν στην τηλεδιάσκεψη οι συμμετέχοντες τηλεργαζόμενοι45. Και οι περιπτώσεις αυτές, οι οποίες χρήζουν εξέτασης on a case by case basis, διέπονται σε κάθε περίπτωση από τον GDPR και το οικείο νομοθετικό πλαίσιο, με έμφαση στα άρθρα 5 και 6 του GDPR για τις αρχές επεξεργασίας προσωπικών δεδομένων και τη νομιμότητα της επεξεργασίας. Σε εφαρμογή καλούνται επίσης οι σχετικές Οδηγίες της ΑΠΔΠΧ και της τέως Ομάδας Εργασίας του άρθρου 2946. Εξαιρετικά διαφωτιστική είναι επίσης και η μέχρι σήμερα σχετική νομολογία της ΑΠΔΠΧ47.
Σημειωτέον είναι πάντως ότι σύμφωνα με την παρ. 5.4.1. της Γνώμης 2/2017 της πρώην Ομάδας Εργασίας του άρθρου 29 σχετικά με την επεξεργασία δεδομένων στην εργασία48, που τιτλοφορείται «Παρακολούθηση της κατ’οίκον εργασίας και της τηλεργασίας»49, η χρήση λογισμικού που έχει τη δυνατότητα π.χ. καταγραφής της ακολουθίας χαρακτήρων πληκτρολογίου και των κινήσεων του ποντικιού του τηλεργαζόμενου, καταγραφής στιγμιότυπων του τηλεργαζόμενου, καταγραφής των χρησιμοποιούμενων εφαρμογών και του χρόνου χρήσης του τηλεργαζόμενου, καθώς και ενεργοποίησης διαδικτυακών καμερών και συλλογής του μαγνητοσκοπημένου υλικού του τηλεργαζόμενου, οδηγεί σε δυσανάλογη επεξεργασία προσωπικών δεδομένων. Έτσι, κατά την ίδια ως άνω Γνώμη 2/2017 είναι εξαιρετικά απίθανο να έχει ο εργοδότης νομική βάση στο πλαίσιο έννομου συμφέροντος για τέτοιου είδους επεξεργασίες προσωπικών δεδομένων.
Από την πλευρά τους, οι τηλεργαζόμενοι οφείλουν και αυτοί να επιδεικνύουν αυξημένη ευαισθησία για την προστασία των προσωπικών δεδομένων τους κατά την περίοδο της τηλεργασίας, π.χ. να μη χρησιμοποιούν επαγγελματικό εξοπλισμό που έχουν λάβει για τις ανάγκες της τηλεργασίας, π.χ. εταιρικό υπολογιστή, και για προσωπική χρήση, καθώς και να απενεργοποιούν την κάμερα και το μικρόφωνο του υπολογιστή, όταν δεν χρειάζεται να είναι ενεργοποιημένα50.
V. Eπίμετρο
Τον Μάιο η εταιρεία Facebook ανακοίνωσε ότι προτίθεται να υιοθετήσει το καθεστώς της τηλεργασίας σε μόνιμη βάση -τη στιγμή που το προσωπικό της απασχολήθηκε εξ αποστάσεως σε ποσοστό 95% κατά τη διάρκεια της πανδημίας-, προβλέποντας ότι εντός της επόμενης δεκαετίας η τηλεργασία θα αφορά σταθερά τουλάχιστον το ήμισυ των εργαζομένων της51. Σε αυτό το πλαίσιο, το προσωπικό της κλήθηκε να προβεί σε σχετική ενημέρωση της εταιρείας μέχρι την έναρξη του 202152. Κατά τα λεγόμενα του κολοσσού των μέσων κοινωνικής δικτύωσης, οι αποδοχές του εκάστοτε τηλεργαζόμενου θα καθορισθούν λαμβάνοντας υπόψη και το κόστος ζωής της περιοχής στην οποία κατοικεί53. Σε παράταση της τηλεργασίας επίσης προσανατολίζονται -έστω και αν όχι στο ίδιο βάθος χρόνου- και άλλοι τεχνολογικοί γίγαντες, όπως η εταιρεία Google, αλλά και η εταιρεία Amazon54. Αντίστοιχη στάση δε με την εταιρεία Facebook φαίνεται ότι υιοθετεί και η εταιρεία στην οποία ανήκει το Twitter55. Την ίδια ώρα, εν μέσω πανδημίας, στο Ηνωμένο Βασίλειο η αναλογία των επιθέσεων από κυβερνοεγκληματίες κατά των τηλεργαζομένων αυξήθηκε από 12% τον Μάρτιο, προ της λήψης των αυστηρών μέτρων για την αντιμετώπιση της πανδημίας, σε ποσοστό που υπερβαίνει το 60% λίγες εβδομάδες μετά56. Τα ως άνω καταδεικνύουν ότι η τηλεργασία ήλθε για να μείνει, όπως επίσης και η συνακόλουθη αυξημένη δράση των κυβερνοεγκληματιών σε βάρος των τηλεργαζομένων. Πρόκειται για ένα νέο τοπίο στην προστασία των προσωπικών δεδομένων, το οποίο δεν έχει ακόμη πλήρως αποκαλυφθεί. Πρώτο μέλημα οργανισμών, επιχειρήσεων και τηλεργαζομένων είναι η λήψη και εφαρμογή των δεόντων τεχνικών και οργανωτικών μέτρων ασφαλείας, ώστε οι νέες συνθήκες να μην αποτελέσουν ισχυρό πλήγμα στο δικαίωμα προστασίας των προσωπικών δεδομένων. Άλλωστε, η αποτυχία στην προστασία των προσωπικών δεδομένων θα υπονομεύσει μετά βεβαιότητας την όποια προσπάθεια διεύρυνσης της τηλεργασίας, καθώς τα δύο αντικείμενα τελούν σε συμπληρωματική σχέση. Σε δεύτερο χρόνο, εξέτασης χρήζει η υιοθέτηση ενός νέου ολιστικού νομοθετικού πλαισίου για την τηλεργασία στη χώρα μας. Ως προς το τελευταίο, η Κυβέρνηση ανακοίνωσε πρόσφατα σχετικά νομοθετική πρωτοβουλία.
Αναμένεται, λοιπόν, η ψήφιση του σχετικού νόμου και τα νέα ζητήματα που αναπόδραστα αυτή θα θέσει στη σχετική συζήτηση.
__________________________
1 European Foundation for the Improvement of Living and Working Conditions, <https://www.eurofound.europa.eu/observatories/eurwork/industrial-relations-dictionary/telework>, τελευταία πρόσβαση 14.7.2020.
2 ibid.
3 Σύνδεσμος Επιχειρήσεων και Βιομηχανιών, Special Report για την τηλεργασία, 2.5.2019, σελ. 3, <http://www.sev.org.gr/Uploads/Documents/52083/SR_TELEWORK_final.pdf>, τελευταία πρόσβαση 14.7.2020.
4 ILO και Eurofound, Working anytime, anywhere: the effects on the world of work, 2017, σελ. 15, <https://www.eurofound.europa.eu/publications/report/2017/working-anytime-anywhere-the-effects-on-the-world-of-work>, τελευταία πρόσβαση 14.7.2020.
5 Σύνδεσμος Επιχειρήσεων και Βιομηχανιών, Special Report για την τηλεργασία, 2.5.2019, σελ. 1, <http://www.sev.org.gr/Uploads/Documents/52083/SR_TELEWORK_final.pdf>, τελευταία πρόσβαση 14.7.2020.
6 Eurofound, Living, working and COVID-19 e-survey, <https://www.eurofound.europa.eu/data/covid-19/working-teleworking>, τελευταία πρόσβαση 14.7.2020.
7 ibid.
8 Σύνδεσμος Επιχειρήσεων και Βιομηχανιών, Special Report για την τηλεργασία, 2.5.2019, σελ. 2, <http://www.sev.org.gr/Uploads/Documents/52083/SR_TELEWORK_final.pdf>, τελευταία πρόσβαση 14.7.2020.
9 ibid.
10 ibid.
11 Ευρωπαϊκό Κοινοβούλιο, Τι κάνει η Ευρώπη για εμένα; – Τηλεργαζόμενοι, <https://what-europe-does-for-me.eu/el/portal/2/B55>, τελευταία πρόσβαση 14.7.2020.
12 Ευρωπαϊκή Συμφωνία Πλαίσιο για την Τηλεργασία του 2002, παρ. 1.
13 Ευρωπαϊκό Κοινοβούλιο, Τι κάνει η Ευρώπη για εμένα; – Τηλεργαζόμενοι, <https://what-europe-does-for-me.eu/el/portal/2/B55>, τελευταία πρόσβαση 14.7.2020.
14 Ευρωπαϊκή Συμφωνία Πλαίσιο για την Τηλεργασία του 2002, παρ. 3.
15 ibid.
16 ibid.
17 «Εγγυήσεις για την εργασιακή ασφάλεια και άλλες διατάξεις», ΦΕΚ Α’ 66/11.05.2010.
18 «Κατεπείγοντα μέτρα αντιμετώπισης των αρνητικών συνεπειών της εμφάνισης του κορωνοϊού COVID-19 και της ανάγκης περιορισμού της διάδοσής του «, ΦΕΚ Α’ 55/11-03-2020.
19 Καθηγητής ΑΠΘ: Ανεπαρκές το νομοθετικό πλαίσιο για την τηλεργασία – Γιατί χρειάζεται να υπάρξουν ειδικότερες ρυθμίσεις – Τι αναφέρει ο Δημήτρης Ζερδελής, iefimerida.gr, 18.3.2020, <https://www.iefimerida.gr/ellada/kathigitis-apth-aneparkes-nomothetiko-plaisio-tilergasia>, τελευταία πρόσβαση 14.7.2020.
20 Europol, Press Release, How criminals profit from the COVID-19 pandemic, 27.3.2020, <https://www.europol.europa.eu/newsroom/news/how-criminals-profit-covid-19-pandemic>, τελευταία πρόσβαση 14.7.2020.
21 Συμβούλιο της Ευρώπης, News, Cybercrime and COVID-19, <https://www.coe.int/en/web/cybercrime/-/cybercrime-and-covid-19>, τελευταία πρόσβαση 14.7.2020.
22 ibid.
23 Εθνική Αρχή Διαφάνειας, Οδηγός προστασίας από τεχνικές εξαπάτησης COVID-19, 2020, σελ. 2.
24 ibid.
25 ibid.
26 Εθνική Αρχή Διαφάνειας, Οδηγός προστασίας από τεχνικές εξαπάτησης COVID-19, 2020, σελ. 3.
27 H Διεύθυνση Δίωξης Ηλεκτρονικού Εγκλήματος ενημερώνει τους πολίτες σχετικά με προσπάθειες εξαπάτησης και περιπτώσεις διασποράς ψευδών ειδήσεων, μέσω διαδικτύου, με αφορμή τον κορωνοϊό (COVID-19), 2020, <https://cyberalert.gr/%ce%b7-%ce%b4%ce%b9%ce%b5%cf%8d%ce%b8%cf%85%ce%bd%cf%83%ce%b7-%ce%b4%ce%af%cf%89%ce%be%ce%b7%cf%82-%ce%b7%ce%bb%ce%b5%ce%ba%cf%84%cf%81%ce%bf%ce%bd%ce%b9%ce%ba%ce%bf%cf%8d-%ce%b5%ce%b3%ce%ba%ce%bb/>, τελευταία πρόσβαση 14.7.2020.
28 ibid.
29 ibid.
30 Βλ. αντί πολλών, Commission Nationale de l’Informatique et des Libertés, Les conseils de la CNIL pour mettre en place du télétravail, 12.5.2020, <https://www.cnil.fr/fr/les-conseils-de-la-cnil-pour-mettre-en-place-du-teletravail>, τελευταία πρόσβαση 14.7.2020. Αναμένονται επίσης σχετικές κατευθυντήριες γραμμές από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων. Βλ. Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων, Press Release, Twentieth plenary session of the European Data Protection Board – scope of upcoming guidance on data processing in the fight against COVID-19, <https://edpb.europa.eu/news/news/2020/twentieth-plenary-session-european-data-protection-board-scope-upcoming-guidance-data_el>, τελευταία πρόσβαση 14.7.2020.
31 Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ, Ε.Ε. L 119/4.5.2016, σελ. 1 επ., γνωστός και ως Γενικός Κανονισμός Προστασίας Δεδομένων (ΓΚΠΔ) ή General Data Protection Regulation (GDPR). Ενδεικτική βιβλιογραφία: Ι. Ιγγλεζάκης, Ο Γενικός Κανονισμός Προστασίας Προσωπικών Δεδομένων (Κανονισμός 2016/679), 2η εκδ., 2018· B. Σωτηρόπουλος, Υπεύθυνος Προστασίας Δεδομένων, 2η εκδ., Εκδόσεις Σάκκουλα, 2019· Λ. Κανέλλος, The GDPR Handbook, Νομική Βιβλιοθήκη, 2020.
32 Κατευθυντήριες Γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη λήψη μέτρων ασφαλείας στο πλαίσιο της τηλεργασίας, 15.4.2020, <https://www.dpa.gr/pls/portal/docs/PAGE/APDPX/HOME/FILES/KATEFTHINTIRIES%20GRAMMES_TILERGASIA.PDF>, τελευταία πρόσβαση 14.7.2020.
33 ΑΠΔΠΧ, Δελτίο Τύπου – Κατευθυντήριες Γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη λήψη μέτρων ασφάλειας στο πλαίσιο τηλεργασίας, 15.4.2020, <http://www.dpa.gr/APDPXPortlets/htdocs/documentDisplay.jsp?docid=65,70,126,25,55,137,17,157>, τελευταία πρόσβαση 14.7.2020.
34 Κατευθυντήριες Γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη λήψη μέτρων ασφαλείας στο πλαίσιο της τηλεργασίας, 15.4.2020, σελ. 1, <https://www.dpa.gr/pls/portal/docs/PAGE/APDPX/HOME/FILES/KATEFTHINTIRIES%20GRAMMES_TILERGASIA.PDF>, τελευταία πρόσβαση 14.7.2020.
35 ibid.
36 Κατευθυντήριες Γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη λήψη μέτρων ασφαλείας στο πλαίσιο της τηλεργασίας, 15.4.2020, σελ. 1-3, <https://www.dpa.gr/pls/portal/docs/PAGE/APDPX/HOME/FILES/KATEFTHINTIRIES%20GRAMMES_TILERGASIA.PDF>, τελευταία πρόσβαση 14.7.2020.
37 Κατευθυντήριες Γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη λήψη μέτρων ασφαλείας στο πλαίσιο της τηλεργασίας, 15.4.2020, σελ. 1-2, <https://www.dpa.gr/pls/portal/docs/PAGE/APDPX/HOME/FILES/KATEFTHINTIRIES%20GRAMMES_TILERGASIA.PDF>, τελευταία πρόσβαση 14.7.2020.
38 Κατευθυντήριες Γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη λήψη μέτρων ασφαλείας στο πλαίσιο της τηλεργασίας, 15.4.2020, σελ. 2, <https://www.dpa.gr/pls/portal/docs/PAGE/APDPX/HOME/FILES/KATEFTHINTIRIES%20GRAMMES_TILERGASIA.PDF>, τελευταία πρόσβαση 14.7.2020.
39 Κατευθυντήριες Γραμμές της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα για τη λήψη μέτρων ασφαλείας στο πλαίσιο της τηλεργασίας, 15.4.2020, σελ. 3, <https://www.dpa.gr/pls/portal/docs/PAGE/APDPX/HOME/FILES/KATEFTHINTIRIES%20GRAMMES_TILERGASIA.PDF>, τελευταία πρόσβαση 14.7.2020.
40 ibid.
41 Υπουργείο Ψηφιακής Διακυβέρνησης, Δελτίο Τύπου – Συμβουλές για την ασφαλή εργασία από το σπίτι, 30.3.2020, <https://mindigital.gr/archives/1291>, τελευταία πρόσβαση 14.7.2020.
42 Σύνδεσμος Επιχειρήσεων και Βιομηχανιών, Τηλεργασία: Q&A και Οδηγός Εφαρμογής, Μάρτιος 2020, <https://www.sev.org.gr/Uploads/Documents/52761/SEV_Thlergasia%20(1B).pdf>, τελευταία πρόσβαση 14.7.2020.
43 Εν γένει για τη βασική προβληματική, βλ., αντί πολλών, I. Ιγγλεζάκη, Επιτήρηση και παρακολούθηση των ηλεκτρονικών επικοινωνιών στο χώρο εργασίας, ΔiΜΕΕ 1/2005, σελ. 55 επ.,
44 O. Proust και S. Crouzet , The risks of online employee monitoring during the COVID-19 crisis, 14.4.2020, <https://www.fieldfisher.com/en/services/privacy-security-and-information/privacy-security-and-information-law-blog/the-risks-of-online-employee-monitoring-during-the>, τελευταία πρόσβαση 14.7.2020.
45 ibid.
46 Οδηγία 115/2001 ΑΠΔΠΧ για την επεξεργασία δεδομένων των εργαζομένων, <http://www.dpa.gr/pls/portal/url/ITEM/BD66D8402E549E88E040A8C07C242BC7>, τελευταία πρόσβαση 14.7.2020· Γνώμη 2/2017 Ομάδας Εργασίας Άρθρου 29 σχετικά με την επεξεργασία δεδομένων στην εργασία, <https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=610169>, τελευταία πρόσβαση 14.7.2020.
47 ΑΠΔΠΧ, Αποφάσεις θεματικής ενότητας «Εργασιακές σχέσεις», <https://www.dpa.gr/portal/page?_pageid=33%2C15453&_dad=portal&_schema=PORTAL&_piref33_15473_33_15453_15453.etos=-1&_piref33_15473_33_15453_15453.arithmosApofasis=&_piref33_15473_33_15453_
15453.thematikiEnotita=171&_piref33_15473_33_15453_15453.ananeosi=%CE%91%CE%BD%CE%B1%CE%BD%CE%AD%CF%89%CF%83%CE%B7>, τελευταία πρόσβαση 14.7.2020.
48 Γνώμη 2/2017 Ομάδας Εργασίας Άρθρου 29 σχετικά με την επεξεργασία δεδομένων στην εργασία, <https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=610169>, τελευταία πρόσβαση 14.7.2020.
49 Γνώμη 2/2017 Ομάδας Εργασίας Άρθρου 29 σχετικά με την επεξεργασία δεδομένων στην εργασία, <https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=610169>, σελ. 19-20, τελευταία πρόσβαση 14.7.2020.
50 O. Proust και S. Crouzet , The risks of online employee monitoring during the COVID-19 crisis, 14.4.2020, <https://www.fieldfisher.com/en/services/privacy-security-and-information/privacy-security-and-information-law-blog/the-risks-of-online-employee-monitoring-during-the>, τελευταία πρόσβαση 14.7.2020.
51 Μονιμοποιεί την τηλεργασία η Facebook, Καθημερινή, 23.5.2020, <https://www.kathimerini.gr/1079540/article/oikonomia/die8nhs-oikonomia/monimopoiei-thn-thlergasia-h-facebook>, τελευταία πρόσβαση 14.7.2020.
52 ibid.
53 ibid.
54 ibid.
55 Facebook και Twitter «σπρώχνουν» τους εργαζόμενους σε μόνιμη τηλεργασία, newmoney.gr, 22.5.2020, <https://www.newmoney.gr/roh/diethni/facebook-ke-twitter-sprochnoun-tous-ergazomenous-se-monimi-tilergasia/>, τελευταία πρόσβαση 14.7.2020.
56 Αυξήθηκαν οι κυβερνοεπιθέσεις κατά εργαζομένων σε τηλεργασία – Εν μέσω lockdown, LiFO, 24.5.2020, <https://www.lifo.gr/now/tech_science/283584/ayksithikan-oi-kyvernoepitheseis-kata-ergazomenon-se-tilergasia-en-meso-lockdown>, τελευταία πρόσβαση 14.7.2020.