Στο προσφάτως δημοσιευθέν Προεδρικό Διάταγμα υπ’ αριθ. 13/13.2.2025 (ΦΕΚ Α’ 19) τίθενται οι όροι και οι προϋποθέσεις για την επεξεργασία δεδομένων προσωπικού χαρακτήρα κατά την τηλεργασία στον δημόσιο τομέα, με επίκεντρο τον σχετικό Νόμο 4807/2021 (Α΄ 96), για το πλαίσιο οργάνωσης και αποτελεσματικής εφαρμογής της τηλεργασίας, τόσο σε κανονικές όσο και σε έκτακτες συνθήκες, διά της χρήσης τεχνολογιών πληροφορικής.
ΚΑΘΟΡΙΖΟΝΤΑΙ ΜΕΤΑΞΥ ΑΛΛΩΝ ΟΙ ΥΠΟΧΡΕΩΣΕΙΣ ΤΟΥ ΥΠΕΥΘΥΝΟΥ ΕΠΕΞΕΡΓΑΣΙΑΣ, ΤΑ ΔΙΚΑΙΩΜΑΤΑ ΤΩΝ ΥΠΟΚΕΙΜΕΝΩΝ ΚΑΙ ΤΑ ΔΕΔΟΜΕΝΑ ΠΟΥ ΥΠΟΚΕΙΝΤΑΙ ΣΕ ΕΠΕΞΕΡΓΑΣΙΑ
Τα κυριότερα σημεία του νέου Προεδρικού Διατάγματος ακολουθούν κατωτέρω:
Δεδομένα που υπόκεινται σε επεξεργασία
Σύμφωνα με το άρθρο 3 του ΠΔ 13/2025 σκοπός του διατάγματος είναι η προστασία των δεδομένων προσωπικού χαρακτήρα, ενώ είναι δυνατή η επεξεργασία τους, μέσω της χρήσης συστήματος παρακολούθησης του χρόνου εργασίας, αποκλειστικά με σκοπό την απόδειξη τήρησης του νόμιμου ωραρίου και εφόσον δεν είναι δυνατή η παρακολούθηση με ηπιότερα μέσα. Κατά το άρθρο 4 του Προεδρικού Διατάγματος, οι κατηγορίες των δεδομένων που υπόκεινται σε επεξεργασία αναλύονται ως εξής:
α) Δεδομένα ταυτότητας όπως το oνοματεπώνυμο και το όνομα χρήστη.
β) Δεδομένα επικοινωνίας, όπως διεύθυνση ηλεκτρονικού ταχυδρομείου.
γ) Τεχνικά δεδομένα, όπως διεύθυνση πρωτοκόλλου διαδικτύου (IP).
δ) Καταγραφή δεδομένων ήχου ή/και εικόνας, σε περίπτωση τηλεδιάσκεψης (καταρχήν απαγορεύεται, ενώ στο άρθρο 4 του ΠΔ 13/2025 καθορίζονται ειδικώς εξαιρέσεις).
ε) Oποιοδήποτε άλλο προσωπικό δεδομένο σχετίζεται με τα καθήκοντα του Φορέα και είναι απαραίτητο για την άσκησή τους.
Υποχρεώσεις του Φορέα ως Υπεύθυνου Επεξεργασίας
Η εφαρμογή κατάλληλων τεχνικών και οργανωτικών μέτρων, σύμφωνα με τον ΓΚΠΔ και την εθνική νομοθεσία (ιδίως το Ν 4624/2019), ως υποχρέωση του υπεύθυνου επεξεργασίας φορέα, εξειδικεύεται στα άρθρα 5 και 8 του Προεδρικού Διατάγματος ως ακολούθως:
-Διενέργεια εκτίμησης αντικτύπου (παρ. 1 του άρθρου 35 του ΓΚΠΔ) και εκπόνηση πολιτικής ορθής χρήσης εφαρμογής και ασφάλειας.
-Προμήθεια του τηλεργαζόμενου με «Σταθμό Τηλεργασίας», δηλαδή με τηλεπικοινωνιακό εξοπλισμό και συσκευές κατάλληλες για την εκτέλεση των καθηκόντων.
-Συνεκτίμηση των κινδύνων και εγκριτική απόφαση για περιπτώσεις χρήσης προσωπικού εξοπλισμού. Για τις περιπτώσεις «bring your own device» ο Φορέας παραμένει υπεύθυνος για την ασφάλεια των προσωπικών δεδομένων.
-Ενημέρωση, εκπαίδευση και παροχή οδηγιών προς τους τηλεργαζόμενους, για την εφαρμογή των πολιτικών και των διαδικασιών για την προστασία των δεδομένων προσωπικού χαρακτήρα.
-Λήψη αναγκαίων και πρόσφορων μέτρων για την άσκηση ελέγχου της παρεχόμενης εργασίας.
-Εξασφάλιση ασφαλούς απομακρυσμένης πρόσβασης σε πόρους πληροφοριακών συστημάτων του φορέα.
-Καθορισμός των τεχνολογιών, των όρων και των προϋποθέσεων, σύμφωνα με τις οποίες επιτρέπεται η απομακρυσμένη πρόσβαση.
Χρόνος διατήρησης των δεδομένων
Στο άρθρο 6 του Προεδρικού Διατάγματος προσδιορίζεται επακριβώς ο χρόνος διατήρησης των δεδομένων, είτε πρόκειται για εξωτερικά στοιχεία της επικοινωνίας, είτε για δεδομένα περιλαμβανόμενα σε αρχεία, που μεταφορτώνονται σε συσκευές τηλεργαζόμενων, είτε για μεταδεδομένα.
Δικαιώματα και υποχρεώσεις υποκειμένου
Η πληροφόρηση του υποκειμένου για τα προσωπικά δεδομένα, που συλλέγονται και το αφορούν, μπορεί να γίνει κατόπιν αιτήσεως. Η διαδικασία καθώς και η προθεσμία απάντησης του φορέα προβλέπονται στο άρθρο 7 του Προεδρικού Διατάγματος. Με το άρθρο 9 του ίδιου ΠΔ καθορίζονται και οι υποχρεώσεις του τηλεργαζόμενου, ο οποίος δεσμεύεται από το καθήκον εχεμύθειας, όπως ορίζει το άρθρο 26 του Υπαλληλικού Κώδικα (Ν 3528/2007 Α’ 26) και οφείλει να τηρεί τις πολιτικές ασφαλείας που του έχουν κοινοποιηθεί από τον φορέα.
Δείτε το νέο Προεδρικό Διάταγμα στην Qualex: ΠΔ 13/2025