Τηλεργασία & Προσωπικά Δεδομένα :και η ουτοπία(;) της διασφάλισής τους...
Στο πλαίσιο των ευέλικτων μορφών απασχόλησης, ξεχωριστή θέση καταλαμβάνει (και αξία κατέχει) η τηλεργασία. Η αξιοποίησή της υπήρξε, το τελευταίο διάστημα, εντυπωσιακή. Φυσιολογική εντούτοις-ας όψεται η πανδημία. Η διασφάλιση των προσωπικών δεδομένων δεν υπήρξε, είναι αλήθεια, προτεραιότητά μας. Αποτελεί, άραγε, μια μικρή ουτοπία η διασφάλισή τους;
Ευέλικτες μορφές απασχόλησης και τηλεργασία: μια οικεία, πλέον, πραγματικότητα.
Οι ευέλικτες μορφές απασχόλησης καταλαμβάνουν ολοένα και μεγαλύτερο χώρο στην αγορά εργασίας. Η εξ αποστάσεως απασχόληση και (η πλέον συνήθης μορφή της) η τηλεργασία είχε ξεκινήσει δειλά να καταλαμβάνει, στη χώρα μας, ζωτικό χώρο στην αγορά εργασίας. Η τηλεργασία, στη συνήθη μορφή της, μας είχε επίσης απασχολήσει σε προγενέστερη αρθρογραφία μας.
Οι ανάγκες των επιχειρήσεων για την αξιοποίηση των υπηρεσιών των εργαζομένων τους παραμένουν, πάντοτε, δεδομένες. Και κατά τη διάρκεια μιας πανδημίας.
Οι πρόσφατες, έκτακτες, περιστάσεις είχαν ως αποτέλεσμα τη λήψη έκτακτων μέτρων. Μεταξύ αυτών, η δυνατότητα του εργοδότη να επιβάλει, μονομερώς, την εξ αποστάσεως εργασία. Η τελευταία, κατέληξε να ταυτισθεί στη σκέψη μας με την τηλεργασία. Έγινε το αναγκαίο μέσο προκειμένου να διασφαλιστεί η συνέχεια στην παροχή υπηρεσιών πλήθους επιχειρήσεων.
Ως αποτέλεσμα (και των έκτακτων μέτρων), η τηλεργασία έχει εδραιωθεί-έστω και προσωρινά. Το συγκεκριμένο γεγονός προβάλλει ως καλός οιωνός για την περαιτέρω αξιοποίηση και ανάπτυξή της.
Η προσφυγή ωστόσο στην τηλεργασία, για την πρόσκαιρη αντιμετώπιση κάποιων έκτακτων καταστάσεων, δεν έγινε συγκροτημένα. Πολλές επιχειρήσεις εμφανίζονται, ακόμα και σήμερα, ελλιπώς προετοιμασμένες. Βρίσκονται εκτεθειμένες σε σημαντικούς κινδύνους. Ένας από τους σημαντικότερους: η ασφάλεια των προσωπικών δεδομένων.
Ο κίνδυνος για τα προσωπικά δεδομένα
Οι εργαζόμενοι που έχουν απομακρυσμένη πρόσβαση στην υποδομή του εργοδότη δεν προστατεύονται από τα μέτρα (κυβερνο)ασφάλειας που (συνήθως) καλύπτουν τις εγκαταστάσεις της επιχείρησης. Ο κίνδυνος αυτός δεν είναι πρωτόφαντος. Είχε, ήδη, εντοπιστεί από την ομάδα εργασίας (Work Party) του άρθρου 29.
Τα δεδομένα που προέκυψαν από τη διαχείριση της πανδημίας στο χώρο των επιχειρήσεων ώθησαν την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (Αρχή ΠΔΠΧ) στη έκδοση Κατευθυντήριων Αρχών.
Οι Κατευθυντήριες Γραμμές της Αρχής ΠΔΠΧ
Η Αρχή ΠΔΠΧ εφιστά την προσοχή στις επιχειρήσεις για τη σοβαρότητα των κινδύνων που απορρέουν από την εξ αποστάσεως εργασία. Συστήνει την λήψη συγκεκριμένων μέτρων κατά τη διαδικασία της τηλεργασίας. Τα μέτρα αυτά αφορούν: (α) την πρόσβαση στο Διαδίκτυο, (β) τη χρήση εφαρμογών ηλεκτρονικού ταχυδρομείου/ανταλλαγής μηνυμάτων, (γ) τη χρήση τερματικής συσκευής/αποθηκευτικών μέσων, (δ) την πραγματοποίηση τηλεδιασκέψεων.
(α) Ως προς την πρόσβαση στο Διαδίκτυο
Η διασφάλιση ασφαλούς απομακρυσμένης πρόσβασης στο πληροφοριακό σύστημα της επιχείρησης αξιολογείται ως ζωτικής σημασίας. Η επιχείρηση οφείλει να καθορίζει και να περιορίζει τους πόρους στους οποίους επιτρέπεται η απομακρυσμένη πρόσβαση. Και τούτο στα απολύτως απαραίτητα.
Οι τηλεργαζόμενοι οφείλουν-με τη σειρά τους, όταν συνδέονται στο Διαδίκτυο μέσω ασύρματου δικτύου (Wi-Fi), να χρησιμοποιούν ασφαλές πρωτόκολλο WPA2 με ισχυρό κωδικό. Πρέπει, επίσης, να αποφεύγουν την αποθήκευση αρχείων με προσωπικά δεδομένα σε υπηρεσίες διαδικτυακής αποθήκευσης (π.χ. Dropbox, One Drive). Εκτός κι αν διασφαλίζονται οι κατάλληλες προϋποθέσεις τα κατάλληλα εχέγγυα (π.χ. κρυπτογράφηση)...
(β) Ως προς τη χρήση εφαρμογών ηλεκτρονικού ταχυδρομείου/ανταλλαγής μηνυμάτων
Στον τομέα της ηλεκτρονικής αλληλογραφίας, η Αρχή ΠΔΠΧ επισημαίνει την αναγκαιότητα αποφυγής χρήσης προσωπικού ηλεκτρονικού ταχυδρομείου κατά την τηλεργασία. Κι όταν αυτό μοιάζει ανέφικτο, συστήνει την ανάγκη κατάλληλης κρυπτογράφησης. Υπενθυμίζει μάλιστα πως πρέπει να αποφεύγεται η χρήση προσωπικών δεδομένων στο θέμα του μηνύματος ηλεκτρονικής αλληλογραφίας.
Επιπλέον (και αυτονοήτως) η Αρχή συνιστά την αποφυγή ή χρήση εφαρμογών ανταλλαγής μηνυμάτων (κείμενο ή/και βίντεο) για τους σκοπούς της τηλεργασίας, όταν τα μηνύματα αυτά περιέχουν προσωπικά δεδομένα, των οποίων τυχόν διαρροή θα επέφερε κινδύνους.
(γ) Ως προς τη χρήση τερματικής συσκευής/αποθηκευτικών μέσων
Η Αρχή ΠΔΠΧ υπογραμμίζει, ακόμη, την ιδιαίτερη, μέριμνα που πρέπει να επιδείξει ο εργαζόμενος -σύμφωνα πάντα και με τις κατευθύνσεις του εργοδότη- για τις συσκευές (π.χ. (π.χ. υπολογιστής, laptop κτλ.) μέσω των οποίων παρέχεται η τηλεργασία.
Ενδεικτικά: Οι συσκευές αυτές πρέπει να έχουν εγκατεστημένα και τακτικώς ενημερωμένα αντιϊκά προγράμματα. Να έχουν εγκατεστημένες τις πλέον πρόσφατες ενημερώσεις του λογισμικού εφαρμογών και του λειτουργικού τους συστήματος. Πλέον πρόσφατες πρέπει να είναι και οι εκδόσεις των προγραμμάτων πλοήγησης στο Διαδίκτυο. Οι τηλεργαζόμενοι, ενδείκνυται να χρησιμοποιούν την ανώνυμη περιήγηση ή να διαγράφουν από το ιστορικό τους συνδέσμους που σχετίζονται με την τηλεργασία, κατά το τέλος της εργασίας τους. Να διαχωρίζουν τα αρχεία που περιέχουν προσωπικά δεδομένα (που σχετίζονται με την εργασία τους) από τα προσωπικά τους αρχεία. Να προστατεύουν τις συσκευές τους με ισχυρούς κωδικούς πρόσβασης.
Αντίστοιχα όμως και οι επιχειρήσεις οφείλουν να υποστηρίζουν τους τηλεργαζομένους με διαδικασίες κατάλληλης κρυπτογράφησης των αρχείων που περιέχουν προσωπικά δεδομένα. Να υποστηρίζουν τις διαδικασίες λήψης αντιγράφων ασφαλείας.
(δ) Ως προς την πραγματοποίηση τηλεδιασκέψεων
Η πανδημία υπήρξε αφορμή για σημαντική, περαιτέρω, αξιοποίηση των τηλεδιασκέψεων και των διευκολύνσεων που αυτές προσφέρουν. Ωστόσο, και ως προς τις τηλεδιασκέψεις πρέπει να λαμβάνονται ικανοποιητικά μέτρα, προκειμένου να διασφαλίζονται τα προσωπικά δεδομένα.
Ειδικότερα, κατά την Αρχή ΠΔΠΧ, για την διεξαγωγή των τηλεδιασκέψεων καταγράφεται ως επιβαλλόμενη η αξιοποίηση πλατφορμών που υποστηρίζουν υπηρεσίες ασφαλείας (κρυπτογράφηση). Επιπλέον, στις περιπτώσεις προγραμματισμένης τηλεδιάσκεψης, ο σχετικός σύνδεσμος δεν πρέπει να δημοσιοποιείται (π.χ. σε μέσα κοινωνικής δικτύωσης).
Ο κίνδυνος λήψης δυσανάλογων μέτρων προστασίας των προσωπικών δεδομένων από τις επιχειρήσεις
Στην προσπάθεια μετριασμού του κινδύνου για τα προσωπικά δεδομένα, οι επιχειρήσεις ενδέχεται να βρεθούν εκτεθειμένες σε έναν άλλο κίνδυνο. Έναν κίνδυνο που ελλοχεύει στην αντίπερα, ακριβώς, όχθη. Εκείνον της λήψης δυσανάλογων, και εν τέλει μη νόμιμων, μέσων προστασίας των προσωπικών δεδομένων.
Σχετικές τεχνολογίες είναι ευρέως διαθέσιμες (λ.χ. πρόσβασης στο laptop του εργαζόμενου). Η επεξεργασία που διενεργείται στο πλαίσιο των συγκεκριμένων τεχνολογιών δεν είναι νόμιμη. Τέτοιες πρακτικές είναι απαγορευμένες.
Η τηλεργασία (συνεχίζει να) αποτελεί ένα σημαντικό εργαλείο για την αντιμετώπιση κάποιων από τις συνέπειες της πανδημίας.
Τα εργαλεία τεχνολογίας διευρύνουν τους ορίζοντες και τις δυνατότητες. Διευρύνουν όμως και τους κινδύνους. Κάποιοι από αυτούς συναρτώνται με τη διαχείριση και προστασία των προσωπικών δεδομένων.
Η Αρχή ΠΔΠΧ μας τους υπενθυμίζει.
Σε κάθε περίπτωση: Η τηλεργασία δεν κινδυνεύει από τη μέριμνα για τα προσωπικά δεδομένα. Αντίθετα, τα προσωπικά δεδομένα σημαντικούς κινδύνους διατρέχουν από την (αμέριμνη) αξιοποίηση της τηλεργασίας. Η προστασία τους δεν αποτελεί ουτοπία στο πλαίσιο της τελευταίας.
Ας είναι ένα κομμάτι της μέριμνάς μας η προστασία τους. Όχι όμως γιατί το «λέει η Αρχή».
Οι κίνδυνοι που διατρέχουμε από την τυχόν κακή τους χρήση, υπαρκτοί.
Και προ των πυλών.
Και σοβαροί.
Και οικονομικά μετρήσιμοι.
*Δημοσιεύθηκε στη "ΜτΚ" στις 26 Απριλίου 2020