Προεδρικά Διατάγματα — ΦΕΚ A' 19/2025

Type Προεδρικό Διάταγμα
Publication 2025-02-13
State In force
Source ΦΕΚ
Reform history JSON API

Προστασία δεδομένων προσωπικού χαρακτήρα κατά την τηλεργασία στον δημόσιο τομέα.

Η ΠΡΟΕΔΡΟΣ

ΤΗΣ ΕΛΛΗΝΙΚΗΣ ΔΗΜΟΚΡΑΤΙΑΣ

Έχοντας υπόψη:

1.

Τις διατάξεις:

ρυθμίσεις» (Α΄ 96),

για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (L 119),

Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 και άλλες διατάξεις» (Α΄ 137).

2.

Το π.δ. 79/2023 «Διορισμός Υπουργών, Αναπληρωτών Υπουργών και Υφυπουργών (Α΄ 131).

3.

Το π.δ. 82/2023 «Μετονομασία Υπουργείου - Σύσταση και μετονομασία Γενικών Γραμματειών - Μεταφορά αρμοδιοτήτων, υπηρεσιακών μονάδων και θέσεων προσωπικού - Τροποποίηση και συμπλήρωση του π.δ. 77/2023 (Α΄ 130) - Μεταβατικές διατάξεις» (Α΄ 139).

4.

Την 102928 ΕΞ 2023/10.7.2023 κοινή απόφαση του Πρωθυπουργού και του Υπουργού Εθνικής Οικονομίας και Οικονομικών «Ανάθεση αρμοδιοτήτων στον Υφυπουργό Οικονομικών, Αθανάσιο Πετραλιά» (Β΄ 4441).

5.

Την 947/19.6.2024 κοινή απόφαση του Πρωθυπουργού και του Υπουργού Εσωτερικών «Ανάθεση αρμοδιοτήτων στην Υφυπουργό Εσωτερικών, Παρασκευή Χαραλαμπογιάννη» (Β΄ 3715).

6.

Την 1/2022 γνωμοδότηση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

7.

Το άρθρο 90 του Κώδικα νομοθεσίας για την Κυβέρνηση και τα κυβερνητικά όργανα (π.δ. 63/2005, Α΄ 98), το οποίο διατηρήθηκε σε ισχύ με την περ. 22 του άρθρου 119 του ν. 4622/2019 (Α΄ 133), και το γεγονός ότι, όπως προκύπτει από την ΔΙΠΔΑ/Φ4Π/9/οικ.2281/9.2.2023 εισήγηση της Προϊσταμένης της Γενικής Διεύθυνσης Οικονομικών και Διοικητικών Υπηρεσιών του Υπουργείου Εσωτερικών, από τις διατάξεις του παρόντος διατάγματος προκαλείται ενδεχόμενη δαπάνη σε βάρος του κρατικού προϋπολογισμού, η οποία, εφόσον συντελεστεί, θα επιβαρύνει τον προϋπολογισμό του οικείου Φορέα ως υπευθύνου επεξεργασίας δεδομένων προσωπικού χαρακτήρα, κατά περίπτωση.

8.

Το γεγονός ότι οι διατάξεις του παρόντος δεν αφορούν σε διοικητική διαδικασία, για την οποία υπάρχει υποχρέωση καταχώρισης στο ΕΜΔΔ - ΜΙΤΟΣ.

9.

Τις 36 και 125/2024 γνωμοδοτήσεις του Συμβουλίου της Επικρατείας. Με πρόταση των Υπουργών Δικαιοσύνης και Ψηφιακής Διακυβέρνησης και των Υφυπουργών Εθνικής Οικονομίας και Οικονομικών και Εσωτερικών, αποφασίζουμε:

Άρθρο 1

Αντικείμενο Με το παρόν διάταγμα θεσπίζονται οι όροι και οι προϋποθέσεις της επεξεργασίας δεδομένων προσωπικού χαρακτήρα κατά την τηλεργασία στον δημόσιο τομέα κατά την εφαρμογή των διατάξεων του ν. 4807/2021 (Α΄ 96), εξειδικεύονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας για την προστασία των δεδομένων προσωπικού χαρακτήρα των τηλεργαζόμενων και τρίτων φυσικών προσώπων, καθορίζονται οι υποχρεώσεις των Φορέων ως υπευθύνων επεξεργασίας και ρυθμίζεται κάθε άλλη αναγκαία λεπτομέρεια για την προστασία των δεδομένων προσωπικού χαρακτήρα κατά την εκτέλεση της τηλεργασίας, σύμφωνα με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (εφεξής «ΓΚΠΔ») και τον ν. 4624/2019 (Α΄ 137). Για την εφαρμογή του παρόντος, ισχύουν οι ορισμοί των άρθρων 3 και 4 του ν. 4807/2021.

Άρθρο 3

Αντικείμενο ρύθμισης και νομικές βάσεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα

1.

Αντικείμενο ρύθμισης του παρόντος αποτελεί η προστασία των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων που παρέχουν την τηλεργασία στον δημόσιο τομέα, τόσο σε κανονικές όσο και σε έκτακτες συνθήκες, μέσω της αξιοποίησης των τεχνολογιών πληροφορικής και επικοινωνιών.

2.

Ο εκάστοτε Φορέας υποβάλλει σε επεξεργασία τα δεδομένα προσωπικού χαρακτήρα του προσωπικού κατά την τηλεργασία, προς τον σκοπό εφαρμογής των διατάξεων των άρθρων 1-18 του ν. 4807/2021 που προβλέπουν την τηλεργασία στον δημόσιο τομέα. Νομική βάση της επεξεργασίας είναι η περ. β της παρ. 3 του άρθρου 6 του ΓΚΠΔ σε συνδυασμό με τα άρθρα 5 και 27 του ν. 4624/2019. Περαιτέρω, ο Φορέας υποβάλλει σε επεξεργασία τα προσωπικά δεδομένα του λοιπού προσωπικού, καθώς και λοιπών τρίτων φυσικών προσώπων (διοικουμένων), όταν αυτό είναι απαραίτητο για την άσκηση των καθηκόντων του και την εκπλήρωση της αποστολής του, που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που του έχει ανατεθεί, σύμφωνα με τις περ. γ και ε της παρ. 1 του άρθρου 6 του ΓΚΠΔ. Επίσης, υποβάλλει σε επεξεργασία προσωπικά δεδομένα τρίτων προσώπων, με τα οποία συνδέεται με συμβατική σχέση κατ’ εφαρμογή του άρθρου 6 παρ. 1 περ. β του ΓΚΠΔ.

3.

Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα λαμβάνει χώρα για τον σκοπό της υλοποίησης της τηλεργασίας στον δημόσιο τομέα κατ’ εφαρμογή των διατάξεων του ν. 4807/2021. Οι κατηγορίες των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας προσδιορίζονται στο άρθρο 4 του παρόντος. Ο εκάστοτε Φορέας, ως Υπεύθυνος Επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, υποχρεούται να προβεί στην εκπόνηση μελέτης εκτίμησης αντικτύπου πριν από την έναρξη της τηλεργασίας, σύμφωνα με την παρ. 9 του άρθρου 6 του ν. 4807/2021.

4.

Λαμβάνοντας υπόψη τη φύση των καθηκόντων του τηλεργαζόμενου και τις λειτουργικές ανάγκες του Φορέα, είναι δυνατή η επεξεργασία δεδομένων προσωπικού χαρακτήρα του τηλεργαζόμενου μέσω της χρήσης συστήματος παρακολούθησης του χρόνου εργασίας, αποκλειστικά για τον σκοπό της εφαρμογής της τηλεργασίας στον δημόσιο τομέα και ειδικότερα, αποκλειστικά, για τον ειδικότερο σκοπό της απόδειξης της τήρησης του νόμιμου ωραρίου. Η χρήση συστήματος παρακολούθησης του χρόνου εργασίας επιτρέπεται μόνο εφόσον είναι αδύνατη η παρακολούθηση της τήρησης του ωραρίου με ηπιότερα μέσα, και η χρήση του συστήματος αιτιολογείται επαρκώς ως ανάλογη του στόχου που υπηρετεί, περιορίζεται στο πλαίσιο του επιδιωκόμενου σκοπού και δεν προκύπτει από τη διενεργηθείσα εκτίμηση αντικτύπου ότι ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των τηλεργαζόμενων του Φορέα, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας. Ο Υπεύθυνος Επεξεργασίας πρέπει να υιοθετεί προς τη συγκεκριμένη κατεύθυνση μέτρα, τα οποία πρέπει να σέβονται τα θεμελιώδη δικαιώματα των τηλεργαζόμενων, σύμφωνα με την αρχή της αναλογικότητας και τις θεμελιώδεις αρχές που διέπουν την επεξεργασία των προσωπικών δεδομένων, αποκλείοντας μέτρα τα οποία παραβιάζουν τα ανωτέρω, καθώς και τις αποφάσεις της Αρχής Προστασίας Προσωπικών Δεδομένων (ΑΠΔΠΧ) και της Ομάδας Εργασίας του άρθρου 29 (ήδη Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων).

5.

Ο Φορέας υποχρεούται, πριν από την έναρξη της τηλεργασίας, να κοινοποιεί στους τηλεργαζόμενους αναλυτικά τους σκοπούς επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, τις νομικές βάσεις της επεξεργασίας τους, τυχόν αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, το χρονικό διάστημα για το οποίο αποθηκεύονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και κάθε άλλη πληροφορία που απαιτείται, σύμφωνα με τα άρθρα 13 και 14 του ΓΚΠΔ.

Άρθρο 4

Κατηγορίες δεδομένων προσωπικού χαρακτήρα

1.

Κατά την τηλεργασία, η επεξεργασία δεδομένων προσωπικού χαρακτήρα ενδέχεται να περιλαμβάνει τις παρακάτω κατηγορίες δεδομένων:

διαδικτύου (IP).

σύμφωνα με τους ειδικότερους ορισμούς του παρόντος άρθρου.

με τα καθήκοντα του Φορέα και είναι απαραίτητο για την άσκηση αυτών, σύμφωνα με την αρχή της ελαχιστοποίησης των δεδομένων, κατά τα οριζόμενα στην περ. γ της παρ. 1 του άρθρου 5 του ΓΚΠΔ, καθώς και τις λοιπές αρχές που διέπουν την επεξεργασία των προσωπικών δεδομένων και τα θεμελιώδη δικαιώματα των εργαζομένων. Οι ως άνω κατηγορίες προσωπικών δεδομένων υποβάλλονται σε επεξεργασία εφόσον αυτό απαιτείται από τον τρόπο λειτουργίας της εκάστοτε εφαρμογής / συστήματος που επιλέγει ο Υπεύθυνος Επεξεργασίας.

2.

Οι ως άνω κατηγορίες δεδομένων αφορούν τις ακόλουθες κατηγορίες υποκειμένων των δεδομένων:

3.

Ανάλογα με τις λειτουργικές ανάγκες του και στο πλαίσιο του σκοπού που του έχει ανατεθεί, εφόσον κρίνεται απολύτως αναγκαίο, ο Φορέας δύναται να καθορίζει και άλλες κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία στο πλαίσιο της τηλεργασίας, τηρώντας την αρχή της ελαχιστοποίησης των δεδομένων, σύμφωνα με την περ. γ της παρ. 1 του άρθρου 5 του ΓΚΠΔ, καθώς και τις λοιπές αρχές που διέπουν την επεξεργασία των προσωπικών δεδομένων και τα θεμελιώδη δικαιώματα των εργαζομένων.

4.

Στις περιπτώσεις των τηλεδιασκέψεων, καταρχήν απαγορεύεται η επεξεργασία δεδομένων εικόνας και κινούμενης εικόνας (χρήση κάμερας). Η χρήση κάμερας επιτρέπεται μόνο εφόσον οι ειδικότερες συγκεκριμένες λειτουργικές ανάγκες της υπηρεσίας και η φύση της τηλεδιάσκεψης το δικαιολογούν και είναι σαφείς, νόμιμες και διαφανείς, λαμβάνοντας υπόψη τα τυχόν ειδικότερα οριζόμενα στην οικεία πολιτική προστασίας προσωπικών δεδομένων του Φορέα, καθώς και στην πολιτική για την απομακρυσμένη πρόσβαση και σε λοιπές πολιτικές που έχει υιοθετήσει ο Φορέας στο πλαίσιο της αρχής της λογοδοσίας. Σε περίπτωση που τυγχάνουν επεξεργασίας δεδομένα ήχου, η επεξεργασία αυτή περιορίζεται στην απολύτως απαραίτητη για τη διενέργεια τηλεδιασκέψεων. Η επεξεργασία δεδομένων ήχου ή/ και εικόνας του τηλεργαζόμενου με τη χρήση συστημάτων λήψης και εγγραφής ήχου ή/και κινούμενων εικόνων (μέσω καταγραφέα ήχου ή/και κάμερας) που είναι ενσωματωμένα στη συσκευή τηλεργασίας, είτε αυτή παρέχεται από τον Φορέα είτε αποτελεί προσωπικό εξοπλισμό του τηλεργαζόμενου, επιτρέπεται κατά τη διενέργεια τηλεδιασκέψεων για τον σκοπό της ορθής διεξαγωγής της τηλεργασίας και εφόσον απαιτείται από τη φύση και το αντικείμενο της τηλεδιάσκεψης, μόνο εφόσον επιβάλλεται από τις λειτουργικές ανάγκες της υπηρεσίας που παρέχει ο Φορέας, περιορίζεται στο πλαίσιο του επιδιωκόμενου σκοπού, είναι ανάλογη του στόχου που υπηρετεί και από τη διενεργηθείσα εκτίμηση αντικτύπου του παρόντος δεν προκύπτει ότι ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των τηλεργαζόμενων, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, λαμβάνοντας υπόψη τα τυχόν ειδικότερα οριζόμενα στην οικεία πολιτική προστασίας προσωπικών δεδομένων του Φορέα. Πριν από την έναρξη της καταγραφής θα πρέπει να ενημερώνονται σχετικά οι συμμετέχοντες και η ενημέρωση αυτή να καταγράφεται. Σε περίπτωση καταγραφής τηλεδιάσκεψης με τρίτο πρόσωπο/μέρος (πέραν του τηλεργαζόμενου) που πραγματοποιείται κατά τη διάρκεια νόμιμης επαγγελματικής πρακτικής με σκοπό την παροχή αποδεικτικών στοιχείων επαγγελματικής συναλλαγής ή άλλης επικοινωνίας επαγγελματικού χαρακτήρα, απαιτείται η, μετά από προηγούμενη ενημέρωση για τους σκοπούς της καταγραφής, προηγούμενη συγκατάθεση των τρίτων μερών της επικοινωνίας.

5.

Στην περίπτωση επιτρεπόμενης καταγραφής της τηλεδιάσκεψης, η ενεργοποίηση της σχετικής λειτουργίας γίνεται αποκλειστικά από ειδικά εξουσιοδοτημένους χρήστες, οι οποίοι οφείλουν να ενημερώσουν τους συμμετέχοντες ότι η τηλεδιάσκεψη καταγράφεται εν όλω ή εν μέρει. Οι καταγραφές των τηλεδιασκέψεων γίνονται από τον Φορέα υποχρεωτικά σε κρυπτογραφημένη μορφή. Εφόσον η κρυπτογράφηση δεν καθίσταται τεχνικά εφικτή, μπορεί να λάβει χώρα καταγραφή της τηλεδιάσκεψης χωρίς κρυπτογράφηση, κατόπιν αιτιολογημένης απόφασης του Φορέα, μόνο κατ’ εξαίρεση, και υπό την προϋπόθεση ότι ο κίνδυνος για την προστασία των προσωπικών δεδομένων κρίνεται ως χαμηλός.

6.

Στις περιπτώσεις που κρίνεται απαραίτητη η θέση σε λειτουργία της κάμερας από τον τηλεργαζόμενο, συστήνεται αυτός να επιλέγει δυνατότητες της χρησιμοποιούμενης πλατφόρμας που επιτρέπουν την απόκρυψη φόντου (background) με θόλωση ή με προσθήκη εικόνας (virtual background), προκειμένου να αποφευχθεί ο κίνδυνος αποκάλυψης προσωπικών πληροφοριών που μπορεί να προκύψουν από τη θέαση.

Άρθρο 5

Υποχρεώσεις Φορέα

1.

Ο Φορέας, υπό την ιδιότητά του ως Υπευθύνου Επεξεργασίας σύμφωνα με την παρ. 3 του άρθρου 6 του ν. 4807/2021, εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως αυτά προβλέπονται στον ΓΚΠΔ και την εθνική νομοθεσία και, ιδίως, τον ν. 4624/2019, προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων για τα δεδομένα προσωπικού χαρακτήρα. Τα εφαρμοζόμενα τεχνικά και οργανωτικά μέτρα κατά την υλοποίηση της τηλεργασίας στον δημόσιο τομέα εξειδικεύονται στο άρθρο 8 του παρόντος. Η διενέργεια εκτίμησης επιπτώσεων (αντικτύπου) κατά την παρ. 1 του άρθρου 35 του ΓΚΠΔ, η εκπόνηση πολιτικής ορθής χρήσης εφαρμογής, πολιτικής ασφάλειας λειτουργίας εφαρμογής και πολιτικής για ανταπόκριση στα συμβάντα ασφάλειας για μετριασμό και αποκατάσταση απειλών, εκπονούνται από τον Φορέα, με την επιφύλαξη των διατάξεων της παρ. 9 του άρθρου 6 του ν. 4807/2021, πριν από την έκδοση της απόφασης τηλεργασίας, όπως προβλέπεται ειδικότερα στο άρθρο 14 του Κεφαλαίου Ε΄ του ν. 4807/2021.

2.

Σε περίπτωση που κατά την παροχή τηλεργασίας λαμβάνει χώρα διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες, ο Φορέας επιλέγει και χρησιμοποιεί ηλεκτρονικές εφαρμογές, λαμβάνοντας υπόψη τις διατάξεις του Κεφαλαίου V του ΓΚΠΔ, και ειδικότερα τα άρθρα 44 επ. αυτού, για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες.

3.

Η υπηρεσία του Φορέα που είναι αρμόδια για την παροχή εξοπλισμού και την πληροφοριακή υποστήριξη, προμηθεύει τον τηλεργαζόμενο με τον τηλεπικοινωνιακό εξοπλισμό και την τεχνολογική συσκευή (εφεξής «Σταθμός Τηλεργασίας») που είναι απαραίτητα και κατάλληλα για την αποτελεσματική εκτέλεση των καθηκόντων του μέσω τηλεργασίας. Ο Σταθμός Τηλεργασίας που παρέχει ο Φορέας χρησιμοποιείται από τον τηλεργαζόμενο αποκλειστικά και μόνο στο πλαίσιο άσκησης παρόντος και τις σχετικές πολιτικές ασφάλειας που του κοινοποιεί ο Φορέας.

4.

O Φορέας παρέχει στον τηλεργαζόμενο οδηγίες για την κατάλληλη χωροθέτηση και διαμόρφωση του Σταθμού Τηλεργασίας, τις πολιτικές ασφαλείας και τους όρους χρήσης του Σταθμού Τηλεργασίας, καθώς και εκπαίδευση και τεχνική υποστήριξη για την εγκατάσταση και ορθή χρήση του, ώστε να διασφαλίζονται, σε κάθε περίπτωση, οι ελάχιστες προϋποθέσεις εργονομίας και ασφάλειας. Κάθε τηλεργαζόμενος απευθύνεται για οποιοδήποτε θέμα αφορά τον Σταθμό Τηλεργασίας, τη χρήση και την ασφάλειά του στην αρμόδια υπηρεσία του Φορέα που παρέχει εξειδικευμένη τεχνική υποστήριξη.

Η ανάγνωση του παρόντος εγγράφου δεν αντικαθιστά την ανάγνωση του αντίστοιχου τεύχους της Εφημερίδας της Κυβερνήσεως. Δεν αναλαμβάνουμε ευθύνη για τυχόν ανακρίβειες που οφείλονται στη μετατροπή του πρωτοτύπου σε αυτή τη μορφή.