Π.Δ. 13/2025

ΠΡΟΕΔΡΙΚΟ ΔΙΑΤΑΓΜΑ ΥΠ’ ΑΡΙΘΜ. 13 ΦΕΚ Α 19/13.02.2025

Προστασία δεδομένων προσωπικού χαρακτήρα κατά την τηλεργασία στον δημόσιο τομέα.

Η ΠΡΟΕΔΡΟΣ ΤΗΣ ΕΛΛΗΝΙΚΗΣ ΔΗΜΟΚΡΑΤΙΑΣ

Έχοντας υπόψη: 1. Τις διατάξεις: α) της παρ. 1 του άρθρου 19 του ν. 4807/2021 «Θεσμικό πλαίσιο τηλεργασίας, διατάξεις για το ανθρώπινο δυναμικό του δημοσίου τομέα και άλλες επείγουσες ρυθμίσεις» (Α΄ 96),

β) του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (L 119),

γ) του ν. 4624/2019 «Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, μέτρα εφαρμογής του Κανονισμού (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και ενσωμάτωση στην εθνική νομοθεσία της Οδηγίας (ΕΕ) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 και άλλες διατάξεις» (Α΄ 137).

2. Το π.δ. 79/2023 «Διορισμός Υπουργών, Αναπληρωτών Υπουργών και Υφυπουργών (Α΄ 131).

3. Το π.δ. 82/2023 «Μετονομασία Υπουργείου Σύσταση και μετονομασία Γενικών Γραμματειών Μεταφορά αρμοδιοτήτων, υπηρεσιακών μονάδων και θέσεων προσωπικού Τροποποίηση και συμπλήρωση του π.δ. 77/2023 (Α΄ 130) Μεταβατικές διατάξεις» (Α΄ 139).

4. Την 102928 ΕΞ 2023/10.7.2023 κοινή απόφαση του Πρωθυπουργού και του Υπουργού Εθνικής Οικονομίας και Οικονομικών «Ανάθεση αρμοδιοτήτων στον Υφυπουργό Οικονομικών, Αθανάσιο Πετραλιά» (Β΄ 4441).

5. Την 947/19.6.2024 κοινή απόφαση του Πρωθυπουργού και του Υπουργού Εσωτερικών «Ανάθεση αρμοδιοτήτων στην Υφυπουργό Εσωτερικών, Παρασκευή Χαραλαμπογιάννη» (Β΄ 3715).

6. Την 1/2022 γνωμοδότηση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.

7. Το άρθρο 90 του Κώδικα νομοθεσίας για την Κυβέρνηση και τα κυβερνητικά όργανα (π.δ. 63/2005, Α΄ 98), το οποίο διατηρήθηκε σε ισχύ με την περ. 22 του άρθρου 119 του ν. 4622/2019 (Α΄ 133), και το γεγονός ότι, όπως προκύπτει από την ΔΙΠΔΑ/Φ4Π/9/οικ.2281/9.2.2023 εισήγηση της Προϊσταμένης της Γενικής Διεύθυνσης Οικονομικών και Διοικητικών Υπηρεσιών του Υπουργείου Εσωτερικών, από τις διατάξεις του παρόντος διατάγματος προκαλείται ενδεχόμενη δαπάνη σε βάρος του κρατικού προϋπολογισμού, η οποία, εφόσον συντελεστεί, θα επιβαρύνει τον προϋπολογισμό του οικείου Φορέα ως υπευθύνου επεξεργασίας δεδομένων προσωπικού χαρακτήρα, κατά περίπτωση.

8. Το γεγονός ότι οι διατάξεις του παρόντος δεν αφορούν σε διοικητική διαδικασία, για την οποία υπάρχει υποχρέωση καταχώρισης στο ΕΜΔΔ ΜΙΤΟΣ.

9. Τις 36 και 125/2024 γνωμοδοτήσεις του Συμβουλίου της Επικρατείας.

Με πρόταση των Υπουργών Δικαιοσύνης και Ψηφιακής Διακυβέρνησης και των Υφυπουργών Εθνικής Οικονομίας και Οικονομικών και Εσωτερικών, αποφασίζουμε:

Άρθρο 1
Αντικείμενο
Με το παρόν διάταγμα θεσπίζονται οι όροι και οι προϋποθέσεις της επεξεργασίας δεδομένων προσωπικού χαρακτήρα κατά την τηλεργασία στον δημόσιο τομέα κατά την εφαρμογή των διατάξεων του ν. 4807/2021 (Α΄ 96), εξειδικεύονται τα κατάλληλα τεχνικά και οργανωτικά μέτρα ασφάλειας για την προστασία των δεδομένων προσωπικού χαρακτήρα των τηλεργαζόμενων και τρίτων φυσικών προσώπων, καθορίζονται οι υποχρεώσεις των Φορέων ως υπευθύνων επεξεργασίας και ρυθμίζεται κάθε άλλη αναγκαία λεπτομέρεια για την προστασία των δεδομένων προσωπικού χαρακτήρα κατά την εκτέλεση της τηλεργασίας, σύμφωνα με τον Γενικό Κανονισμό για την Προστασία Δεδομένων (εφεξής «ΓΚΠΔ») και τον ν. 4624/2019 (Α΄ 137).

Άρθρο 2
Ορισμοί
Για την εφαρμογή του παρόντος, ισχύουν οι ορισμοί των άρθρων 3 και 4 του ν. 4807/2021.

Άρθρο 3
Αντικείμενο ρύθμισης και νομικές βάσεις επεξεργασίας δεδομένων προσωπικού χαρακτήρα

1. Αντικείμενο ρύθμισης του παρόντος αποτελεί η προστασία των δεδομένων προσωπικού χαρακτήρα των φυσικών προσώπων που παρέχουν την τηλεργασία στον δημόσιο τομέα, τόσο σε κανονικές όσο και σε έκτακτες συνθήκες, μέσω της αξιοποίησης των τεχνολογιών πληροφορικής και επικοινωνιών.

2. Ο εκάστοτε Φορέας υποβάλλει σε επεξεργασία τα δεδομένα προσωπικού χαρακτήρα του προσωπικού κατά την τηλεργασία, προς τον σκοπό εφαρμογής των διατάξεων των άρθρων 1-18 του ν. 4807/2021 που προβλέπουν την τηλεργασία στον δημόσιο τομέα. Νομική βάση της επεξεργασίας είναι η περ. β της παρ. 3 του άρθρου 6 του ΓΚΠΔ σε συνδυασμό με τα άρθρα 5 και 27 του ν. 4624/2019. Περαιτέρω, ο Φορέας υποβάλλει σε επεξεργασία τα προσωπικά δεδομένα του λοιπού προσωπικού, καθώς και λοιπών τρίτων φυσικών προσώπων (διοικουμένων), όταν αυτό είναι απαραίτητο για την άσκηση των καθηκόντων του και την εκπλήρωση της αποστολής του, που εκτελείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που του έχει ανατεθεί, σύμφωνα με τις περ. γ και ε της παρ. 1 του άρθρου 6 του ΓΚΠΔ. Επίσης, υποβάλλει σε επεξεργασία προσωπικά δεδομένα τρίτων προσώπων, με τα οποία συνδέεται με συμβατική σχέση κατ’ εφαρμογή του άρθρου 6 παρ. 1 περ. β του ΓΚΠΔ.

3. Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα λαμβάνει χώρα για τον σκοπό της υλοποίησης της τηλεργασίας στον δημόσιο τομέα κατ’ εφαρμογή των διατάξεων του ν. 4807/2021. Οι κατηγορίες των δεδομένων προσωπικού χαρακτήρα που τυγχάνουν επεξεργασίας προσδιορίζονται στο άρθρο 4 του παρόντος. Ο εκάστοτε Φορέας, ως Υπεύθυνος Επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, υποχρεούται να προβεί στην εκπόνηση μελέτης εκτίμησης αντικτύπου πριν από την έναρξη της τηλεργασίας, σύμφωνα με την παρ. 9 του άρθρου 6 του ν. 4807/2021.

4. Λαμβάνοντας υπόψη τη φύση των καθηκόντων του τηλεργαζόμενου και τις λειτουργικές ανάγκες του Φορέα, είναι δυνατή η επεξεργασία δεδομένων προσωπικού χαρακτήρα του τηλεργαζόμενου μέσω της χρήσης συστήματος παρακολούθησης του χρόνου εργασίας, αποκλειστικά για τον σκοπό της εφαρμογής της τηλεργασίας στον δημόσιο τομέα και ειδικότερα, αποκλειστικά, για τον ειδικότερο σκοπό της απόδειξης της τήρησης του νόμιμου ωραρίου. Η χρήση συστήματος παρακολούθησης του χρόνου εργασίας επιτρέπεται μόνο εφόσον είναι αδύνατη η παρακολούθηση της τήρησης του ωραρίου με ηπιότερα μέσα, και η χρήση του συστήματος αιτιολογείται επαρκώς ως ανάλογη του στόχου που υπηρετεί, περιορίζεται στο πλαίσιο του επιδιωκόμενου σκοπού και δεν προκύπτει από τη διενεργηθείσα εκτίμηση αντικτύπου ότι ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των τηλεργαζόμενων του Φορέα, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας. Ο Υπεύθυνος Επεξεργασίας πρέπει να υιοθετεί προς τη συγκεκριμένη κατεύθυνση μέτρα, τα οποία πρέπει να σέβονται τα θεμελιώδη δικαιώματα των τηλεργαζόμενων, σύμφωνα με την αρχή της αναλογικότητας και τις θεμελιώδεις αρχές που διέπουν την επεξεργασία των προσωπικών δεδομένων, αποκλείοντας μέτρα τα οποία παραβιάζουν τα ανωτέρω, καθώς και τις αποφάσεις της Αρχής Προστασίας Προσωπικών Δεδομένων (ΑΠΔΠΧ) και της Ομάδας Εργασίας του άρθρου 29 (ήδη Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων).

5. Ο Φορέας υποχρεούται, πριν από την έναρξη της τηλεργασίας, να κοινοποιεί στους τηλεργαζόμενους αναλυτικά τους σκοπούς επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, τις νομικές βάσεις της επεξεργασίας τους, τυχόν αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων προσωπικού χαρακτήρα, το χρονικό διάστημα για το οποίο αποθηκεύονται τα δεδομένα προσωπικού χαρακτήρα, καθώς και κάθε άλλη πληροφορία που απαιτείται, σύμφωνα με τα άρθρα 13 και 14 του ΓΚΠΔ.

Άρθρο 4
Κατηγορίες δεδομένων προσωπικού χαρακτήρα

1. Κατά την τηλεργασία, η επεξεργασία δεδομένων προσωπικού χαρακτήρα ενδέχεται να περιλαμβάνει τις παρακάτω κατηγορίες δεδομένων:

α) Δεδομένα ταυτότητας, όπως ονοματεπώνυμο, όνομα χρήστη.

β) Δεδομένα επικοινωνίας, όπως διεύθυνση ηλεκτρονικού ταχυδρομείου.

γ) Τεχνικά δεδομένα, όπως διεύθυνση πρωτοκόλλου διαδικτύου (IP).

δ) Σε περίπτωση διενέργειας τηλεδιασκέψεων, επεξεργασία / καταγραφή δεδομένων ήχου ή/και εικόνας, σύμφωνα με τους ειδικότερους ορισμούς του παρόντος άρθρου.

ε) Oποιοδήποτε άλλο προσωπικό δεδομένο σχετίζεται με τα καθήκοντα του Φορέα και είναι απαραίτητο για την άσκηση αυτών, σύμφωνα με την αρχή της ελαχιστοποίησης των δεδομένων, κατά τα οριζόμενα στην περ. γ της παρ. 1 του άρθρου 5 του ΓΚΠΔ, καθώς και τις λοιπές αρχές που διέπουν την επεξεργασία των προσωπικών δεδομένων και τα θεμελιώδη δικαιώματα των εργαζομένων.

Οι ως άνω κατηγορίες προσωπικών δεδομένων υποβάλλονται σε επεξεργασία εφόσον αυτό απαιτείται από τον τρόπο λειτουργίας της εκάστοτε εφαρμογής / συστήματος που επιλέγει ο Υπεύθυνος Επεξεργασίας.

2. Οι ως άνω κατηγορίες δεδομένων αφορούν τις ακόλουθες κατηγορίες υποκειμένων των δεδομένων:

α) Τους τηλεργαζόμενους. β) Λοιπούς εργαζομένους του Φορέα. γ) Τυχόν τρίτα πρόσωπα, τα δεδομένα των οποίων μπορεί να τύχουν επεξεργασίας στο πλαίσιο της τηλεργασίας, όπως ενδεικτικά συμμετεχόντων στις τηλεδιασκέψεις, και της άσκησης των καθηκόντων του Φορέα.

3. Ανάλογα με τις λειτουργικές ανάγκες του και στο πλαίσιο του σκοπού που του έχει ανατεθεί, εφόσον κρίνεται απολύτως αναγκαίο, ο Φορέας δύναται να καθορίζει και άλλες κατηγορίες δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία στο πλαίσιο της τηλεργασίας, τηρώντας την αρχή της ελαχιστοποίησης των δεδομένων, σύμφωνα με την περ. γ της παρ. 1 του άρθρου 5 του ΓΚΠΔ, καθώς και τις λοιπές αρχές που διέπουν την επεξεργασία των προσωπικών δεδομένων και τα θεμελιώδη δικαιώματα των εργαζομένων.

4. Στις περιπτώσεις των τηλεδιασκέψεων, καταρχήν απαγορεύεται η επεξεργασία δεδομένων εικόνας και κινούμενης εικόνας (χρήση κάμερας). Η χρήση κάμερας επιτρέπεται μόνο εφόσον οι ειδικότερες συγκεκριμένες λειτουργικές ανάγκες της υπηρεσίας και η φύση της τηλεδιάσκεψης το δικαιολογούν και είναι σαφείς, νόμιμες και διαφανείς, λαμβάνοντας υπόψη τα τυχόν ειδικότερα οριζόμενα στην οικεία πολιτική προστασίας προσωπικών δεδομένων του Φορέα, καθώς και στην πολιτική για την απομακρυσμένη πρόσβαση και σε λοιπές πολιτικές που έχει υιοθετήσει ο Φορέας στο πλαίσιο της αρχής της λογοδοσίας. Σε περίπτωση που τυγχάνουν επεξεργασίας δεδομένα ήχου, η επεξεργασία αυτή περιορίζεται στην απολύτως απαραίτητη για τη διενέργεια τηλεδιασκέψεων. Η επεξεργασία δεδομένων ήχου ή/ και εικόνας του τηλεργαζόμενου με τη χρήση συστημάτων λήψης και εγγραφής ήχου ή/και κινούμενων εικόνων (μέσω καταγραφέα ήχου ή/και κάμερας) που είναι ενσωματωμένα στη συσκευή τηλεργασίας, είτε αυτή παρέχεται από τον Φορέα είτε αποτελεί προσωπικό εξοπλισμό του τηλεργαζόμενου, επιτρέπεται κατά τη διενέργεια τηλεδιασκέψεων για τον σκοπό της ορθής διεξαγωγής της τηλεργασίας και εφόσον απαιτείται από τη φύση και το αντικείμενο της τηλεδιάσκεψης, μόνο εφόσον επιβάλλεται από τις λειτουργικές ανάγκες της υπηρεσίας που παρέχει ο Φορέας, περιορίζεται στο πλαίσιο του επιδιωκόμενου σκοπού, είναι ανάλογη του στόχου που υπηρετεί και από τη διενεργηθείσα εκτίμηση αντικτύπου του παρόντος δεν προκύπτει ότι ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες των τηλεργαζόμενων, συνεκτιμώντας τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, λαμβάνοντας υπόψη τα τυχόν ειδικότερα οριζόμενα στην οικεία πολιτική προστασίας προσωπικών δεδομένων του Φορέα. Πριν από την έναρξη της καταγραφής θα πρέπει να ενημερώνονται σχετικά οι συμμετέχοντες και η ενημέρωση αυτή να καταγράφεται. Σε περίπτωση καταγραφής τηλεδιάσκεψης με τρίτο πρόσωπο/μέρος (πέραν του τηλεργαζόμενου) που πραγματοποιείται κατά τη διάρκεια νόμιμης επαγγελματικής πρακτικής με σκοπό την παροχή αποδεικτικών στοιχείων επαγγελματικής συναλλαγής ή άλλης επικοινωνίας επαγγελματικού χαρακτήρα, απαιτείται η, μετά από προηγούμενη ενημέρωση για τους σκοπούς της καταγραφής, προηγούμενη συγκατάθεση των τρίτων μερών της επικοινωνίας.

5. Στην περίπτωση επιτρεπόμενης καταγραφής της τηλεδιάσκεψης, η ενεργοποίηση της σχετικής λειτουργίας γίνεται αποκλειστικά από ειδικά εξουσιοδοτημένους χρήστες, οι οποίοι οφείλουν να ενημερώσουν τους συμμετέχοντες ότι η τηλεδιάσκεψη καταγράφεται εν όλω ή εν μέρει. Οι καταγραφές των τηλεδιασκέψεων γίνονται από τον Φορέα υποχρεωτικά σε κρυπτογραφημένη μορφή. Εφόσον η κρυπτογράφηση δεν καθίσταται τεχνικά εφικτή, μπορεί να λάβει χώρα καταγραφή της τηλεδιάσκεψης χωρίς κρυπτογράφηση, κατόπιν αιτιολογημένης απόφασης του Φορέα, μόνο κατ’ εξαίρεση, και υπό την προϋπόθεση ότι ο κίνδυνος για την προστασία των προσωπικών δεδομένων κρίνεται ως χαμηλός.

6. Στις περιπτώσεις που κρίνεται απαραίτητη η θέση σε λειτουργία της κάμερας από τον τηλεργαζόμενο, συστήνεται αυτός να επιλέγει δυνατότητες της χρησιμοποιούμενης πλατφόρμας που επιτρέπουν την απόκρυψη φόντου (background) με θόλωση ή με προσθήκη εικόνας (virtual background), προκειμένου να αποφευχθεί ο κίνδυνος αποκάλυψης προσωπικών πληροφοριών που μπορεί να προκύψουν από τη θέαση.

Άρθρο 5
Υποχρεώσεις Φορέα

1. Ο Φορέας, υπό την ιδιότητά του ως Υπευθύνου Επεξεργασίας σύμφωνα με την παρ. 3 του άρθρου 6 του ν. 4807/2021, εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα, όπως αυτά προβλέπονται στον ΓΚΠΔ και την εθνική νομοθεσία και, ιδίως, τον ν. 4624/2019, προκειμένου να διασφαλίζεται το κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων για τα δεδομένα προσωπικού χαρακτήρα. Τα εφαρμοζόμενα τεχνικά και οργανωτικά μέτρα κατά την υλοποίηση της τηλεργασίας στον δημόσιο τομέα εξειδικεύονται στο άρθρο 8 του παρόντος.

Η διενέργεια εκτίμησης επιπτώσεων (αντικτύπου) κατά την παρ. 1 του άρθρου 35 του ΓΚΠΔ, η εκπόνηση πολιτικής ορθής χρήσης εφαρμογής, πολιτικής ασφάλειας λειτουργίας εφαρμογής και πολιτικής για ανταπόκριση στα συμβάντα ασφάλειας για μετριασμό και αποκατάσταση απειλών, εκπονούνται από τον Φορέα, με την επιφύλαξη των διατάξεων της παρ. 9 του άρθρου 6 του ν. 4807/2021, πριν από την έκδοση της απόφασης τηλεργασίας, όπως προβλέπεται ειδικότερα στο άρθρο 14 του Κεφαλαίου Ε΄ του ν. 4807/2021.

2. Σε περίπτωση που κατά την παροχή τηλεργασίας λαμβάνει χώρα διαβίβαση δεδομένων προσωπικού χαρακτήρα σε τρίτες χώρες, ο Φορέας επιλέγει και χρησιμοποιεί ηλεκτρονικές εφαρμογές, λαμβάνοντας υπόψη τις διατάξεις του Κεφαλαίου V του ΓΚΠΔ, και ειδικότερα τα άρθρα 44 επ. αυτού, για τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα προς τρίτες χώρες.

3. Η υπηρεσία του Φορέα που είναι αρμόδια για την παροχή εξοπλισμού και την πληροφοριακή υποστήριξη, προμηθεύει τον τηλεργαζόμενο με τον τηλεπικοινωνιακό εξοπλισμό και την τεχνολογική συσκευή (εφεξής «Σταθμός Τηλεργασίας») που είναι απαραίτητα και κατάλληλα για την αποτελεσματική εκτέλεση των καθηκόντων του μέσω τηλεργασίας. Ο Σταθμός Τηλεργασίας που παρέχει ο Φορέας χρησιμοποιείται από τον τηλεργαζόμενο αποκλειστικά και μόνο στο πλαίσιο άσκησης των καθηκόντων του προς τον Φορέα, τηρώντας κατ’ ελάχιστον τα μέτρα που προβλέπονται στο άρθρο 9 του παρόντος και τις σχετικές πολιτικές ασφάλειας που του κοινοποιεί ο Φορέας.

4. O Φορέας παρέχει στον τηλεργαζόμενο οδηγίες για την κατάλληλη χωροθέτηση και διαμόρφωση του Σταθμού Τηλεργασίας, τις πολιτικές ασφαλείας και τους όρους χρήσης του Σταθμού Τηλεργασίας, καθώς και εκπαίδευση και τεχνική υποστήριξη για την εγκατάσταση και ορθή χρήση του, ώστε να διασφαλίζονται, σε κάθε περίπτωση, οι ελάχιστες προϋποθέσεις εργονομίας και ασφάλειας. Κάθε τηλεργαζόμενος απευθύνεται για οποιοδήποτε θέμα αφορά τον Σταθμό Τηλεργασίας, τη χρήση και την ασφάλειά του στην αρμόδια υπηρεσία του Φορέα που παρέχει εξειδικευμένη τεχνική υποστήριξη.

5. Εφόσον ο Φορέας δεν έχει τη δυνατότητα να παράσχει Σταθμό Τηλεργασίας, ο τηλεργαζόμενος δύναται, εφόσον το επιθυμεί, να κάνει χρήση του προσωπικού του τεχνολογικού εξοπλισμού, υπό τους όρους που τίθενται στην παρ. 3 του άρθρου 8 του παρόντος. Η χρήση προσωπικού εξοπλισμού του τηλεργαζόμενου επιτρέπεται μόνο έπειτα από απόφαση του Φορέα, σύμφωνα με τα οριζόμενα στην παρ. 1 του άρθρου 12 και την περ. γ του άρθρου 15 του ν. 4807/2021, αφού συνεκτιμηθούν τα οφέλη και οι κίνδυνοι που δημιουργούνται από τη χρήση αυτή. Ο Φορέας οφείλει να προσδιορίσει τους κινδύνους, λαμβάνοντας υπόψη τις ιδιαιτερότητες της εκάστοτε περίπτωσης, ήτοι τον εξοπλισμό, τις τεχνικές εφαρμογές, το είδος και τη φύση των δεδομένων, και να τους εκτιμήσει ως προς τη σοβαρότητα και την πιθανότητα εμφάνισης περιστατικών παραβίασης, προκειμένου να καθορίσει τα μέτρα που πρέπει να ληφθούν και να ενταχθούν στην πολιτική ασφάλειας. Στην απόφαση του Φορέα περιλαμβάνονται και τα τεχνικά και οργανωτικά μέτρα ασφάλειας, τα οποία λαμβάνονται πριν την έναρξη της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα. Ο Φορέας φέρει τις υποχρεώσεις που αναφέρονται στις κατευθυντήριες γραμμές 1/2021 της ΑΠΔΠΧ (σημ. 11) και ιδίως εφαρμόζει τα κατάλληλα ανά περίπτωση τεχνικά και οργανωτικά μέτρα ασφάλειας. Όσον αφορά στη χρήση προσωπικών συσκευών («bring your own device» «φέρε τη δική σου συσκευή» B.Y.O.D.) των τηλεργαζόμενων και για την πρόσβαση στο δίκτυο, ο Φορέας παραμένει υπεύθυνος για την ασφάλεια των προσωπικών δεδομένων που υφίστανται επεξεργασία από τον Φορέα ακόμη και όταν αποθηκεύονται σε τερματικούς σταθμούς, στους οποίους δεν έχει φυσικό έλεγχο ή ιδιοκτησία, αλλά για τους οποίους έχει εξουσιοδοτήσει την πραγματοποίηση ρυθμίσεων, ώστε να έχουν πρόσβαση σε δεδομένα οι εργαζόμενοι. Δεν επιτρέπεται ο τηλεργαζόμενος να καταγράφει σε προσωπική του συσκευή που χρησιμοποιεί για τηλεργασία (B.Y.O.D.) ήχο ή εικόνα από τις τηλεδιασκέψεις, στις οποίες συμμετέχει.

Ο Φορέας απαγορεύεται να έχει πρόσβαση σε δεδομένα ειδικής κατηγορίας σε προσωπική συσκευή του τηλεργαζόμενου που χρησιμοποιεί για την τηλεργασία (B.Y.O.D.).

Ο Φορέας, λαμβάνοντας υπόψη τις ανωτέρω πολιτικές, δύναται να αποκλείει τη δυνατότητα πρόσβασης σε ηλεκτρονικά συστήματα που χαρακτηρίζονται ως κρίσιμα ή ευαίσθητα, σε περίπτωση χρήσης προσωπικού εξοπλισμού από τηλεργαζόμενους.

6. Ο Φορέας, με τη συνδρομή του Υπεύθυνου Προστασίας Δεδομένων που έχει ορίσει, είναι υπεύθυνος να ενημερώνει επαρκώς, να εκπαιδεύει και να επικουρεί τους τηλεργαζόμενους στην εφαρμογή των πολιτικών και των διαδικασιών για την προστασία των δεδομένων προσωπικού χαρακτήρα. Μεταξύ άλλων, ο Φορέας παρέχει οδηγίες και ενημέρωση στους τηλεργαζόμενους, σε κατανοητή και εύκολα προσβάσιμη μορφή, σχετικά με την ασφαλή διαμόρφωση και χρήση του εξοπλισμού τους, τη χρήση ισχυρών κωδικών πρόσβασης, την ασφαλή χρήση του ηλεκτρονικού ταχυδρομείου και εξωτερικών μέσων αποθήκευσης, καθώς και την τήρηση μέτρων για την εν γένει ασφαλή πλοήγηση στο διαδίκτυο.

7. Ο Φορέας μπορεί να λαμβάνει τα αναγκαία μέτρα προκειμένου να ασκεί τον αναγκαίο και πρόσφορο έλεγχο για την παρεχόμενη εργασία. Ο Φορέας μπορεί να έχει πρόσβαση στα δεδομένα προσωπικού χαρακτήρα των εργαζομένων στο πλαίσιο των εργασιακών σχέσεων μέσω ηλεκτρονικών μέσων, να οριοθετεί και να θέτει περιορισμούς στον τρόπο χρήσης της υποδομής υπολογιστών και επικοινωνιών του, τηρουμένης της αρχής της αναλογικότητας. Οι προϋποθέσεις, οι όροι και οι διαδικασίες πρόσβασης του Φορέα στα παραπάνω δεδομένα προσωπικού χαρακτήρα, καθώς και οι τιθέμενοι περιορισμοί, περιλαμβάνονται στην πολιτική του, η οποία πρέπει να γνωστοποιείται στους τηλεργαζόμενους πριν από την έναρξη της τηλεργασίας.

Άρθρο 6
Χρόνος διατήρησης δεδομένων

1. Οι τηλεδιασκέψεις μόνο κατ’ εξαίρεση καταγράφονται και αποθηκεύονται, όταν από το περιεχόμενό τους πιθανολογείται η πρόκληση έννομων συνεπειών για τους συμμετέχοντες και υφίσταται σχετική υποχρέωση τήρησης πρακτικών. Στην περίπτωση αυτή αποθηκεύονται τα προσωπικά δεδομένα ήχου ή/και εικόνας, οποιοδήποτε άλλο προσωπικό δεδομένο που ενδεχομένως υποβάλλεται σε επεξεργασία στο πλαίσιο της καταγραφόμενης τηλεδιάσκεψης και τυχόν μεταδεδομένα που τηρεί ο πάροχος της πλατφόρμας τηλεδιάσκεψης. Η αποθήκευση δύναται να πραγματοποιείται σε κεντρικό υπολογιστικό ή αποθηκευτικό σύστημα του Φορέα. Ο χρόνος τήρησης των δεδομένων καθορίζεται από τις διατάξεις που διέπουν τη λειτουργία του Φορέα και από τη νομοθεσία που διέπει την τήρηση των αρχείων του δημόσιου τομέα.

2. Τα εξωτερικά στοιχεία της ηλεκτρονικής επικοινωνίας (όπως ονοματεπώνυμο συμμετέχοντος, ώρα και ημέρα σύνδεσης, διεύθυνση ΙP) διατηρούνται για διάστημα δώδεκα (12) μηνών για τον σκοπό της ορθής εφαρμογής της τηλεργασίας στον δημόσιο τομέα και ειδικότερα για τον σκοπό της απόδειξης της συμμετοχής στην τηλεδιάσκεψη.

3. Τα δεδομένα που περιλαμβάνονται σε αρχεία που μεταφορτώνονται σε προσωπικές συσκευές τηλεργαζόμενων διαγράφονται αμέσως μόλις ολοκληρωθεί ο σκοπός επεξεργασίας τους. Η διαδικασία της διαγραφής διενεργείται από τους τηλεργαζόμενους, οι οποίοι και βεβαιώνουν εγγράφως αμελλητί τον Φορέα σε σχέση με τη διαγραφή των δεδομένων. Η διαγραφή των δεδομένων γίνεται όπως ορίζεται στην πολιτική και τις διαδικασίες που έχει υιοθετήσει ο Φορέας σχετικά με την τηλεργασία και τη χρήση ιδιωτικού εξοπλισμού σε επαγγελματικό πλαίσιο (B.Y.O.D.).

4. Στους μετέχοντες στην τηλεργασία / τηλεδιάσκεψη γίνεται γνωστό ότι η φανερή ή κρυφή καταγραφή των δεδομένων ήχου ή/και εικόνας, η αποθήκευση και η διάδοση τέτοιων μαγνητοσκοπήσεων χωρίς πρότερη ενημέρωση μπορεί να συνιστά αξιόποινη πράξη.

5. Τα μεταδεδομένα τηρούνται για χρονικό διάστημα δύο (2) ετών.

6. Οποιοδήποτε άλλο προσωπικό δεδομένο υποβάλλεται σε επεξεργασία, επειδή σχετίζεται με τα καθήκοντα του Φορέα και είναι απαραίτητο για την άσκηση αυτών τηρείται για το χρονικό διάστημα που καθορίζεται από τις διατάξεις που διέπουν τη λειτουργία του Φορέα και από τη νομοθεσία που διέπει την τήρηση των αρχείων του δημοσίου τομέα.

Άρθρο 7
Δικαιώματα του υποκειμένου των δεδομένων

1. Το υποκείμενο των δεδομένων, στο πλαίσιο άσκησης των δικαιωμάτων του που καθορίζεται στα άρθρα 12 έως 22 του ΓΚΠΔ και στα άρθρα 33 έως 35 του ν. 4624/2019, έχει το δικαίωμα να αιτείται και να λαμβάνει από τον Φορέα πληροφορίες για τα δεδομένα προσωπικού χαρακτήρα που το αφορούν, προσδιορίζοντας, με την αίτησή του, κατά το δυνατόν, τον χρόνο και τον τόπο συλλογής των δεδομένων. Ο Φορέας οφείλει να απαντήσει στον αιτούντα χωρίς καθυστέρηση και σε κάθε περίπτωση εντός μηνός από την παραλαβή της αίτησής του. Η εν λόγω προθεσμία μπορεί να παραταθεί για δύο (2) ακόμη μήνες, εφόσον απαιτείται, λαμβανομένων υπόψη της πολυπλοκότητας και του αριθμού των αιτήσεων. Ο Φορέας ενημερώνει το υποκείμενο των δεδομένων για την εν λόγω παράταση εντός μηνός από την παραλαβή της αίτησης, καθώς και για τους λόγους της καθυστέρησης. Εάν το υποκείμενο των δεδομένων υποβάλλει την αίτηση με ηλεκτρονικά μέσα, η ενημέρωση παρέχεται, εάν είναι δυνατόν, με τον ίδιο τρόπο εκτός εάν το υποκείμενο των δεδομένων ζητήσει διαφορετικό τρόπο ενημέρωσης. Κατά την απάντησή του ο Φορέας μεριμνά για τη διασφάλιση των δικαιωμάτων τρίτων προσώπων, τα οποία αφορά επίσης η επεξεργασία. Οι αιτήσεις ενημέρωσης και οι πληροφορίες που παρέχονται στο υποκείμενο των δεδομένων δεν υπόκεινται σε κανένα τέλος. Όταν η αίτηση υποβάλλεται προδήλως αβάσιμα ή καταχρηστικά, ο Φορέας μπορεί να επιβάλλει ένα εύλογο τέλος βάσει των εξόδων του.

2. Ο Φορέας μπορεί να αρνηθεί την ικανοποίηση δικαιωμάτων μόνο για τους λόγους που αναφέρονται στις διατάξεις του ΓΚΠΔ και του ν. 4624/2019. Εάν ο Φορέας αρνηθεί να ικανοποιήσει το αίτημα παροχής πληροφοριών ή δεν απαντήσει εντός της ανωτέρω προθεσμίας, ο αιτών μπορεί να προσφύγει στην ΑΠΔΠΧ.

3. Ο Φορέας διασφαλίζει ότι οι τηλεργαζόμενοι και κάθε φυσικό πρόσωπο που μετέχει στη διαδικασία της τηλεργασίας, είναι επαρκώς ενήμεροι για τη δυνατότητα άσκησης των δικαιωμάτων τους. Η εν λόγω ενημέρωση μπορεί να γίνεται με κάθε πρόσφορο μέσο, ιδίως με ανάρτηση των απαραίτητων πληροφοριών στην ιστοσελίδα του Φορέα.

Άρθρο 8
Τεχνικά και οργανωτικά μέτρα ασφάλειας

1. Ο Φορέας εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα, ώστε να προστατεύει αποτελεσματικά τα δεδομένα προσωπικού χαρακτήρα από τυχαία ή παράνομη καταστροφή και απώλεια, καθώς και από κάθε άλλη παράνομη επεξεργασία, όπως είναι ιδίως η μη εξουσιοδοτημένη κοινοποίηση, διάδοση, πρόσβαση ή αλλοίωση, ενώ σε περίπτωση που καταστεί αναγκαίο, πρέπει να διασφαλίζει την αποκατάστασή τους. Προς τούτο, καταρτίζει πολιτική ασφάλειας, η οποία περιέχει κατάλληλη διαδικασία για την αναθεώρησή της και, εφόσον συντρέχει περίπτωση, αναφορές σε ειδικότερες διαδικασίες του συστήματος διαχείρισης ασφάλειας. Επιπλέον εξειδικεύει τα μέτρα ασφάλειας και μεριμνά για την αδιάλειπτη τήρηση και περιοδική αξιολόγησή τους. Προς τον σκοπό αυτό λαμβάνει υπόψη τη διαθέσιμη τεχνολογία, το κόστος υλοποίησης, τη φύση, το πεδίο εφαρμογής, τις περιστάσεις και τους σκοπούς της επεξεργασίας, καθώς και την πιθανότητα και σοβαρότητα των κινδύνων επεξεργασίας για τα υποκείμενα των δεδομένων.

Ο Φορέας: α) διασφαλίζει ότι υπάρχει δυνατότητα ασφαλούς απομακρυσμένης πρόσβασης σε πόρους πληροφοριακών συστημάτων του και β) καθορίζει τις τεχνολογίες, τους όρους και τις προϋποθέσεις, σύμφωνα με τις οποίες επιτρέπεται η απομακρυσμένη πρόσβαση. Ο Φορέας δύναται να ζητεί πρόσθετη επιβεβαίωση (αυθεντικοποίηση) από τον τηλεργαζόμενο ότι αυτός πράγματι παρέχει τη συμφωνηθείσα εργασία και να διατηρεί τη σχετική πληροφορία.

2. Για τη χρήση τερματικής συσκευής και αποθηκευτικών μέσων, με επιμέλεια του Φορέα εγκαθίσταται στον Σταθμό Τηλεργασίας που έχει παρασχεθεί από αυτόν σύστημα εναντίον των ιών (antivirus) και «τείχος προστασίας» (firewall). Ο Φορέας επιμελείται για: α) την τακτική ενημέρωση των προαναφερόμενων συστημάτων, β) την εγκατάσταση των πλέον πρόσφατων ενημερώσεων του λογισμικού εφαρμογών και του λειτουργικού συστήματος στον Σταθμό Τηλεργασίας και γ) τη χρήση των πλέον πρόσφατων εκδόσεων προγραμμάτων πλοήγησης στο διαδίκτυο από τον τηλεργαζόμενο.

3. Ο Φορέας οφείλει να διαθέτει εγκεκριμένη από την ανώτατη διοίκησή του πολιτική για την απομακρυσμένη πρόσβαση και την ορθή χρήση προσωπικού εξοπλισμού του τηλεργαζόμενου, πριν από την έναρξη της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Η πολιτική πρέπει να περιγράφει, κατ’ ελάχιστον, το πεδίο εφαρμογής, τους ρόλους και τις ευθύνες των εμπλεκομένων, τις διαδικασίες υλοποίησης της πολιτικής και των σχετικών μέτρων προστασίας, καθώς και να είναι συμβατή με τις διατάξεις του παρόντος.

4. Σε περίπτωση που για την άσκηση της τηλεργασίας απαιτείται η πρόσβαση του προσωπικού σε πόρους που φιλοξενούνται και είναι προσβάσιμοι μόνο μέσω του εσωτερικού τηλεπικοινωνιακού δικτύου του Φορέα, όπως ενδεικτικά εφαρμογές, ψηφιακά αρχεία και ηλεκτρονικές βάσεις δεδομένων, η πρόσβαση στους πόρους αυτούς πρέπει υποχρεωτικά να γίνεται μέσω εικονικού ιδιωτικού δικτύου (VPN) ή άλλης αντίστοιχης τεχνολογίας που διατίθεται, παραμετροποιείται και αναβαθμίζεται διαρκώς με ευθύνη του Φορέα στους τηλεργαζόμενους.

Άρθρο 9
Υποχρεώσεις τηλεργαζόμενου

1. Ο τηλεργαζόμενος είναι υπεύθυνος για την τήρηση του συνόλου των πολιτικών για την ασφάλεια των δεδομένων προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία.

2. Ο τηλεργαζόμενος οφείλει να τηρεί απαρέγκλιτα τις πολιτικές και τις διαδικασίες ασφάλειας των δεδομένων προσωπικού χαρακτήρα που του έχουν κοινοποιηθεί από τον Φορέα σε σχέση με τις εφαρμογές τηλεργασίας, καθώς και την πολιτική απομακρυσμένης πρόσβασης και ορθής χρήσης προσωπικού εξοπλισμού.

3. Κατά την παροχή τηλεργασίας εφαρμόζονται οι διατάξεις του ν.  3528/2007 (Α΄  26) όσον αφορά την υποχρέωση εχεμύθειας για γεγονότα ή πληροφορίες, των οποίων ο τηλεργαζόμενος λαμβάνει γνώση κατά την εκτέλεση των καθηκόντων του ή επ’ ευκαιρία αυτής, καθώς και όσον αφορά τη χρήση του Σταθμού Τηλεργασίας. Ειδικότερα, κατά την παροχή της τηλεργασίας ο τηλεργαζόμενος δεσμεύεται από την υποχρέωση τήρησης εχεμύθειας κατ’ εφαρμογή του άρθρου 26 του ν. 3528/2007 και κάθε άλλης οικείας διάταξης νόμου και υποχρεούται να διασφαλίσει ότι τρίτα προς τη σχέση απασχόλησης πρόσωπα, όπως ενδεικτικά τα μέλη της οικογένειάς του, δεν αποκτούν πρόσβαση στα αρχεία του Φορέα. Η εκτύπωση εγγράφων του Φορέα στην οικία του τηλεργαζόμενου ή σε οποιονδήποτε χώρο πέραν του χώρου εργασίας πραγματοποιείται με ευθύνη του τηλεργαζόμενου, κατά τρόπο που να διασφαλίζεται ότι δεδομένα προσωπικού χαρακτήρα δεν μπορούν να γνωστοποιηθούν σε τρίτα μη δικαιούμενα πρόσωπα. Στην περίπτωση της μη προσήκουσας χρήσης των Σταθμών Τηλεργασίας εφαρμόζονται οι διατάξεις των άρθρων 107 επ. του ν. 3528/2007.

4. Η τηλεργασία μπορεί να παρασχεθεί από οποιονδήποτε χώρο εκτός των εγκαταστάσεων του Φορέα, όπου υπηρετεί ο τηλεργαζόμενος, καθώς και από την οικία του και εντός των συνόρων των κρατών μελών του Συμβουλίου της Ευρώπης, υπό την προϋπόθεση έγκρισης από τον εκάστοτε Προϊστάμενο Διεύθυνσης του Φορέα, σύμφωνα με το άρθρο 14 του ν. 4807/2021. Ο τηλεργαζόμενος οφείλει να διασφαλίσει ότι ο επιλεγόμενος χώρος πληροί τις ελάχιστες απαιτούμενες προδιαγραφές που καθιστούν εφικτή την απρόσκοπτη και αποτελεσματική εκτέλεση των καθηκόντων του μέσω τηλεργασίας και ότι συνάδει με τους γενικούς κανόνες πρόληψης, υγιεινής και ασφάλειας. Σε περίπτωση που ο Φορέας κατ’ εξαίρεση εγκρίνει την παροχή της τηλεργασίας εκτός του Ευρωπαϊκού Οικονομικού Χώρου (ΕΟΧ), πρέπει να διενεργεί ειδική εκτίμηση αντικτύπου για τη διαβίβαση δεδομένων προσωπικού χαρακτήρα εκτός ΕΟΧ.

5. Σε περίπτωση προγραμματισμένης τηλεδιάσκεψης, ο υπερσύνδεσμος (hyperlink) αυτής πρέπει να τηρείται εμπιστευτικός και να μην κοινοποιείται σε οποιονδήποτε τρίτο ή να δημοσιοποιείται.

Άρθρο 10
Εφαρμογή των διατάξεων του ΓΚΠΔ και του ν. 4624/2019
Τα θέματα που δεν ρυθμίζονται ειδικώς από τις διατάξεις του ν. 4807/2021 και του παρόντος διατάγματος, διέπονται από τις διατάξεις του ΓΚΠΔ και του ν. 4624/2019.

Άρθρο 11
Έναρξη ισχύος
Η ισχύς του παρόντος διατάγματος αρχίζει από τη δημοσίευσή του στην Εφημερίδα της Κυβερνήσεως.

Στον Υπουργό Εσωτερικών αναθέτουμε τη δημοσίευση και εκτέλεση του παρόντος διατάγματος.

Αθήνα, 11 Φεβρουαρίου 2025

Η Πρόεδρος της Δημοκρατίας ΚΑΤΕΡΙΝΑ ΣΑΚΕΛΛΑΡΟΠΟΥΛΟΥ

Οι Υπουργοί

Υφυπουργός Εθνικής Οικονομίας Υφυπουργός και Οικονομικών Εσωτερικών ΑΘΑΝΑΣΙΟΣ ΠΑΡΑΣΚΕΥΗ ΠΕΤΡΑΛΙΑΣ ΧΑΡΑΛΑΜΠΟΓΙΑΝΝΗ

Δικαιοσύνης Ψηφιακής Διακυβέρνησης ΓΕΩΡΓΙΟΣ ΦΛΩΡΙΔΗΣ ΔΗΜΗΤΡΙΟΣ ΠΑΠΑΣΤΕΡΓΙΟΥ