Το Προεδρικό Διάταγμα 13/2025 που δημοσιεύθηκε σε ΦΕΚ αποτελεί ένα νέο ρυθμιστικό πλαίσιο που καθορίζει τα μέτρα προστασίας των προσωπικών δεδομένων κατά την εφαρμογή της τηλεργασίας στο δημόσιο τομέα. Βασίζεται στη νομοθεσία περί προστασίας δεδομένων προσωπικού χαρακτήρα, όπως ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR – Κανονισμός (ΕΕ) 2016/679) και ο ελληνικός Νόμος 4624/2019, εξειδικεύοντας τα μέτρα που πρέπει να εφαρμόζουν οι δημόσιες υπηρεσίες.
- Αντικείμενο και Στόχος του Διατάγματος
Το διάταγμα θεσπίζει τους όρους και τις προϋποθέσεις επεξεργασίας προσωπικών δεδομένων στο πλαίσιο της τηλεργασίας των δημοσίων υπαλλήλων. Προβλέπει τεχνικά και οργανωτικά μέτρα ασφαλείας, καθώς και υποχρεώσεις των δημόσιων φορέων ως υπεύθυνων επεξεργασίας, ώστε να διασφαλίζεται η συμμόρφωση με τη νομοθεσία περί προστασίας προσωπικών δεδομένων. - Νομικό Πλαίσιο και Βάσεις Επεξεργασίας
Η επεξεργασία προσωπικών δεδομένων κατά την τηλεργασία βασίζεται σε συγκεκριμένες νομικές βάσεις:
• Άρθρο 6 του GDPR: Η επεξεργασία επιτρέπεται όταν είναι απαραίτητη για την εκτέλεση νόμιμης υποχρέωσης του φορέα ή την άσκηση δημόσιας εξουσίας.
• Άρθρα 5 & 27 του Ν. 4624/2019: Ρυθμίζουν τους κανόνες προστασίας δεδομένων στον δημόσιο τομέα.
Επιπλέον, προβλέπεται η υποχρέωση εκπόνησης μελέτης εκτίμησης αντικτύπου (DPIA) πριν την εφαρμογή της τηλεργασίας. - Κατηγορίες Δεδομένων που Υπόκεινται σε Επεξεργασία
Τα προσωπικά δεδομένα που δύναται να επεξεργαστούν οι δημόσιοι φορείς περιλαμβάνουν:
• Δεδομένα ταυτότητας (όνομα, επώνυμο, όνομα χρήστη)
• Δεδομένα επικοινωνίας (email, IP διεύθυνση)
• Δεδομένα εργασιακής απόδοσης (σύστημα παρακολούθησης του χρόνου εργασίας)
• Δεδομένα τηλεδιασκέψεων (ήχος/εικόνα, μόνο αν απαιτείται για λειτουργικούς σκοπούς)
Απαγορεύεται η καταγραφή ήχου/εικόνας χωρίς προηγούμενη ενημέρωση των εμπλεκόμενων ατόμων. - Υποχρεώσεις των Δημοσίων Φορέων
Οι δημόσιες υπηρεσίες, ως υπεύθυνοι επεξεργασίας, υποχρεούνται να:
• Παρέχουν ασφαλή τεχνολογικά εργαλεία (VPN, firewall, κρυπτογράφηση δεδομένων)
• Εκπαιδεύουν τους εργαζόμενους για την ασφαλή διαχείριση δεδομένων
• Εφαρμόζουν πολιτικές ασφαλείας και διαδικασίες ελέγχου πρόσβασης
• Διασφαλίζουν τη διαγραφή προσωπικών δεδομένων μετά τη λήξη της χρήσης τους
Οι δημόσιοι φορείς πρέπει να αποφεύγουν την επεξεργασία προσωπικών δεδομένων μέσω προσωπικών συσκευών των εργαζομένων (B.Y.O.D.), εκτός αν υπάρχει ειδική έγκριση και ληφθούν τα αναγκαία μέτρα προστασίας. - Υποχρεώσεις των Τηλεργαζόμενων
Οι υπάλληλοι που εργάζονται απομακρυσμένα πρέπει να:
• Τηρούν τα πρωτόκολλα ασφάλειας που θέτει ο φορέας
• Μην αποθηκεύουν ή καταγράφουν προσωπικά δεδομένα σε προσωπικές συσκευές
• Μην κοινοποιούν εμπιστευτικές πληροφορίες σε τρίτους
• Ακολουθούν τις οδηγίες χρήσης του εξοπλισμού και των εφαρμογών που παρέχει η υπηρεσία
Η παραβίαση των υποχρεώσεων μπορεί να οδηγήσει σε πειθαρχικές ή νομικές συνέπειες. - Διατήρηση και Διαγραφή Δεδομένων
• Τα δεδομένα που σχετίζονται με την τηλεργασία διατηρούνται για 12 μήνες.
• Τα ηχητικά ή/και οπτικά αρχεία από τηλεδιασκέψεις μπορούν να αποθηκευτούν μόνο σε εξαιρετικές περιπτώσεις και για περιορισμένο χρόνο.
• Οι φορείς πρέπει να εφαρμόζουν διαδικασίες διαγραφής δεδομένων και να διασφαλίζουν ότι οι τηλεργαζόμενοι συμμορφώνονται με αυτές. - Εφαρμογή των Διατάξεων του GDPR
Όταν το διάταγμα δεν καλύπτει συγκεκριμένα θέματα, ισχύουν οι διατάξεις του GDPR και του Ν. 4624/2019. - Συμπέρασμα
Το Προεδρικό Διάταγμα 13/2025 θεσπίζει ένα ολοκληρωμένο πλαίσιο προστασίας προσωπικών δεδομένων για την τηλεργασία στο δημόσιο τομέα. Προβλέπει αυστηρά μέτρα ασφαλείας και σαφείς υποχρεώσεις για τους δημόσιους φορείς και τους εργαζόμενους, διασφαλίζοντας ότι η τηλεργασία γίνεται με τρόπο που προστατεύει την ιδιωτικότητα και τα θεμελιώδη δικαιώματα των πολιτών.
