2016-10-08 17:41:38
Το Ταμείο δεν είχε ενημερώσει με τρόπο πρόσφορο και σαφή τους υπαλλήλους στους... σταθμούς εργασίας των οποίων είχε εγκατασταθεί λογισμικό παρακολούθησης, για το γεγονός ότι η λειτουργία του σταθμού τους δύναται να παρακολουθείται»
Αυστηρές συστάσεις στο Ταμείο Παρακαταθηκών και Δανείων απευθύνει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, καλώντας το Ταμείο να συμμορφωθεί άμεσα. Είχε προηγηθεί καταγγελία εργαζόμενης η οποία είχε αναφέρει ότι παρακολουθούνταν, χωρίς να έχει ενημερωθεί γι αυτό.
Όπως αναφέρει η Αρχή Προστασίας Δεδομένων στην απόφασή της, το Ταμείο, ως υπεύθυνος επεξεργασίας, δεν είχε ενημερώσει με τρόπο πρόσφορο και σαφή τους υπαλλήλους του για την καταγραφή των ιστοσελίδων στις οποίες πλοηγούνται. Παράλληλα σημειώνει ότι στους περισσότερους υπολογιστές της κεντρικής Υπηρεσίας, αλλά και καταστημάτων, του Ταμείου είναι εγκατεστημένο λογισμικό παρακολούθησης σταθμού εργασίας τύπου «Εικονικού Δικτυακού Υπολογισμού» (Virtual Network Computing -VNC), το οποίο προβάλει σε απομακρυσμένο χρήστη το ηλεκτρονικό περιβάλλον εργασίας και τις κινήσεις του χρήστη, στον σταθμό εργασίας του οποίου έχει εγκατασταθεί, χωρίς κάτι τέτοιο να απαιτείται
. «Το Ταμείο, ως υπεύθυνος επεξεργασίας, δεν είχε ενημερώσει με τρόπο πρόσφορο και σαφή τους υπαλλήλους στους σταθμούς εργασίας των οποίων είχε εγκατασταθεί λογισμικό παρακολούθησης, για το γεγονός ότι η λειτουργία του σταθμού τους δύναται να παρακολουθείται» υπογραμμίζει η Αρχή Προστασίας.
Σε αυτό το πλαίσιο, αναφέρει ότι ο υπεύθυνος επεξεργασίας οφείλει να αναθεωρήσει την πολιτική καταγραφής ενεργειών των χρηστών στις εφαρμογές και τις ΒΔ, ώστε αυτή να είναι η ελάχιστη που απαιτείται για τον εν λόγω σκοπό, σε συνδυασμό με την ανάπτυξη κατάλληλων προληπτικών μέτρων ασφάλειας, όπως παρουσιάστηκε στο σκεπτικό της παρούσης.
Επίσης, ο υπεύθυνος επεξεργασίας οφείλει να ενημερώσει με τρόπο πρόσφορο και σαφή τα υποκείμενα, των οποίων οι ενέργειες στις εφαρμογές και τις ΒΔ καταγράφονται για τον σκοπό της επεξεργασίας, τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων και την ύπαρξη του δικαιώματος πρόσβασης.
Παράλληλα, ο υπεύθυνος επεξεργασίας οφείλει να επανεξετάσει την αναγκαιότητα καταγραφής των ιστοσελίδων των χρηστών. Απαγορεύεται η γενική, συστηματική και προληπτική συλλογή και καταχώριση των δεδομένων που αφορούν τις επισκέψεις που αναφέρονται παραπάνω. Ο υπεύθυνος επεξεργασίας οφείλει να ενημερώσει με τρόπο πρόσφορο και σαφή τους υπαλλήλους του για την καταγραφή των ιστοσελίδων στις οποίες πλοηγούνται. Επίσης, σύμφωνα με την οδηγία 115/2001 της Αρχής, ο υπεύθυνος επεξεργασίας οφείλει να διαθέτει προσιτά στους εργαζόμενους τηλεπικοινωνιακά μέσα για τις προσωπικές επικοινωνίες τους.
Τέλος, υπογραμμίζει ότι απαγορεύεται η εγκατάσταση και χρήση λογισμικού παρακολούθησης σταθμού εργασίας τύπου VNC (π.χ. TightVNC) σε μόνιμη βάση και σε κάθε περίπτωση χωρίς την σύμφωνη γνώμη του εργαζομένου. Στα πλαίσια των αρχών της αναγκαιότητας και αναλογικότητας της επεξεργασίας, ο υπεύθυνος επεξεργασίας οφείλει να εφαρμόσει εναλλακτικές μεθόδους υποστήριξης των χρηστών. Λόγω της φύσεως της σχέσεως απασχόλησης αλλά και της έντασης της προσβολής, σύμφωνα και με την Οδηγία 115/2001 της Αρχής, οι εκπρόσωποι των εργαζομένων πρέπει να ενημερώνονται και να διατυπώνουν γνώμη πριν από την εισαγωγή μεθόδων ελέγχου και παρακολούθησης των εργαζομένων, όπως αυτός. Ο υπεύθυνος επεξεργασίας οφείλει να ενημερώνει με τρόπο πρόσφορο και σαφή τους υπαλλήλους στους σταθμούς εργασίας των οποίων είχε εγκατασταθεί λογισμικό παρακολούθησης, για το γεγονός ότι η λειτουργία του σταθμού τους δύναται να παρακολουθείται.
Αναλυτικά η απόφαση της Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα:
Πηγή
Tromaktiko
Αυστηρές συστάσεις στο Ταμείο Παρακαταθηκών και Δανείων απευθύνει η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, καλώντας το Ταμείο να συμμορφωθεί άμεσα. Είχε προηγηθεί καταγγελία εργαζόμενης η οποία είχε αναφέρει ότι παρακολουθούνταν, χωρίς να έχει ενημερωθεί γι αυτό.
Όπως αναφέρει η Αρχή Προστασίας Δεδομένων στην απόφασή της, το Ταμείο, ως υπεύθυνος επεξεργασίας, δεν είχε ενημερώσει με τρόπο πρόσφορο και σαφή τους υπαλλήλους του για την καταγραφή των ιστοσελίδων στις οποίες πλοηγούνται. Παράλληλα σημειώνει ότι στους περισσότερους υπολογιστές της κεντρικής Υπηρεσίας, αλλά και καταστημάτων, του Ταμείου είναι εγκατεστημένο λογισμικό παρακολούθησης σταθμού εργασίας τύπου «Εικονικού Δικτυακού Υπολογισμού» (Virtual Network Computing -VNC), το οποίο προβάλει σε απομακρυσμένο χρήστη το ηλεκτρονικό περιβάλλον εργασίας και τις κινήσεις του χρήστη, στον σταθμό εργασίας του οποίου έχει εγκατασταθεί, χωρίς κάτι τέτοιο να απαιτείται
Σε αυτό το πλαίσιο, αναφέρει ότι ο υπεύθυνος επεξεργασίας οφείλει να αναθεωρήσει την πολιτική καταγραφής ενεργειών των χρηστών στις εφαρμογές και τις ΒΔ, ώστε αυτή να είναι η ελάχιστη που απαιτείται για τον εν λόγω σκοπό, σε συνδυασμό με την ανάπτυξη κατάλληλων προληπτικών μέτρων ασφάλειας, όπως παρουσιάστηκε στο σκεπτικό της παρούσης.
Επίσης, ο υπεύθυνος επεξεργασίας οφείλει να ενημερώσει με τρόπο πρόσφορο και σαφή τα υποκείμενα, των οποίων οι ενέργειες στις εφαρμογές και τις ΒΔ καταγράφονται για τον σκοπό της επεξεργασίας, τους αποδέκτες ή τις κατηγορίες αποδεκτών των δεδομένων και την ύπαρξη του δικαιώματος πρόσβασης.
Παράλληλα, ο υπεύθυνος επεξεργασίας οφείλει να επανεξετάσει την αναγκαιότητα καταγραφής των ιστοσελίδων των χρηστών. Απαγορεύεται η γενική, συστηματική και προληπτική συλλογή και καταχώριση των δεδομένων που αφορούν τις επισκέψεις που αναφέρονται παραπάνω. Ο υπεύθυνος επεξεργασίας οφείλει να ενημερώσει με τρόπο πρόσφορο και σαφή τους υπαλλήλους του για την καταγραφή των ιστοσελίδων στις οποίες πλοηγούνται. Επίσης, σύμφωνα με την οδηγία 115/2001 της Αρχής, ο υπεύθυνος επεξεργασίας οφείλει να διαθέτει προσιτά στους εργαζόμενους τηλεπικοινωνιακά μέσα για τις προσωπικές επικοινωνίες τους.
Τέλος, υπογραμμίζει ότι απαγορεύεται η εγκατάσταση και χρήση λογισμικού παρακολούθησης σταθμού εργασίας τύπου VNC (π.χ. TightVNC) σε μόνιμη βάση και σε κάθε περίπτωση χωρίς την σύμφωνη γνώμη του εργαζομένου. Στα πλαίσια των αρχών της αναγκαιότητας και αναλογικότητας της επεξεργασίας, ο υπεύθυνος επεξεργασίας οφείλει να εφαρμόσει εναλλακτικές μεθόδους υποστήριξης των χρηστών. Λόγω της φύσεως της σχέσεως απασχόλησης αλλά και της έντασης της προσβολής, σύμφωνα και με την Οδηγία 115/2001 της Αρχής, οι εκπρόσωποι των εργαζομένων πρέπει να ενημερώνονται και να διατυπώνουν γνώμη πριν από την εισαγωγή μεθόδων ελέγχου και παρακολούθησης των εργαζομένων, όπως αυτός. Ο υπεύθυνος επεξεργασίας οφείλει να ενημερώνει με τρόπο πρόσφορο και σαφή τους υπαλλήλους στους σταθμούς εργασίας των οποίων είχε εγκατασταθεί λογισμικό παρακολούθησης, για το γεγονός ότι η λειτουργία του σταθμού τους δύναται να παρακολουθείται.
Αναλυτικά η απόφαση της Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα:
Πηγή
Tromaktiko
ΦΩΤΟΓΡΑΦΙΕΣ
ΜΟΙΡΑΣΤΕΙΤΕ
ΔΕΙΤΕ ΑΚΟΜΑ
ΠΡΟΗΓΟΥΜΕΝΟ ΑΡΘΡΟ
Συγκέντρωση φαρμάκων στην Μητρόπολη Αμαρουσίου
ΣΧΟΛΙΑΣΤΕ