Πιστοποιημένη Ένωση Καταναλωτών
από την Γενική Γραμματεία Καταναλωτή

Α/Μ 35



ΩΡΕΣ ΚΟΙΝΟΥ
10:00 π.μ-12:00μ.μ.

ΜΟΝΟ και ΑΥΣΤΗΡΑ ΚΑΤΌΠΙΝ ΡΑΝΤΕΒΟΎ

Τηλ.Επικοινωνίας 2821092306
E-mail: epkxan@gmail.com

Καλούμε τα μέλη της Ένωσης να προσέρχονται στο γραφείο μας

για την ανανέωση της συνδρομής τους/για το 2020
Πληροφορίες στη γραμματεία της Ε.Π.Κ.Κ στο
28210 92306
κατά τις ώρες 10:00 - 13:30

Η με e-banking στη Τράπεζα EUROBANK GR 670 260 74 60000 92 010 34 269 42 ή με κατάθεση
0026.0746.92.0103426942

Πέμπτη 8 Ιουλίου 2010

Παράνομη η απογραφή των δημοσίων υπάλληλων!

Πέμπτη, 08 Ιουλίου 2010


ΑΡΧΗ ΠΡΟΣΤΑΣΙΑΣ ΔΕΔΟΜΕΝΩΝ
ΠΡΟΣΩΠΙΚΟΥ ΧΑΡΑΚΤΗΡΑ




Αθήνα, 05-07-2010
Αριθ. Πρωτ.: Γ/ΕΞ/4189/05-07-2010


Α Π Ο Φ Α Σ Η 43/2010

Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, συνήλθε μετά από πρόσκληση του Προέδρου της σε έκτακτη συνεδρίαση την 30.6.2010 και ώρα 18:00 στο κατάστημά της, αποτελούμενη από τους Χ. Γεραρή, Πρόεδρο, Λ. Κοτσαλή, Α. ...
Παπανεοφύτου και Α. Ρουπακιώτη, τακτικά μέλη, και τα αναπληρωματικά μέλη Γ. Πάντζιου και Γ. Λαζαράκο, εισηγητή, σε αντικατάσταση των τακτικών μελών Α. Πομπόρτση και Α-Ι. Μεταξά, οι οποίοι αν και εκλήθησαν νομίμως - εγγράφως, δεν παρέστησαν λόγω κωλύματος. Δεν προσήλθαν λόγω κωλύματος το τακτικό μέλος Α. Πράσσος και το αναπληρωματικό Π. Τσαντίλας. Στη συνεδρίαση παρέστησαν χωρίς δικαίωμα ψήφου ο Γ. Ρουσόπουλος, πληροφορικός ελεγκτής, και η Ε. Χατζηλιάση, νομικός ελέγκτρια, ως βοηθοί εισηγητές και η Α. Χρυσοβελίδη, υπάλληλος του τμήματος διοικητικών και οικονομικών υποθέσεων, ως γραμματέας, μετά από εντολή του Προέδρου.

Η Αρχή έλαβε υπόψη τα παρακάτω:
Με την υπ' αριθμ. 2/37345/0004/4-6-2010 απόφαση των Υπουργών Εσωτερικών Αποκέντρωσης και Ηλεκτρονικής Διακυβέρνησης και Οικονομικών (ΦΕΚ 784/Β/4-6-2010) προβλέπεται η απογραφή του προσωπικού του Δημοσίου, των Ν.Π.Δ.Δ. και των Ο.Τ.Α. α΄ και β΄ βαθμού. Η απογραφή συνεπάγεται την επεξεργασία προσωπικών δεδομένων μίας μεγάλης πληθυσμιακής ομάδας (των απασχολουμένων στη δημόσια διοίκηση με την ευρεία έννοια αυτής) και για το λόγο αυτό η Αρχή αυτεπαγγέλτως, λαμβάνοντας παράλληλα υπόψη και δύο προσφυγές – καταγγελίες που ασκήθηκαν (αριθμ. πρωτ. της Αρχής Γ/ΕΙΣ/4080/28.6.2010 καταγγελία της Ομοσπονδίας Δικαστικών Υπαλλήλων Ελλάδος και αριθμ. πρωτ. της Αρχής Γ/ΕΙΣ/4052/27.6.2010 καταγγελία του A), επιλαμβάνεται του θέματος.
Ειδικότερα το άρθρο δεύτερο του ν. 3845/2010 «Μέτρα για την εφαρμογή του μηχανισμού στήριξης της ελληνικής οικονομίας από τα κράτη μέλη της Ζώνης του ευρώ και το Διεθνές Νομισματικό Ταμείο» (ΦΕΚ Α΄ 65/6.5.2010) ορίζει ότι με κοινή απόφαση των Υπουργών Οικονομικών και Εσωτερικών, Αποκέντρωσης και Ηλεκτρονικής Διακυβέρνησης διενεργείται απογραφή του πάσης φύσεως προσωπικού στο δημόσιο και τα Ν.Π.Δ.Δ., καθώς και ότι το προσωπικό που απογράφεται λαμβάνει τις αποδοχές του μέσω τραπεζικού λογαριασμού από Ενιαία Αρχή Πληρωμής που συστήνεται με την ίδια κοινή υπουργική απόφαση. Με βάση την ανωτέρω εξουσιοδοτική διάταξη εκδόθηκε η προμνησθείσα 2/37345/0004/4-6-2010 ΚΥΑ, η οποία καθορίζει τους όρους, τις προϋποθέσεις και τη διαδικασία απογραφής του προσωπικού της δημόσιας διοίκησης και ιδρύει στη Γενική Γραμματεία Δημοσιονομικής Πολιτικής/Γενικό Λογιστήριο του Κράτους οργανική μονάδα επιπέδου Διεύθυνσης με τον τίτλο Ενιαία Αρχή Πληρωμής (ΕΑΠ).
Κατά τις διατάξεις της ΚΥΑ η απογραφή διενεργείται σε δύο στάδια. Στο πρώτο στάδιο οι απασχολούμενοι στη δημόσια διοίκηση καλούνται να συμπληρώσουν ηλεκτρονική σελίδα απογραφής, η οποία βρίσκεται στο δικτυακό τόπο www.apografi.gov.gr και περιέχει: α) προσωπικά στοιχεία του υπαλλήλου, β) στοιχεία της υπηρεσιακής του κατάστασης και γ) τους τίτλους σπουδών του (άρθρο 3 της ΚΥΑ 2/37345/0004/4-6-2010). Στη συνέχεια τα ανωτέρω στοιχεία καταχωρούνται σε ηλεκτρονική βάση δεδομένων που θα τηρείται από τη Γενική Γραμματεία Πληροφοριακών Συστημάτων του Υπουργείου Οικονομικών (άρθρο 4 παρ. 1 της ΚΥΑ), η οποία σε συνεργασία με τη Γενική Διεύθυνση Κατάστασης Προσωπικού της Γενικής Γραμματείας Δημόσιας Διοίκησης του Υπουργείου Εσωτερικών συντονίζει την απογραφή (άρθρο 2 παρ. 3 της ΚΥΑ). Στο δεύτερο στάδιο οι διευθύνσεις διοικητικού/προσωπικού των φορέων που εμπίπτουν στο πεδίο εφαρμογής της εν λόγω ΚΥΑ υποχρεούνται, σύμφωνα με το άρθρο 4 παρ. 2 της ΚΥΑ, να συμπληρώσουν (εντός εξαμήνου από τη χορήγηση εξουσιοδότησης για πρόσβαση στη βάση δεδομένων) για κάθε υπάλληλό τους τα λοιπά στοιχεία που αναφέρονται στο Παράρτημα της εν λόγω υπουργικής απόφασης. Το Παράρτημα αυτό περιέχει το σύνολο σχεδόν των στοιχείων που τηρούνται στο προσωπικό μητρώο των δημοσίων υπαλλήλων και των υπαλλήλων Ν.Π.Δ.Δ., σύμφωνα με τις διατάξεις του Υπαλληλικού Κώδικα και του π.δ. 178/2004.
Τα κύρια ζητήματα που θέτει από άποψη προστασίας δεδομένων προσωπικού χαρακτήρα η ανωτέρω περιγραφείσα επεξεργασία είναι α) ο προσδιορισμός του ακριβούς σκοπού της επεξεργασίας, ώστε να ελεγχθεί εάν τηρείται η αρχή της αναλογικότητας, υπό την έννοια ότι τα συλλεγόμενα στοιχεία είναι αναγκαία και πρόσφορα για την επίτευξη του επιδιωκόμενου σκοπού και β) η λήψη των απαραίτητων μέτρων ασφάλειας των δεδομένων.
Στη συνεδρίαση κλήθηκαν με το αριθμ. πρωτ. Γ/ΕΞ/4016/24-06-2010 έγγραφο της Αρχής και παρέστησαν οι εκπρόσωποι της Γενικής Γραμματείας Δημόσιας Διοίκησης και Ηλεκτρονικής Διακυβέρνησης του Υπουργείου Εσωτερικών και οι εκπρόσωποι της Γενικής Γραμματείας Πληροφοριακών Συστημάτων του Υπουργείου Οικονομικών. Το Υπουργείο Εσωτερικών υποστήριξε, μεταξύ άλλων, ότι η απογραφή εξυπηρετεί δύο σκοπούς, αυτόν της μισθοδοσίας των απασχολουμένων στο δημόσιο αλλά και αυτόν του εκσυγχρονισμού της δημόσιας διοίκησης μέσω της διαχείρισης (αξιοποίησης) του ανθρωπίνου δυναμικού αυτής. Το Υπουργείο Εσωτερικών κατέθεσε στην Αρχή και το από 29.6.2010 έγγραφο σημείωμα της Γενικής Γραμματέως Δημόσιας Διοίκησης και Ηλεκτρονικής Διακυβέρνησης.
Η Αρχή, μετά από εξέταση όλων των παραπάνω στοιχείων και κατόπιν διεξοδικής συζήτησης,

ΣΚΕΦΘΗΚΕ ΣΥΜΦΩΝΑ ΜΕ ΤΟ ΝΟΜΟ
1. Από τις διατάξεις των άρθρων 2, 4 παρ. 1 και 5 παρ. 2 του ν. 2472/1997 προκύπτει ότι η επεξεργασία προσωπικών δεδομένων επιτρέπεται και χωρίς τη συγκατάθεση των υποκειμένων των δεδομένων στην περίπτωση που ο σκοπός της επεξεργασίας είναι νόμιμος, σαφής και καθορισμένος, τα δεδομένα τα οποία τυγχάνουν επεξεργασίας είναι συναφή, πρόσφορα και όχι περισσότερα από όσα απαιτούνται για την επίτευξη του σκοπού της επεξεργασίας και επιπλέον συντρέχει μία από τις προϋποθέσεις που προβλέπονται στο άρθρο 5 παρ. 2 του προαναφερθέντος νόμου, όπως π.χ. να επιβάλλεται από το νόμο η συγκεκριμένη επεξεργασία (στοιχ. β΄).
2. Η επεξεργασία προσωπικών δεδομένων από δημόσια αρχή για τους απασχολουμένους στη δημόσια διοίκηση λειτουργεί και αναπτύσσει τις συνέπειές της στο πλαίσιο του κράτους δικαίου και της αρχής της νομιμότητας. Όπως παγίως γίνεται δεκτό, η αρχή της νομιμότητας λειτουργεί ως περιοριστικό όριο της διοικητικής δράσης, ή, με αντίστροφο συλλογισμό, η διοικητική ενέργεια πρέπει να είναι σύμφωνη προς τον κανόνα δικαίου που διέπει τη δράση της διοίκησης. Στην προκειμένη περίπτωση, θα πρέπει να εξετασθεί κατά πόσον η ενέργεια της συλλογής και περαιτέρω επεξεργασίας από το Υπουργείου Οικονομικών (Ενιαία Αρχή Πληρωμών) προσωπικών δεδομένων των απασχολουμένων στο Δημόσιο συνάδει προς τους σχετικούς κανόνες δικαίου που διέπουν τη λειτουργία της Ενιαίας Αρχής Πληρωμών και γενικότερα προς τις ρυθμίσεις του ν. 3845/2010 και της ΚΥΑ 2/37345/0004/4-6-2010.
3. Από το άρθρο δεύτερο παρ. 1 στοιχ. β΄ του ν. 3845/2010 αλλά και από το σύνολο των διατάξεων της ΚΥΑ που προσδιορίζει τη διαδικασία, το χρόνο, τον τρόπο και τα όργανα απογραφής προκύπτει ότι σκοπός της απογραφής είναι η πληρωμή των πάσης φύσεως αποδοχών ή πρόσθετων αμοιβών, αποζημιώσεων και με οποιαδήποτε άλλη ονομασία καταβαλλόμενων απολαβών του πάσης φύσεως προσωπικού του δημοσίου, Ν.Π.Δ.Δ. και Ο.Τ.Α. α΄ και β΄ βαθμού μέσω της Ενιαίας Αρχής Πληρωμών (στο εξής και ΕΑΠ). Ειδικότερα τούτο προκύπτει, πρώτον, από την ανωτέρω διάταξη του ν. 3845/2010 η οποία προσδιορίζει κατά περιεχόμενο την απογραφή συνδέοντάς την με την πληρωμή των πάσης φύσεως αποδοχών μέσω της ΕΑΠ και δεύτερον από την ανωτέρω ΚΥΑ, η οποία α) στο άρθρο 5 παρ. 2 ρυθμίζει την αποστολή της ΕΑΠ, β) στο άρθρο 6 παρ. 2 προσδιορίζει τις αρμοδιότητες της εν λόγω Αρχής, γ) στο άρθρο 4 παρ. 5 ορίζει ότι η ΕΑΠ δύναται να έχει πρόσβαση και να χρησιμοποιεί τα στοιχεία της βάσης δεδομένων μόνο για υπηρεσιακούς λόγους, εννοώντας προφανώς τη διαδικασία πληρωμής των δημοσίων υπαλλήλων, και δ) στο άρθρο 4 παρ. 6 και 7 σε συνδυασμό με το άρθρο 20 προσδιορίζει τη διαδικασία απόδοσης μοναδικού Ενιαίου Κωδικού Μισθοδοσίας Δημοσίου (ΕΚΜΔΗ).
4. Η διάταξη του άρθρου δεύτερου παρ. 1 στοιχ. β΄ του ν. 3845/2010 δεν παρέχει εξουσιοδότηση για τη δημιουργία κεντρικού αρχείου με τα προσωπικά δεδομένα του συνόλου των απασχολουμένων στο δημόσιο, το οποίο θα εξυπηρετεί το σκοπό του εκσυγχρονισμού της δημόσιας διοίκησης μέσω και της αξιοποίησης και ανακατανομής των ανθρωπίνων πόρων της. Παρά το γεγονός ότι το Μνημόνιο Οικονομικής και Χρηματοπιστωτικής Πολιτικής, το οποίο υπογράφηκε στις 3.5.2010 και το οποίο προσαρτάται ως παράρτημα στον ανωτέρω νόμο, αναφέρει στο σημείο 9 ότι «ο δημόσιος τομέας έχει καταστεί υπερβολικά μεγάλος και πολυδάπανος και πρέπει να γίνει μικρότερος, πιο αποτελεσματικός και ευέλικτος και να προσανατολιστεί στην παροχή καλύτερων υπηρεσιών προς τους πολίτες», η ανωτέρω διάταξη του ν. 3845/2010 δεν παρέχει εξουσιοδότηση για ρύθμιση του θέματος με υπουργική απόφαση. Η σχετική εξουσιοδότηση έπρεπε να είναι ρητή, σαφής και ειδική για τον επιπρόσθετο λόγο ότι το περιεχόμενο και ο τρόπος τήρησης του προσωπικού μητρώου των δημοσίων υπαλλήλων και των υπαλλήλων των Ν.Π.Δ.Δ. ρυθμίζεται ήδη από το άρθρο 23 του ν. 3528/2007 (Δημοσιοϋπαλληλικός Κώδικας, όπως αυτός τροποποιήθηκε και ισχύει) και το π.δ. 178/2004.
5. Ενόψει των ανωτέρω μόνο στοιχεία αναγκαία και πρόσφορα για το σκοπό της μισθοδοσίας μπορούν να συλλεχθούν και να τύχουν περαιτέρω επεξεργασίας. Ως αναγκαία και πρόσφορα (με αναφορά στο Παράρτημα της ΚΥΑ) δεν μπορούν να θεωρηθούν ο βαθμός και η βαθμολογία του τίτλου σπουδών, το θέμα του διδακτορικού τίτλου, ο βαθμός του μεταπτυχιακού τίτλου και άδεια άσκησης ιδιωτικού έργου. Τα στοιχεία τα σχετικά με τις ξένες γλώσσες, τις επιμορφώσεις, τους επαίνους-μετάλλια κρίνονται καταρχήν μη αναγκαία και πρόσφορα για την επίτευξη του σκοπού της μισθοδοσίας των απασχολουμένων στο Δημόσιο, εκτός εάν από ειδικές διατάξεις της κείμενης νομοθεσίας τα παραπάνω στοιχεία συνδέονται με την καταβολή επιδομάτων σε συγκεκριμένες κατηγορίες υπαλλήλων. Από τις πειθαρχικές ποινές πρέπει να καταχωρείται μόνο η στέρηση αποδοχών, που συνδέεται με τη μισθοδοσία. Αν και κατά τη γνώμη ενός μέλους της Αρχής στο Παράρτημα της ΚΥΑ περιλαμβάνονται και άλλα στοιχεία τα οποία δεν είναι αναγκαία και πρόσφορα για την επίτευξη του ανωτέρω σκοπού. Καθόσον αφορά τα στοιχεία που περιέχονται στην ηλεκτρονική σελίδα απογραφής στο δικτυακό τόπο www.apografi.gov.gr και δεν προβλέπονται στην ΚΥΑ, κρίνεται κατά πλειοψηφία ότι ο αριθμός φορολογικής δήλωσης, το έτος του εκκαθαριστικού και ο κωδικός ηλεκτρονικής πληρωμής της ΔΕΗ είναι χρήσιμα για την ταυτοποίηση του απογραφομένου και τη σωστή αναγραφή της διεύθυνσής του, όπως διευκρινίζεται και στις οδηγίες απογραφής που έχουν αναρτηθεί στη σχετική ιστοσελίδα. Συνεπώς, για το λόγο αυτό, η επεξεργασία τους θεωρείται νόμιμη. Αν και κατά τη γνώμη δύο μελών της Αρχής ο κωδικός ηλεκτρονικής πληρωμής της ΔΕΗ πέραν της ταυτοποίησης, είναι δυνατόν να οδηγήσει στη συναγωγή και άλλων προσωπικών δεδομένων, τα οποία δεν είναι αναγκαία και πρόσφορα για την εκπλήρωση του σκοπού της μισθοδοσίας. Τέλος, τα στοιχεία που αναφέρονται στην περιγραφή καθηκόντων, στις γνώσεις ηλεκτρονικού υπολογιστή και στην Ε΄ ομάδα της ηλεκτρονικής σελίδας απογραφής, υπό τον τίτλο Προτιμήσεις, πρέπει να αφαιρεθούν διότι ούτε προβλέπονται από το Παράρτημα της ΚΥΑ ούτε είναι αναγκαία και πρόσφορα για τη μισθοδοσία των απασχολουμένων του Δημοσίου.
6. Από το σύνολο των ρυθμίσεων της ΚΥΑ προκύπτει ότι υπεύθυνος επεξεργασίας του τηρούμενου αρχείου, κατά την έννοια του άρθρου 2 στοιχ. β΄ του ν. 2472/1997, είναι το Υπουργείο Οικονομικών, ενώ ο χρόνος τήρησης των δεδομένων συμπίπτει με το χρόνο του εργασιακού βίου του απασχολουμένου στο δημόσιο. Από την περιγραφή του συστήματος και τις επεξηγήσεις που έδωσαν οι εκπρόσωποι της Γενικής Γραμματείας Πληροφοριακών Συστημάτων (Γ.Γ.Π.Σ.) προέκυψε, επίσης, ότι για την υλοποίηση της εφαρμογής ακολουθείται αρχιτεκτονική τριών επιπέδων. Η Γ.Γ.Π.Σ. παρέχει την υποδομή και τις εφαρμογές και εκτελεί τις απαραίτητες ενέργειες για την ορθή λειτουργία των διακομιστών βάσης δεδομένων και εφαρμογών. Οι λειτουργικές προδιαγραφές του λογισμικού έχουν καθοριστεί από το Υπουργείο Εσωτερικών, ενώ κύριος χρήστης της εφαρμογής είναι η Ενιαία Αρχή Πληρωμών. Περαιτέρω χρήστες είναι οι αρμόδιοι υπάλληλοι των υπηρεσιών προσωπικού και οι εκκαθαριστές αποδοχών και φυσικά όλοι οι μισθοδοτούμενοι κατά την αρχική φάση της απογραφής τους.
7. Με τη συγκέντρωση των στοιχείων όλων των μισθοδοτουμένων και τη λειτουργία της διαδικασίας μισθοδοσίας μέσω μιας ενιαίας ηλεκτρονικής εφαρμογής αυξάνονται οι πιθανές επιπτώσεις από τυχαία ή αθέμιτη καταστροφή, απώλεια, απαγορευμένη διάδοσή ή πρόσβαση ή άλλου είδους αθέμιτη επεξεργασία. Για το λόγο αυτό τα μέτρα ασφάλειας, που λαμβάνονται κατά το άρθρο 10 του ν. 2472/1997, πρέπει να είναι ιδιαίτερα αυξημένα, σε σχέση με τα ήδη αυξημένα μέτρα των υπηρεσιών του Δημοσίου. Τα μέτρα αυτά πρέπει να περιγράφονται σε ολοκληρωμένο σχέδιο ασφάλειας της ηλεκτρονικής εφαρμογής, το οποίο μπορεί να αποτελεί τμήμα του σχεδίου και της πολιτικής ασφαλείας του υπευθύνου επεξεργασίας.
Τα μέτρα που πρέπει να προβλέπονται στην πολιτική ασφάλειας πρέπει να είναι τέτοια που να διασφαλίζουν τουλάχιστον τους ακόλουθους κινδύνους: α) την αποφυγή διάδοσης στοιχείων σε τρίτους κατά τη χρήση της εφαρμογής φυλλομετρητή διαδικτύου (web browser) από κάθε χρήστη, β) τη μη ακριβή διαπίστευση, ταυτοποίηση ή εξουσιοδότηση των χρηστών της εφαρμογής, εκτός των απογραφόμενων, γ) τη μη ασφαλή αυθεντικοποίηση των χρηστών αυτών και δ) τη μη εξουσιοδοτημένη πρόσβαση στα αποθηκευμένα δεδομένα από τους χρήστες της εφαρμογής και τους διαχειριστές των διακομιστών όλων των επιπέδων.
8. Για την αποτροπή των κινδύνων που αναφέρονται στην προηγούμενη σκέψη, η πολιτική ασφαλείας πρέπει να περιλαμβάνει ειδικά μέτρα που να εξασφαλίζουν τα πιο κάτω: α) Ασφαλής σύνδεση μέσω φυλλομετρητή διαδικτύου με προβλέψεις για διαχείριση φόρτου και αποφυγή πολλαπλών κακόβουλων καταχωρήσεων. β) Οι χρήστες που έχουν δικαιώματα τροποποίησης, ελέγχου και διαχείρισης των στοιχείων της απογραφής, ανεξάρτητα του φορέα που αυτοί ανήκουν πρέπει να έχουν προσωπικά στοιχεία αυθεντικοποίησης στο σύστημα που να είναι ιδιαίτερα ασφαλή. Η απλή χρήση ονόματος χρήστη και κωδικού πρόσβασης (username/password) πρέπει να αποθαρρύνεται και να προτιμάται η χρήση ψηφιακού πιστοποιητικού ή άλλης λύσης που προσφέρει ένα επιπλέον στοιχείο αναγνώρισης. Για το σκοπό αυτό είναι σκόπιμο να αποκτήσουν όσο το δυνατό νωρίτερα οι εμπλεκόμενοι υπάλληλοι προσωπικά ψηφιακά πιστοποιητικά (π.χ. μέσω του έργου «ΕΡΜΗΣ»). Εναλλακτικά, αν αυτό δεν είναι δυνατό σε πρώτη φάση, πρέπει να τεθούν ισχυροί περιορισμοί στους προαναφερθέντες κωδικούς (π.χ. σε όρους πολυπλοκότητας, χρονικής διάρκειας, χρήσης συγκεκριμένων διευθύνσεων IP κλπ). γ) Οι διαχειριστές σε επίπεδο εφαρμογής και βάσης δεδομένων πρέπει να είναι διαφορετικοί, με αλληλοαποκλειόμενα δικαιώματα. Ειδικά για τους διαχειριστές των διακομιστών πρέπει να χρησιμοποιούνται αυξημένης ασφάλειας ψηφιακά πιστοποιητικά για την αυθεντικοποίησή τους, ενώ κρίσιμες λειτουργίες διαχείρισης (π.χ. έλεγχος αρχείων καταγραφής) να ενεργούνται με την έγκριση δύο διαφορετικών προσώπων. δ) Να ενεργοποιηθεί η δυνατότητα καταγραφής των ενεργειών (σε αρχεία καταγραφής – log files) τόσο σε επίπεδο ενεργειών στη βάση δεδομένων όσο και των ενεργειών των χρηστών της εφαρμογής, ώστε να είναι δυνατό να ανιχνευθεί κάθε μη εξουσιοδοτημένη ενέργεια στα αποθηκευμένα δεδομένα. Τα αρχεία καταγραφής να τηρούνται για εύλογο χρονικό διάστημα, ανάλογα με το είδος πρόσβασης του κάθε χρήστη. ε) Τέλος, πρέπει να εξετασθεί η δυνατότητα αποθήκευσης στη βάση δεδομένων των στοιχείων αυτών που ταυτοποιούν μοναδικά κάθε απογραφόμενο (π.χ. ονοματεπώνυμο, ΑΦΜ, ΑΜΚΑ, διευθύνσεις κλπ) σε κρυπτογραφημένη μορφή. Η δυνατότητα κρυπτογράφησης πρέπει να μελετηθεί αναλυτικά και να αξιολογηθεί σε όρους κόστους/ωφελειών.

ΓΙΑ ΤΟΥΣ ΛΟΓΟΥΣ ΑΥΤΟΥΣ
Η Αρχή αποφαίνεται ότι: α) δεν πρέπει να συλλεγούν και να τύχουν περαιτέρω επεξεργασίας, κατά την απογραφή του προσωπικού του Δημοσίου και των Ν.Π.Δ.Δ., τα στοιχεία που δεν συνδέονται με τη μισθοδοσία, κατά τα αναφερόμενα στο σκεπτικό και β) ο υπεύθυνος επεξεργασίας οφείλει να λάβει τα μέτρα ασφαλείας που περιγράφονται στο σκεπτικό και να ενημερώσει σχετικά την Αρχή εντός έξι μηνών από της εκδόσεως της παρούσας αποφάσεως.

Ο Πρόεδρος
Η Γραμματέας




Χρίστος Γεραρής



Αιμιλία Χρυσοβελίδη

Δεν υπάρχουν σχόλια: