Εκπαίδευση για το phishing με σεβασμό στην ιδιωτικότητα: Επιτροπές εργαζομένων, συγκατάθεση και βασικά στοιχεία του GDPR
Πώς να σχεδιάσετε ένα πρόγραμμα που είναι αποτελεσματικό *και* φιλικό προς τους υπαλλήλους: επιλογές ανωνυμοποίησης, διατήρηση δεδομένων και σαφείς ειδοποιήσεις

⚖️ Αυτό το άρθρο αποτελεί γενική πληροφόρηση – για συγκεκριμένες αποφάσεις σχετικά με τον οργανισμό σας, συμβουλευτείτε έναν εξειδικευμένο δικηγόρο στη δικαιοδοσία σας.
TL;DR
Μπορείτε να διεξάγετε αποτελεσματικές προσομοιώσεις phishing στην ΕΕ χωρίς να αποξενώσετε το προσωπικό ή να διακινδυνεύσετε τη μη συμμόρφωση:
- χρησιμοποιώντας έννομα συμφέροντα (όχι συγκατάθεση) ως κύρια νομική βάση και τεκμηριώνοντας μια δοκιμή στάθμισης·
- εμπλέξετε επιτροπές εργαζομένων από νωρίς και κωδικοποιήσετε προστατευτικά μέτρα σε μια συλλογική σύμβαση εργασίας όπου απαιτείται·
- δώσετε προτεραιότητα στην ανωνυμοποίηση/ψευδωνυμοποίηση, τη σύντομη διατήρηση και τις διαφανείς ειδοποιήσεις· και
- διεξάγετε μια ΕΠΔΑ εάν το πλαίσιο σας υποδηλώνει υψηλό κίνδυνο (π.χ., συστηματική παρακολούθηση).
1) Νόμιμη βάση: γιατί τα έννομα συμφέροντα συνήθως υπερισχύουν της συγκατάθεσης
Στο πλαίσιο της απασχόλησης, η συγκατάθεση σπάνια παρέχεται ελεύθερα λόγω της ανισορροπίας ισχύος μεταξύ εργοδότη και εργαζομένου. Οι Κατευθυντήριες γραμμές 05/2020 σχετικά με τη συγκατάθεση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων υπογραμμίζουν ότι η συγκατάθεση του εργαζομένου είναι έγκυρη μόνο σε εξαιρετικές περιστάσεις χωρίς αρνητικές συνέπειες σε περίπτωση άρνησης. Για τις προσομοιώσεις phishing, πιο κατάλληλη είναι η άρθρο 6(1)(στ) περί έννομων συμφερόντων, τεκμηριωμένη με μια Αξιολόγηση Έννομων Συμφερόντων (LIA) που σταθμίζει τις ανάγκες σας για ασφάλεια έναντι των δικαιωμάτων και των προσδοκιών των εργαζομένων.
Ορθές πρακτικές για την LIA
- Ορίστε το συμφέρον (ευαισθητοποίηση σε θέματα ασφάλειας, πρόληψη απάτης).
- Καταγράψτε τις εύλογες προσδοκίες των εργαζομένων (η εκπαίδευση είναι φυσιολογική, η κρυφή δημιουργία προφίλ δεν είναι).
- Καταγράψτε τα μέτρα μετριασμού (βλ. Ενότητες 3–5).
- Καταγράψτε τους λόγους για τους οποίους η συγκατάθεση θα ήταν ακατάλληλη στο πλαίσιο της επιχείρησής σας.
Αναφορές: Κατευθυντήριες γραμμές 05/2020 του EDPB σχετικά με τη συγκατάθεση· Αιτιολογική σκέψη 47 του GDPR (εύλογες προσδοκίες).
2) Επιτροπές εργαζομένων: Εστίαση στη Γερμανία και την Αυστρία
Εάν δραστηριοποιείστε σε χώρες με ισχυρή συνδιαμόρφωση, εμπλέξτε την επιτροπή εργαζομένων πριν από την εφαρμογή.
- Γερμανία (BetrVG §87(1) αριθ. 6): το συμβούλιο εργαζομένων συμμετέχει στη λήψη αποφάσεων σχετικά με την «εισαγωγή και χρήση τεχνικών συσκευών που έχουν σχεδιαστεί για την παρακολούθηση της συμπεριφοράς ή της απόδοσης των εργαζομένων». Ακόμη και απλά ταμπλό μπορούν να ενεργοποιήσουν αυτή τη διαδικασία, οπότε είναι συνήθης πρακτική η σύναψη Betriebsvereinbarung (συμφωνίας εργασίας) που καθορίζει το πεδίο εφαρμογής, τη διαχείριση των δεδομένων και τα μέτρα προστασίας.
- Αυστρία (ArbVG §96(1) αρ. 3): τα μέτρα παρακολούθησης και τα τεχνικά συστήματα που ενδέχεται να επηρεάσουν την ανθρώπινη αξιοπρέπεια απαιτούν τη συγκατάθεση του συμβουλίου εργαζομένων (ή ατομική συγκατάθεση εάν δεν υπάρχει συμβούλιο εργαζομένων).
Τι πρέπει να περιλαμβάνεται στη συμφωνία/πολιτική της επιχείρησης
Σκοπός και πεδίο εφαρμογής, νομική βάση, ελάχιστα δεδομένα που συλλέγονται, απαγόρευση πειθαρχικής χρήσης των μετρήσεων από μόνες τους, ποιος βλέπει τι, χρονοδιάγραμμα διατήρησης και ανωνυμοποίησης, κατάλογος προμηθευτών (επεξεργαστές/υποεπεξεργαστές), δικαιώματα εργαζομένων και ρήτρα ετήσιας αναθεώρησης.
Πηγές: Γερμανία—BetrVG §87(1) αριθ. 6 (επίσημο αγγλικό κείμενο); ανάλυση από τη Luther Law. Αυστρία—περίληψη του Eurofound για το ArbVG §96(1) αριθ. 3; επεξήγηση της Schoenherr.
3) Ανωνυμοποίηση έναντι ψευδωνυμοποίησης (και τι σημαίνει αυτό για τις αναφορές)
- Ανωνυμοποίηση (Αιτιολογική σκέψη 26 του GDPR): όταν τα δεδομένα είναι πραγματικά ανώνυμα, ο GDPR δεν ισχύει πλέον.
- Ψευδωνυμοποίηση (άρθρο 4(5) του GDPR): τα δεδομένα εξακολουθούν να είναι προσωπικά εάν μπορούν να επανασυνδεθούν μέσω ξεχωριστών κλειδιών· αντιμετωπίστε τα αναλόγως.
Μοντέλο αναφοράς με επίκεντρο την προστασία της ιδιωτικής ζωής
- Προεπιλογή σε συγκεντρωτικά στοιχεία ανά ομάδα/τοποθεσία.
- Χρησιμοποιήστε σταθερά τυχαία αναγνωριστικά για την ανάλυση τάσεων αντί για ονόματα· διατηρήστε το κλειδί ξεχωριστά με αυστηρό έλεγχο πρόσβασης.
- Εμφανίστε ατομικά αποτελέσματα μόνο σε μια μικρή ομάδα που πρέπει να γνωρίζει (π.χ., υπεύθυνος ευαισθητοποίησης σε θέματα ασφάλειας + HR) και μόνο όταν είναι απαραίτητο για στοχευμένη καθοδήγηση.
- Μην συλλέγετε ποτέ πραγματικούς κωδικούς πρόσβασης· εάν ένας χρήστης επιχειρήσει να υποβάλει διαπιστευτήρια, εμφανίστε μια σελίδα εκπαίδευσης και απορρίψτε οποιαδήποτε καταχώριση.
Για ένα πρακτικό παράδειγμα του τρόπου με τον οποίο μια πλατφόρμα εφαρμόζει αυτές τις έννοιες, δείτε την επισκόπηση της ανωνυμοποίησης της AutoPhish: https://autophish.io/anonymization
4) Διατήρηση: όσο μικρότερη, τόσο ασφαλέστερη (και απαιτείται από την αρχή)
Η αρχή του περιορισμού αποθήκευσης του GDPR απαιτεί τη διατήρηση των προσωπικών δεδομένων σε αναγνωρίσιμη μορφή όχι περισσότερο από όσο είναι απαραίτητο για τον δηλωμένο σκοπό. Για τα προγράμματα phishing, πολλές ΜΜΕ υιοθετούν ένα παράθυρο δύο επιπέδων:
- Λειτουργικό παράθυρο (π.χ., 30–90 ημέρες): αναγνωρίσιμα δεδομένα διαθέσιμα για καθοδήγηση και αποκατάσταση.
- Ανάλυση μετά την εκστρατεία: στη συνέχεια συγκέντρωση/ανωνυμοποίηση, διατηρώντας μόνο μη αναγνωρίσιμες τάσεις για μακροπρόθεσμη παρακολούθηση KPI.
Τεκμηριώστε αυτό στα αρχεία επεξεργασίας του άρθρου 30 και στην ειδοποίηση απορρήτου των εργαζομένων σας.
5) Ειδοποιήσεις: να είστε διαφανείς και να χρησιμοποιείτε απλή γλώσσα (άρθρο 13)
Πριν από την πρώτη σας εκστρατεία, παρέχετε μια σύντομη εσωτερική ειδοποίηση (ή ενημερώστε την πολιτική απορρήτου των εργαζομένων σας) που εξηγεί: τον σκοπό (ευαισθητοποίηση σε θέματα ασφάλειας), τη νομική βάση (έννομα συμφέροντα), ποια δεδομένα συλλέγετε (π.χ. email, τμήμα, συμβάντα κλικ/αναφορών), τη διατήρηση, ποιος μπορεί να έχει πρόσβαση σε δεδομένα σε ατομικό επίπεδο (περιορισμένοι ρόλοι), ότι δεν γίνεται πειθαρχική χρήση μεμονωμένων συμβάντων, τα δικαιώματα των εργαζομένων (πρόσβαση/αντίρρηση) και ένα σημείο επικοινωνίας (DPO ή υπεύθυνος προστασίας δεδομένων).
Έτοιμο κείμενο για αντιγραφή-επικόλληση (προσαρμόστε το στο πλαίσιο σας)
Διεξάγουμε περιοδικές προσομοιώσεις phishing για την ενίσχυση της ευαισθητοποίησης σε θέματα ασφάλειας και τη μείωση του κινδύνου απάτης. Επεξεργαζόμαστε το όνομά σας, το email εργασίας σας, το τμήμα σας και τις αλληλεπιδράσεις σας κατά τη διάρκεια των προσομοιώσεων (π.χ. άνοιγμα/αναφορά/υποβολή). Η νομική μας βάση είναι τα έννομα συμφέροντα (GDPR Άρθ. 6(1)(στ)). Τα δεδομένα σε ατομικό επίπεδο είναι ορατά μόνο στην ομάδα ευαισθητοποίησης σε θέματα ασφάλειας (και στο τμήμα Ανθρώπινου Δυναμικού, όπου είναι απαραίτητο για στοχευμένη καθοδήγηση). Διατηρούμε τα αναγνωρίσιμα δεδομένα για [X ημέρες] και στη συνέχεια τα συγκεντρώνουμε/ανωνυμοποιούμε. Δεν αποθηκεύουμε ποτέ πραγματικούς κωδικούς πρόσβασης. Μπορείτε να ασκήσετε τα δικαιώματά σας σχετικά με τα δεδομένα (πρόσβαση/αντίρρηση κ.λπ.) μέσω [επαφής]. Δείτε [σύνδεσμο προς την πλήρη δήλωση απορρήτου των εργαζομένων].
6) Χρειάζεστε DPIA;
Απαιτείται Εκτίμηση Επιπτώσεων στην Προστασία Δεδομένων (DPIA) όταν η επεξεργασία ενδέχεται να οδηγήσει σε υψηλό κίνδυνο για τα φυσικά πρόσωπα (άρθρο 35). Οι ρυθμιστικές αρχές και το EDPB επισημαίνουν ότι η παρακολούθηση των εργαζομένων μπορεί να απαιτήσει τη διενέργεια DPIA —ιδίως όταν η επεξεργασία είναι συστηματική ή αφορά ευάλωτα υποκείμενα δεδομένων. Εάν το πρόγραμμά σας εισάγει νέα εργαλεία, μετρήσεις μεγάλης κλίμακας ή διασυνοριακές διαβιβάσεις, προτιμήστε να διενεργήσετε μια DPIA.
Τι πρέπει να καλύπτετε: σκοπός/αναγκαιότητα, εναλλακτικές λύσεις (λιγότερο παρεμβατικές επιλογές), ροές δεδομένων, κίνδυνοι, μέτρα μετριασμού (ανωνυμοποίηση, ελαχιστοποίηση, πρόσβαση βάσει ρόλου, σύντομη διατήρηση, καθοδήγηση χωρίς επίρριψη ευθυνών) και ένα σχέδιο για περιοδική επανεξέταση.
7) Προμηθευτές και διασυνοριακές διαβιβάσεις
Εάν χρησιμοποιείτε πάροχο πλατφόρμας, εσείς είστε ο υπεύθυνος επεξεργασίας και αυτός είναι ο εκτελών την επεξεργασία· υπογράψτε μια Συμφωνία Επεξεργασίας Δεδομένων που πληροί τις απαιτήσεις του Άρθρου 28 (ασφάλεια, έλεγχοι υπο-εκτελούντων την επεξεργασία, συνδρομή σε δικαιώματα δεδομένων, διαγραφή στο τέλος της υπηρεσίας). Εάν ο πάροχος ή οι υπο-εκτελούντες την επεξεργασία βρίσκονται εκτός του ΕΟΧ, εφαρμόστε τις Τυποποιημένες Συμβατικές Ρήτρες και πραγματοποιήστε αξιολόγηση κινδύνου διαβίβασης.
8) NIS2: εάν εμπίπτετε στο πεδίο εφαρμογής, η εκπαίδευση δεν είναι πλέον προαιρετική
Για τις οντότητες που καλύπτονται από την Οδηγία NIS2, η διοίκηση πρέπει να εποπτεύει τα μέτρα διαχείρισης κινδύνων στον τομέα της κυβερνοασφάλειας (Άρθ. 20) και να διασφαλίζει την κατάλληλη εκπαίδευση και τις διαδικασίες αντιμετώπισης περιστατικών (Άρθ. 21). Ακόμη και αν δεν εμπίπτετε στο πεδίο εφαρμογής, το επίπεδο που θέτει η NIS2 αποτελεί χρήσιμο σημείο αναφοράς για τις ΜΜΕ.
9) Μια πρακτική αρχιτεκτονική που δίνει προτεραιότητα στην προστασία της ιδιωτικής ζωής (και εξακολουθεί να λειτουργεί)
- Δεδομένα εισόδου: όνομα, email, ομάδα και υπεύθυνος (προαιρετικά). Χωρίς προσωπικά email, χωρίς ειδικές κατηγορίες.
- Κατά τη διάρκεια της καμπάνιας: συλλέξτε μόνο δεδομένα εκδήλωσης (παράδοση, κλικ, αναφορά, υποβολή). Εάν ένας χρήστης προσπαθήσει να εισαγάγει διαπιστευτήρια, εμφανίστε την εκπαίδευση και μην καταγράφετε μυστικά.
- Έλεγχος πρόσβασης: η ομάδα ευαισθητοποίησης μπορεί να δει τις ομάδες και τα ανώνυμα αναγνωριστικά
- Διατήρηση: 30–90 ημέρες για τα ταυτοποιημένα δεδομένα → αυτόματη ανωνυμοποίηση· διατήρηση συγκεντρωτικών στοιχείων για τις τάσεις από έτος σε έτος.
- Αποτελέσματα: η έκθεση προς τη διοίκηση παρουσιάζει ποσοστά και τάσεις, όχι ονόματα.
- Διακυβέρνηση: LIA + (εάν απαιτείται) DPIA στο αρχείο· ενημέρωση του μητρώου του άρθρου 30· έγκριση της συμφωνίας εργασίας.
Τελικές σκέψεις
Η εκπαίδευση για το phishing που σέβεται την ιδιωτικότητα δεν αποτελεί αντίφαση. Με τη σωστή νομική βάση, την πραγματική εκπροσώπηση των εργαζομένων και τεχνικά μέτρα προστασίας όπως η ανωνυμοποίηση και η σύντομη διατήρηση, το πρόγραμμά σας μπορεί να προστατεύσει τα άτομα και τα δεδομένα τους, μειώνοντας ταυτόχρονα τον κίνδυνο κατά τρόπο μετρήσιμο. Σε περίπτωση αμφιβολίας, ζητήστε νομική συμβουλή προσαρμοσμένη στα δικά σας δεδομένα.
Νομικές αναφορές (Γερμανία & Αυστρία)
-
Γερμανία — Νόμος περί εργατικής οργάνωσης (BetrVG) §87(1) αριθ. 6 (επίσημο αγγλικό κείμενο)
Gesetze im Internet – Νόμος περί εργατικής οργάνωσης (Betriebsverfassungsgesetz – BetrVG), αγγλική μετάφραση -
Ανάλυση από τη Luther Law
«Διαρκές ζήτημα: λογισμικό έναντι συναπόφασης (άρθρο 87(1) αριθ. 6 BetrVG)» — Luther Law -
Αυστρία — Περίληψη του Eurofound για το άρθρο 96(1) αριθ. 3 του ArbVG
Eurofound: Παρακολούθηση και επιτήρηση των εργαζομένων — Αυστρία -
Επεξήγηση της Schoenherr (ArbVG §96(1) αριθ. 3)
«Γραμμή επικοινωνίας για την καταγγελία παραβάσεων — Εφαρμογή μόνο με τη συγκατάθεση των εργαζομένων;» — Schoenherr
Περαιτέρω ανάγνωση
-
Κατευθυντήριες γραμμές 05/2020 του ΕΟΠΔ σχετικά με τη συγκατάθεση
https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_202005_consent_en.pdf -
Αιτιολογική σκέψη 26 του ΓΚΠΔ (ανώνυμα δεδομένα)
https://gdpr-info.eu/recitals/no-26/ -
Άρθρο 4 παράγραφος 5 του ΓΚΠΔ (ψευδωνυμοποίηση)
https://gdpr-info.eu/art-4-gdpr/ -
Άρθρο 5 του ΓΚΠΔ (αρχές)
https://gdpr-info.eu/art-5-gdpr/ -
Άρθρο 13 του ΓΚΠΔ (πληροφορίες που πρέπει να παρέχονται)
https://gdpr-info.eu/art-13-gdpr/ -
Άρθρο 28 του ΓΚΠΔ (εκτελούντες την επεξεργασία)
https://gdpr-info.eu/art-28-gdpr/ -
Άρθρο 30 του ΓΚΠΔ (αρχεία δραστηριοτήτων επεξεργασίας)
https://gdpr-info.eu/art-30-gdpr/ -
Άρθρο 35 του ΓΚΠΔ (Εκτίμηση επιπτώσεων στην προστασία των δεδομένων)
https://gdpr-info.eu/art-35-gdpr/ -
Οδηγία NIS2 (Άρθρα 20–21)
EUR-Lex — Οδηγία (ΕΕ) 2022/2555 (NIS2) -
AutoPhish — Επισκόπηση ανωνυμοποίησης (έλεγχοι από την πλευρά του προϊόντος)
https://autophish.io/anonymization