Ghid de privacy în contextul COVID-19 – scurt checklist
9 minute • Andreea Vlădăreanu • 19 iunie 2020
A devenit situația excepțională de acum câteva luni actualul normal? Fără a intra într-o dezbatere cu privire la asta, întrucât nu există un răspuns corect sau greșit, faptul că a trebuit să ne adaptăm (și că în continuare trebuie să ne adaptăm) stilul de viață contextului actual este o certitudine.
Chiar dacă că angajații tăi lucrează în continuare de acasă sau nu și indiferent de cât de încrezător ești în actuala politică de privacy pe care o aplici, ar fi indicat să arunci o privire peste acest ghid, pentru a fi sigur că nu ți-a scăpat nimic din vedere.
1. Securitatea datelor când lucrezi de acasă
Le-ai amintit angajaților tăi cât este de important să își mențină datele protejate chiar și atunci când lucrează de acasă și, mai ales, că este absolut necesar să raporteze orice încălcare a securității datelor imediat? Este indicat în această perioadă să revizuiești procedura pe care o aplici atunci când are loc o asemenea încălcare și să o adaptezi contextului actual. Cu atât mai mult, dacă nu ai o asemenea procedură, ar trebui să adopți una cât mai repede.
Pe măsură numărul angajaților ce lucrează de acasă crește, riscul unui atac asupra datelor crește și el. Angajații își adaptează modul de lucru condițiilor actuale, așa că mediul de lucru este și el unul mult mai informal, cu atât mai mult cu cât pot fi ușor distrași de membri ai familiei, de TV sau de social media. Asta poate duce la mailuri trimise ce conțin documentele greșite sau la membri ai familiei ce au acces la documente confidențiale. Mai mult, a fost raportată o creștere în rândul atacurilor cibernetice, cele mai frecvente fiind cele de tipul „phishing” (faimoasele mailuri în care ți se cer datele contului bancar sau în care ți se spune că ai primit un colet pe care, de altfel, nici nu l-ai comandat) sau cele în care se preia complet controlul asupra sistemului.
2. Noi medii de lucru
Verifică dacă măsurile de securitate sunt în continuare corespunzătoare ca urmare a oricăror schimbări ale mediului de lucru și amintește angajaților cât de importantă este confidențialitatea. Noile schimbări în mediul de lucru și în modul cum angajații folosesc tehnologia pe care o au la dispoziție au ca efect și schimbarea metodelor prin care datele pot fi „capturate”, spre exemplu pot avea loc înregistrări video fără consimțământul persoanei, conversațiile pot fi ascultate, ecranele dispozitivelor pot fi vizualizate sau chiar conferințele de lucru pot fi urmărite de către hackeri. Evident, toate aceste exemple duc la o scurgere de informații confidențiale în afara mediului companiei.
Angajații trebuie să conștientizeze faptul că este absolut necesară menținerea confidențialității datelor și trebuie să se conformeze normelor de securitate în noul lor mediu de lucru. Astfel, ei trebuie încurajați să își actualizeze parolele, să utilizeze distrugătoare de documente și să rețină o copie fizică a documentelor într-un loc sigur.
3. Utilizarea dispozitivelor personale
Flexibilitatea ce o oferă utilizarea dispozitivelor personale trebuie să fie compensată cu și mai multă grijă din partea utilizatorilor. Ce măsuri de securitate sunt necesare? S-a propus ca angajații să oprească dispozitive precum Alexa de la Amazon sau Google Home în timp ce discută informații confidențiale sau care interesează strict compania în care lucrează, din cauza abilității dispozitivelor de a înregistra persoanele în orice moment, chiar fără cunoștința lor.
4. Raportarea stării de sănătate
Nu există obligații legale speciale ale angajatorilor cu privire la raportarea cazurilor de COVID-19, dar, ca întotdeauna, trebuie să existe un echilibru între dreptul la informație publică și dreptul la viață privată și, mai ales, la protejarea individului prin colectarea datelor care sunt de strictă necesitate. Cel mai indicat este ca raportarea acestor informații să aibă loc într-un cadru organizat oficial prin departamentul de HR. De asemenea, dacă există anumite asigurări speciale oferite de companie,ele ar trebui actualizate astfel încât să cuprindă măsurile de izolare.
5. Controalele medicale și monitorizarea stării de sănătate
Companiile trebuie să dea dovadă de multă grijă atunci când colectează, folosesc sau distribuie date cu privire la COVID-19 în cadrul afacerii. O combinație între informațiile oficiale, emise de către angajator și informațiile obținute prin alte mijloace poate poate avea ca rezultat violarea vieții intime a persoanei, întrucât starea sa de sănătate ar ajunge să fie expusă persoanelor neautorizate.
La nivel european, autoritățile au fost împărțite cu privire la modul de colectare și de prelucrare a datelor referitoare la COVID-19. Autoritățile din Franța și din Danemarca au impus colectarea minimă a datelor. La nivel global, monitorizarea datelor privind starea de sănătate a persoanelor a creat situații discriminatorii, astfel încât angajatorii trebuie să aibă cu atât mai multă grijă atunci când folosesc echipamentele.
În ceea ce privește măsurarea temperaturii, încă există discuții cu privire la eficacitatea acestei metode în a depista dacă o persoană este sau nu purtătoare a virusului. În situația în care alegi să desfășori controale medicale în cadrul companiei tale, trebuie să ai în vedere îndatorirea de a te îngriji de persoanele angajate să desfășoare aceste controale, precum și măsurile de siguranță necesare, pe lângă instruirea acelor persoane.
6. Monitorizarea angajaților
Monitorizarea angajaților în timp ce aceștia lucrează de acasă este o problemă ce trebuie considerată cu multă atenție. Adresele IP de acasă ale angajaților sunt considerate date personale, așa că este dificilă monitorizarea acestora într-o manieră anonimă. Trebuie să cercetezi amănunțit problema protecției datelor personale pentru a vedea care sunt riscurile atunci când îți monitorizezi angajații.
7. Utilizarea datelor de contact personale ale angajatului
Este posibil ca, în această perioadă, să fii nevoit să folosești datele de contact personale ale angajaților (precum numerele de telefon personale) mult mai frecvent decât până acum pentru ca, spre exemplu, să îi informezi pe aceștia cu privire la diferite obligații de muncă. Întâi, trebuie să verifici dacă ai o bază legală în temeiul articolului 6 al GDPR pentru a prelucra aceste date. Apoi, ar fi indicat să notifici persoanele vizate de folosirea acestor date, întrucât asta poate conferi posibilitatea de a utiliza datele de contact personale ale angajaților.
8. Avize de confidențialitate
În această perioadă vei colecta, probabil, date medicale ale angajaților sau ale vizitatorilor în plus față de cele pe care le colectezi în baza avizelor de confidențialitate actuale, având în vedere activitățile de combatere a pandemiei. Probabil folosești și platforme precum ZOOM, Microsoft Teams sau Google Meet, platforme ce nu sunt incluse nici ele în avizul de confidențialitate. Companiile ar trebui să aibă în vedere emiterea unui aviz de confidențialitate specific legat de colectarea datelor în contextul pandemiei actuale sau ar trebui să își actualizeze avizele curente. Trebuie să ai în vedere și modul cum vei comunica aceste avize și cât timp plănuiești să păstrezi datele astfel colectate.
9. Actualizarea înregistrărilor de date
GDPR instituie obligația de a ține o evidență a activități de prelucrare a datelor. Art trebui să verifici aceste înregistrări pentru a vedea dacă ele acoperă și pandemia de COVID-19 sau nu, iar dacă nu, să le actualizezi în consecință, stabilind și care va fi perioada de stocare a acestor date.
Ar trebui să ai în vedere și efectuarea unei DPIA, în special pentru că are în vedere angajații și o categorie specială de date. Asta îți va da posibilitatea să evaluezi riscurile privind conformitatea sau orice alte riscuri cu privire la drepturile individuale ale angajaților tăi, totul pentru a le minimiza. Pentru marile companii, o DPIA este obligatorie, dar chiar dacă nu este obligatorie, tot este o idee bună să realizezi una.
10. Relația cu clienții
Este de înțeles ca afacerile să dorească menținerea unei legături cu clienții lor în această perioadă. Totuși, pentru a evita orice potențiale plângeri, ar trebui să ai grijă atunci când trimiți informații de marketing alături de informațiile legate de COVID-19 în comunicările pe care le adresezi clienților.
Marketingul este reglementat strict în multe legislații, așa că este vital să faci o distincție clară între informațiile de tip tranzacțional și cele de tip promoțional. Este rezonabil să comunici tuturor clienților faptul că sediul companiei tale s-a închis momentan sau că are ore limitate de acces, dar când acea formă de comunicare (mail, telefon) este însoțită de reclame sau de oferte promoționale, asta s-ar putea să nu fie conform așteptărilor pe care clientul le are de la afacerea respectivă, iar menținerea încrederii cumpărătorilor este esențială în aceste momente.
11. Transmiterea datelor personale
Ca efect al pandemiei, acum probabil că ești nevoit să partajezi datele personale cu alți prestatori de servicii decât cei cu care lucrai în mod normal sau să distribui alte categorii de date personale cu aceiași prestatori de servicii. Trebuie în continuare să acorzi aceeași atenție distribuirii de asemenea date înainte să le distribui propriu-zis și trebuie să te asiguri că este asigurată securitatea acestor date. În situația în care cocontractanții tăi prelucrează date personale în numele tău, trebuie să te asiguri în continuare că sunt luate măsurile necesare pentru respectarea GDPR-ului.
Apropo de asta, să nu uităm și de discuția cu prelucrarea datelor personale în contextul ținerii registrului de evidență pentru rezervările de la terase. ANSPDCP a declarat că acest registru nu este tocmai în regulă. Mai mult, unele companii au folosit acele date și pentru trimiterea de newslettere, mesaje comerciale etc., ceea ce nu aveau voie de la bun început, fiind un registru care putea fi folosit exclusiv pentru trasabilitatea contacților în caz de infectare cu COVID-19.
E indicat să ai în vedere posibilitatea ca unele dintre datele personale să fie distribuite entităților din afara Spațiului Economic European și dacă sunt necesare măsuri de securitate adiționale pentru a transmite legal asemenea date.