Nu poți colecta date personale prin intermediul telefonului mobil al unui angajat și să le transmiți prin Whatsapp
4 minute • Ana-Maria Udriste • 08 mai 2020
La începutul lunii, în plină pandemie COVID-19, povesteam despre faptul că polițiștii te opreau și îți făceau poze cu telefonul la declarație pe proprie răspundere și la buletin. O săptămână mai târziu, această practică a fost stopată ca urmare a unei circulare din partea departamentului de protecție a datelor personale din cadrul M.A.I., prin care se preciza că acest lucru nu este în conformitate cu GDPR.
A venit rândul Băncii Comerciale Române (BCR) să fie amendată de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) pentru că a colectat copiile de pe buletine ale clienților prin intermediul telefonului personal al unei angajate.
Amenda a fost în cuantum de 5.000 euro.
Ce s-a întâmplat?
Simplu: ca în majoritatea companiilor, persoana angajată folosea telefonul personale pentru a face copii de pe cărțile de identitate ale persoanelor fizice și le trimitea mai departe pe Whatsapp către colegii care se ocupau de prelucrarea lor pentru diverse operațiuni bancare.
Astfel, BCR nu a implementat măsuri organizatorice și de securitate eficiente pentru datele pe care le colectează și le prelucrează.
Anul trecut, Raiffeisen Bank a fost sancționată cu 150.000 euro pentru că unii din angajații săi făceau interogări în Biroul de Credit pentru angajații altei firmei, Vreau Credit SRL, iar datele respective erau trimise prin Whatsapp.
Hai să înțelegem de ce NU e bine?
Veți spune că Whatsapp este o aplicație sigură, criptată end to end. De acord.
Problemele apar în momentul în care:
- telefonul este dispozitivul personal al angajatului și nu există o politică de tip BYOD (bring your own device) la nivelul companiei și nici un sistem MDM (mobile device management) astfel că nu ai niciun control ca organizație asupra datelor respective
- telefonul poate fi accesat de oricine, oricând și datele pot fi transmise mai departe (copii care ajung din greșeală la fișierele respective, de exemplu)
- este, de exemplu, activată în mod automat funcția de back-up în Google Photos de la Whatsapp astfel că copiile de pe actele de identitate ale clienților ajung în cloud-ul personal al persoanei respective și apoi prin alte calculatoare unde este instalată o conexiune de sincronizare
- telefonul este pierdut sau furat și se accesează datele respective de cine știe ce alte persoane
Ce ar trebui să facă o companie în cazul ăsta?
Poate că nu ai cum să implementezi sistemele peste sisteme care să asigure o rețea la nivel de Amazon, mai ales dacă ești o companie mică.
Ce poți face în schimb:
- oferă-i angajatului respectiv un telefon pe care să îl folosească special pentru acest scop, aka un telefon de muncă
- sau o tabletă, scanner portabil micuț cu conexiune wi-fi; nu trebuie să fie ceva extraordinar, ci să aibă o cameră decentă
- dacă vrei să folosească telefonul lui, deși este foarte complicat, pune la punct o politică de BYOD și instalează pe telefon un MDM
- folosește la nivel de organizație o suită special creată pentru asta: soluțiile nu sunt așa scumpe – vezi Google Suite sau Microsoft pentru asta
- stabilește protocoale clare de stocare și ștergere a datelor respective
- pentru a comunica între departamente, folosește aplicații dedicate precum Microsoft Teams sau Slack
- implementează protocoale și proceduri clare de securitate
- să instruiești angajații despre obligațiile pe care le au când prelucrează date și să le explici de ce e bine să urmeze niște protocoale
GDPR este încă la început. Dacă ne uităm la cazurile care au făcut obiectul sancțiunilor de până acum, vom observa că multe din ele ridică probleme care s-ar putea rezolva destul de rapid, fără prea multă bătaie de cap, doar cu un minim de efort.
—
La avocatoo.ro explicăm GDPR pe înțelesul tău și te ajutăm cu implementarea pe specificul afacerii tale, pentru că businessul tău e diferit și tu îl știi cel mai bine. Beneficiezi de cursuri și exemple reale pentru tine, angajați și cei din conducerea companiei. Scrie-ne și hai să stăm de vorbă.
