In contextul creat de pandemia de COVD-19, dar nu numai, sunt situatii in care angajatorii nu pot pune la dispozitia salariatilor echipamente pentru continuarea desfasurarii activitatii de acasa, insa le permit acestora sa foloseasca propriile dispozitive - computer, tableta, telefon mobil personal - in scop profesional. Care sunt riscurile pentru angajatori, dar si pentru angajati, in privinta protectiei datelor cu caracter personal?
Prin intermediul unei politici privind utilizarea propriilor dispozitive (politica de tip BYOD - Bring Your Own Device), angajatorii pot explica angajatilor in ce conditii acestia isi pot utiliza echipamentele personale pentru desfasurarea activitatii profesionale si ce masuri trebuie sa ia pentru securitatea datelor procesate astfel.
Masurile de siguranta care se impun
Practic, este vorba despre asigurarea protectiei pentru doua categorii de date: datele personale ale angajatilor care isi partajeaza echipamentul pentru efectuarea activitatii de serviciu si datele confidentiale ale companiei care sunt acum transferate intre reteaua companiei si echipamentele personale ale angajatilor.
Pentru asigurarea protectiei datelor (atat a celor care sunt salvate pe echipamentele angajatilor, cat si a celor care apartin companiei, dar sunt accesate la distanta prin intermediul acestor echipamente), este important sa fie implementate anumite masuri de siguranta. Acestea trebuie sa se alinieze la masurile de securitate pe care compania le aplica in cursul normal de desfasurare a activitatii si variaza de la implementarea unei solutii antivirus, la obligativitatea parolelor complexe in vederea obtinerii accesului la informatie, la efectuarea actualizarilor de securitate ale sistemelor de operare, la instalarea de programe tip firewall, la criptarea echipamentelor etc.
In aceste conditii este important sa se stabileasca un echilibru intre masurile de securitate solicitate si aplicate de catre companie pe echipamentele angajatilor si nevoia acestora din urma de a pastra datele personale intr-o zona privata - fara a exista un risc de expunere a acestora.
Cum stabilim echilibrul intre personal si profesional?
Avand in vedere ca dispozitivele personale contin, in mod evident, informatii privind viata privata a angajatilor, trasarea „granitei” intre personal si profesional poate fi mai dificila decat in situatia utilizarii echipamentelor companiei, iar implementarea masurilor de securitate trebuie sa fie proportionala cu nevoia companiei de a asigura protectia datelor. Cu cat solutiile avute in vedere pentru asigurarea unor standarde inalte de securitate sunt mai sofisticate (precum monitorizarea activitatii angajatilor, implementarea unor solutii de tip Data Loss Prevention sau Mobile Device Management), cu atat este mai importanta respectarea cerintelor legale aplicabile in materia protectiei datelor.
Astfel, inainte de implementarea unor solutii de acest gen, compania trebuie sa ia in calcul mai multe aspecte. In primul rand, este recomandata limitarea categoriilor de date cu caracter personal ale angajatilor prelucrate prin intermediul acestor solutii doar la cele necesare atingerii scopurilor si intereselor legitime de asigurare a securitatii datelor. In al doilea rand, este necesara o analiza de evaluare a impactului pe care decizia de a permite angajatului sa lucreze pe dispozitivul personal o va avea asupra protectiei datelor. Nu in ultimul rand, este indicata efectuarea in mod corespunzator a testului de balanta pentru interesul legitim (avand in vedere ca, in urma analizei fiecarei situatii specifice, cel mai probabil interesul legitim va fi temeiul legal in baza caruia pot fi prelucrate datele cu caracter personal ale angajatilor stocate prin intermediul propriilor dispozitive).
Nerespectarea obligatiilor privind asigurarea securitatii datelor cu caracter personal sau privind respectarea drepturilor si libertatilor persoanelor vizate (angajatii in acest caz) poate expune compania la sanctiuni severe, de pana la 4% din cifra de afaceri. Mai este de precizat faptul ca o parte semnificativa din sanctiunile aplicate de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor in ultimele 12 luni (printre care si cea mai mare sanctiune aplicata pana acum in Romania) au fost impuse ca urmare a unor brese de securitate. In acest context, devine esentiala asigurarea unui raport corect intre securitatea datelor si protectia vietii private.
Avantajele muncii la distanta sunt de necontestat in noul context creat de pandemia de COVID-19, insa clarificarea tuturor aspectelor legale care tin de acest domeniu este esentiala, avand in vedere provocarile cu care se confrunta deja intreg mediul de business.
Material de opinie de Silvia Axinescu (foto), Senior Managing Associate la Reff & Asociatii, si Iulia Antonie, Senior Manager, Managementul Riscului, Deloitte Romania