RISCURI. Munca de acasă fără laptop de serviciu. Pericolele la care sunt expuși angajații și angajatorii în privința protecției datelor cu caracter personal
Pentru protecția eficientă a datelor, atât a celor care sunt salvate pe echipamentele angajaților, cât și a celor care aparțin angajatorului, dar care sunt accesate la distanță prin intermediul propriilor dispozitive (politică de tip BYOD – Bring Your Own Device), este imperios necesară implementarea anumitor măsuri de siguranță, susțin două experte în domeniul juridic și al managementului riscului.
Potrivit unui material de opinie realizat de Silvia Axinescu, Senior Managing Associate la Reff & Asociații, și de Iulia Antonie, Senior Manager, Managementul Riscului, Deloitte România, este important însă ca în acest demers să se stabilească un echilibru între măsurile de securitate solicitate și aplicate de către companie pe echipamentele angajaților și nevoia acestora din urmă de a păstra datele personale într-o zona privată, fără a exista un risc de expunere a lor.
„Practic, este vorba despre asigurarea protecției pentru două categorii de date: datele personale ale angajaților care își partajează echipamentul pentru efectuarea activității de serviciu și datele confidențiale ale companiei care sunt acum transferate între rețeaua companiei și echipamentele personale ale angajaților”, scriu Axinescu și Antonie în materialul comun.
Potrivit precizărilor reprezentantelor Reff&Asociații și Deloitte România, dispozitivele tip BYOD trebuie să se alinieze la măsurile de securitate pe care compania le aplică în cursul normal de desfășurare a activității.
Concret, măsurile de securitate variază de la implementarea unei soluții antivirus, la obligativitatea parolelor complexe în vederea obținerii accesului la informație, la efectuarea actualizărilor de securitate ale sistemelor de operare, la instalarea de programe tip firewall, la criptarea echipamentelor etc.
Cum stabilim echilibrul între personal și profesional? Amenzile pentru angajatori, uriașe!
În materialul de opinie comun, cele două specialiste au mai făcut referire la faptul că dispozitivele personale (încadrate în politica BYOD) conțin informații privind viața privată a angajaților.
Astfel, susțin semnatarele materialului, „trasarea «graniței» între personal și profesional poate fi mai dificilă decât în situația utilizării echipamentelor companiei, iar implementarea măsurilor de securitate trebuie să fie proporțională cu nevoia companiei de a asigura protecția datelor.
„Cu cât soluțiile avute în vedere pentru asigurarea unor standarde înalte de securitate sunt mai sofisticate (precum monitorizarea activității angajaților, implementarea unor soluții de tip Data Loss Prevention sau Mobile Device Management), cu atât este mai importantă respectarea cerințelor legale aplicabile în materia protecției datelor”, au mai scris Axinescu și Antonie.
Astfel, precizează cele două, înainte de implementarea unor soluții de acest gen, compania trebuie să ia în calcul mai multe aspecte.
„În primul rând, este recomandată limitarea categoriilor de date cu caracter personal ale angajaților prelucrate prin intermediul acestor soluții doar la cele necesare atingerii scopurilor și intereselor legitime de asigurare a securității datelor”.
„În al doilea rând, este necesară o analiză de evaluare a impactului pe care decizia de a permite angajatului să lucreze pe dispozitivul personal o va avea asupra protecției datelor.
„Nu în ultimul rând, este indicată efectuarea în mod corespunzător a testului de balanță pentru interesul legitim (având în vedere că, în urma analizei fiecărei situații specifice, cel mai probabil interesul legitim va fi temeiul legal în baza căruia pot fi prelucrate datele cu caracter personal ale angajaților stocate prin intermediul propriilor dispozitive)”, au spus reprezentantele celor două companii în articolul lor de opinie.
Nerespectarea obligațiilor privind asigurarea securității datelor cu caracter personal sau privind respectarea drepturilor și libertăților persoanelor vizate (angajații în acest caz) poate expune compania la sancțiuni severe, de până la 4% din cifra de afaceri.
Semnatarele materialului au mai precizat faptul că o parte semnificativă din sancțiunile aplicate de Autoritatea Națională de Supraveghere a Prelucrării Datelor în ultimele 12 luni (printre care și cea mai mare sancțiune aplicată până acum în România) au fost impuse ca urmare a unor breșe de securitate.
„În acest context, devine esențială asigurarea unui raport corect între securitatea datelor și protecția vieții private”, au mărturisit cele două.
În fine, Axinescu și Antonie confirmă că avantajele muncii la distanță sunt de necontestat în noul context creat de pandemia de COVID-19, însă clarificarea tuturor aspectelor legale care țin de acest domeniu este esențială, având în vedere provocările cu care se confruntă deja întreg mediul de business.
Sursă foto: Shutterstock/caracter ilustrativ