Conformarea GDPR la nivelul angajatorilor pe durata stării de urgența și a pandemiei de Coronavirus

Având în vedere, pe de o parte, pandemia de Coronavirus SAR-CoV-2 și pe de altă parte, măsurile luate de către autoritățile române, măsuri care au dus la limitarea drepturilor cetățenilor de a se deplasa, mulți angajatori și-au reorganizat activitatea în așa fel încât angajații sa își poată îndeplini atribuțiile de acasă.

Această schimbare forțată a modului de lucru a devenit necesară într-un timp foarte scurt, ea fiind unica soluție rămasă pentru continuarea activității. În noile condiții de lucru, societățile trebuie sa ia toate măsurile necesare pentru a putea asigura protejarea datelor cu caracter personal, atât ale angajaților, cât și ale clienților și ale colaboratorilor.

Aceste măsuri constau într-un set de reguli, de acțiuni și uneori chiar în unele învestiții în programe de comunicare la distanță, licențiate.

 

1. Politici

În măsura în care, la nivelul societății există politici clare în materia protecției datelor și asigurării confidențialității, nu se impun modificări majore.

Dacă nu există aceste documente, cu siguranța acum este momentul să fie făcute, deoarece starea de urgența nu exonerează operatorii de la respectarea Regulamentului privind prelucrarea datelor cu caracter personal.

În condițiile în care angajații își duc la domiciliul dispozitive de lucru (laptopuri, calculatoare, tablete, etc.), documente care conțin date cu caracter personal, pe suport fizic sau stocate sub diverse forme, este de recomandat sa le fie stabilite obligații noi sau, cel puțin reamintite cele vechi, astfel încât aceștia să se asigure că datele ce trebuie protejate nu ajung la cunoștința unor terți, ca urmare a unei breșe de securitate.

Angajatorii care nu au reglementată prin măsuri interne posibilitatea accesării bazei de date de la distanță, trebuie să implementeze măsuri noi, temporare, specifice noului mod de lucru de acasă.

2. Accesul de la distanța la baza de date

În condițiile în care accesul la sistem/baza de date se face de la distanța, respectiv de la domiciliul angajatului, este necesar ca fiecare angajat să utilizeze un program licențiat, securizat, accesul făcându-se utilizând un user și o parola unice.

Totodată, este recomandat ca aceasta parola să se schimbe la anumite intervale de timp- 10-15 zile și să se introducă reautentificarea după o anumita perioada de inactivitate.

3. Comunicarea cu colegii și cu clienții

Cu siguranța, în această perioada comunicarea cu colegii și cu clienții sau colaboratorii este necesară pentru realizarea proiectelor, iar aceasta nu se poate face decât prin mijloace moderne de comunicare la distanța. În funcție de numărul participanților la o astfel de întâlnire, precum și de gradul de securitate pe care dorește sa îl asigure angajatorul, în prezent există mai multe aplicații, unele fiind chiar gratuite.

Desigur, trebuie să se țină cont de faptul că, de regulă, variantele gratuite ale aplicațiilor sunt mai puțin sigure din perspectiva confidențialității și protecției datelor cu caracter personal. Tocmai de aceea, achiziționarea unei licențe pentru aceste aplicații este recomandată.

Investiția într-o licență apare astfel ca o necesitate.

 

4. O mai intensă monitorizare a securității – de către echipa de IT.

Rolul departamentului IT este esențial în această perioadă, deoarece accesul fiecărui angajat la baza de date se face din alt loc, de la distanță. Dacă înainte, acesta avea obligația de a asigura securitatea rețelei create la sediul angajatorului, în prezent monitorizarea este cu mult mai complexă.

Totodată, acest departament va trebui să facă recomandări și să decidă, împreuna cu DPO-ul, dacă există, precum și cu conducerea societății, care sunt cele mai bune aplicații pentru întâlnirile și discuțiile on line cu colegii și cu clienții.

În mod corespunzător măsurilor de securitate implementate de angajator împreună cu echipa IT, și angajații trebuie să trateze securitatea propriilor dispozitive cu mai multă seriozitate.

Astfel, aceștia trebuie să se asigure că nu sunt alte persoane din jur – cu care locuiesc împreună – care au acces, intenționat sau accidental, la dispozitivul de lucru, la documentele folosite acasă sau la baza de date accesată de la distanță. Securizarea se poate face utilizând parole de acces sau dulapuri încuiate pentru depozitarea documentelor.

5. Verificări periodice

Este tot în sarcina angajatorului împreună cu echipa de IT să verifice periodic dacă angajații respectă politicile și măsurile implementate privind accesul la baza de date de la distanță.

Verificările trebuie să privească în primul rând baza de date, respectiv securitatea acesteia și dacă accesul la baza de date se face în mod autorizat sau nu. Orice semn ale unei posibile accesări neconforme sau al unei breșe de securitate trebuie verificat.

Pot fi însă verificate, prin aplicații de acces la distanță, și dispozitivele angajaților cu ajutorul cărora se accesează baza de date, precum și care este nivelul de securitate acoperit de aceste dispozitive. Acest lucru poate fi realizat având în vedere că angajații pot folosi și dispozitive personale pentru a asigura prestarea muncii de acasă.

Cu toate acestea, orice verificare trebuie să se limiteze strict la activitatea și documentele utilizate în scopul îndeplinirii atribuțiilor de serviciu, nu și cele personale..

6. Informarea constantă a angajaților cu privire la măsurile luate

Fie DPO-ul, dacă există, fie reprezentantul Departamentului HR ar trebui ca, în această perioadă, să îi informeze pe angajați cu privire la măsurile luate pentru a se asigura protejarea datelor cu caracter personal, dar să le și amintească faptul că, în această perioadă, respectarea politicilor în materia prelucrării datelor cu caracter personal este și mai importantă.


Publicat la:
Avocat Cluj-Napoca Diana Flavia Barbur
Autor
Avocat: Diana Flavia Barbur
Email: flavia.barbur@budusan.com
Cluj-Napoca: Budușan & Asociații