Telemunca (WFH) fara echipament de serviciu. Riscurile GDPR

Pandemia a dus la instaurarea starii de urgenta si cea a starii de alerta, cand mai multi angajati au fost fortati sa isi schimbe stilul de a lucra. Pentru unii telemunca a fost un vis devenit realitate, in timp ce pentru altii a fost un cosmar. Simultan, economia tarii a pierdut sute de mii de locuri de munca, chiar daca statul a oferit varianta somajului tehnic. Noi ne vom apleca asupra implicatiilor GDPR pentru angajatii care lucreaza de acasa si folosesc terminale proprii (PC, telefon, laptop, tableta, conexiune internet fara VPN s.a.).

In primul rand, angajatii care au lucrat de la domiciliu prin intermediul unui protocol de telemunca sau WFH trebuie sa fi primit in prealabil informatii complete de la angajator cu privire la ceea ce au de facut si cum au de tratat schimbarea cu privire la locul in care isi desfasoara activitatea in baza unui CIM. Pe langa detaliile referitoare la activitatea propriu-zisa, angajatorii ar fi trebuit sa le explice lucratorilor si cum se va aplica politica privind utilizare propriilor terminale de acasa.

Practic, este vorba despre asigurarea protectiei pentru doua categorii de date:

• datele personale ale angajatilor care isi partajeaza echipamentul pentru efectuarea activitatii de serviciu;
• datele confidentiale ale companiei care sunt acum transferate intre reteaua companiei si echipamentele personale ale angajatilor.

Pentru asigurarea protectiei datelor (atat a celor care sunt salvate pe echipamentele angajatilor, cat si a celor care apartin companiei, dar sunt accesate la distanta prin intermediul acestor echipamente), este important sa fie implementate anumite masuri de siguranta. Acestea trebuie sa se alinieze la masurile de securitate pe care compania le aplica in cursul normal de desfasurare a activitatii si variaza de la implementarea unei solutii antivirus, la obligativitatea parolelor complexe in vederea obtinerii accesului la informatie, la efectuarea actualizarilor de securitate ale sistemelor de operare, la instalarea de programe tip firewall, la criptarea echipamentelor etc.
In aceste conditii este important sa se stabileasca un echilibru intre masurile de securitate solicitate si aplicate de catre companie pe echipamentele angajatilor si nevoia acestora din urma de a pastra datele personale intr-o zona privata - fara a exista un risc de expunere a acestora.

GDPR, munca si informatiile personale in procesul de telemunca

Avand in vedere ca dispozitivele personale contin, in mod evident, informatii privind viata privata a angajatilor, trasarea granitei intre personal si profesional poate fi mai dificila decat in situatia utilizarii echipamentelor companiei, iar implementarea masurilor de securitate trebuie sa fie proportionala cu nevoia companiei de a asigura protectia datelor. Cu cat solutiile avute in vedere pentru asigurarea unor standarde inalte de securitate sunt mai sofisticate (precum monitorizarea activitatii angajatilor, implementarea unor solutii de tip Data Loss Prevention sau Mobile Device Management), cu atat este mai importanta respectarea cerintelor legale aplicabile in materia protectiei datelor.

Astfel, inainte de implementarea unor solutii de acest gen, compania trebuie sa ia in calcul mai multe aspecte. In primul rand, este recomandata limitarea categoriilor de date cu caracter personal ale angajatilor prelucrate prin intermediul acestor solutii doar la cele necesare atingerii scopurilor si intereselor legitime de asigurare a securitatii datelor. In al doilea rand, este necesara o analiza de evaluare a impactului pe care decizia de a permite angajatului sa lucreze pe dispozitivul personal o va avea asupra protectiei datelor. Nu in ultimul rand, este indicata efectuarea in mod corespunzator a testului de balanta pentru interesul legitim (avand in vedere ca, in urma analizei fiecarei situatii specifice, cel mai probabil interesul legitim va fi temeiul legal in baza caruia pot fi prelucrate datele cu caracter personal ale angajatilor stocate prin intermediul propriilor dispozitive).

Nerespectarea obligatiilor privind asigurarea securitatii datelor cu caracter personal sau privind respectarea drepturilor si libertatilor persoanelor vizate (angajatii in acest caz) poate expune compania la sanctiuni severe, de pana la 4% din cifra de afaceri. Mai este de precizat faptul ca o parte semnificativa din sanctiunile aplicate de Autoritatea Nationala de Supraveghere a Prelucrarii Datelor in ultimele 12 luni (printre care si cea mai mare sanctiune aplicata pana acum in Romania) au fost impuse ca urmare a unor brese de securitate. In acest context, devine esentiala asigurarea unui raport corect intre securitatea datelor si protectia vietii private.