GDPR - un fel de „nu-mă-uita” în vremea Coronavirusului

Adoriana Terescu, Attorney Associate

În contextul actual asistăm la o sufocare la propriu a mediului de afaceri. Antreprenorii au fost luați cu asalt de diferite măsuri noi, unele obligatorii, altele recomandabile, dar toate venite ca un tăvălug informațional greu de procesat.  În această avalanșă de măsuri, tendința naturală este de a le lua pe rând, în ordinea priorităților și de a ignora sau neglija alte obligații. Dacă până de curând cuvântul de ordine în mediul de afaceri era GDPR și nu Coronavirus, iată că acum ne aflăm în situația inconfortabilă de a trebui să le gestionăm în aceeași măsură.

Obligația de a lua în continuare măsuri pentru a respecta GDPR-ul, acum mai mult ca niciodată, nu trebuie văzut ca o obligație respectată de teama amenzii, ci pentru a ne proteja businessul și așa vlăguit de situația excepțională în care ne aflăm.

Cu toate acestea, ANSPDCP e și mai vigilentă având în vedere condițiile actuale. Astfel că în data de 25.03.2020, aceasta autoritate a dat publicității nu mai puțin de patru amenzi. Prin urmare, focusul companiilor trebuie sa fie în continuare prevenția.

Având în vedere că una din măsurile luate de marea majoritate a antreprenorilor, acolo unde tipul activității a permis, a fost să acorde angajatului posibilitatea de a lucra de acasă, adică de la altă locație decât sediul firmei (numită și telemunca), este imperativ să nu neglijați cerințele protejării în continuare a datelor cu caracter personal care în noua configurație sunt mai expuse, decât în condiții normale de muncă. Să nu uităm că angajatorii au avut un an de zile să implementeze măsuri de protecție a datelor personale specifice naturii afacerii și modului de lucru. În condițiile actuale, circumstanțele s-au schimbat peste noapte și nicio companie nu a avut timpul necesar să gândească și să implementeze o noua strategie GDPR complexă. Totuși sunt anumiți pași minimi pe care orice afacere poate să îi facă pentru a avea o minimă acoperire legală din punct de vedere al protecției datelor personale.

Cum respectăm GDPR-ului când lucrăm de acasă/de la distanță?

Responsabilitățile angajatorului

  1. Implementarea unei politici privind telemunca, prin care se stabilesc măsurile tehnice și organizatorice luate de companie pentru a respecta cerințele GDPR în acest context;
  2. Încheierea cu angajatul a unui act adițional la contractul de muncă care să prevadă pe lângă obligațiile prevăzute de lege în cazul telemuncii și clauza de confidențialitate și cele cu privire la prelucrarea și protecția datelor cu caracter personal în exercitarea activității;
  3. Comunicarea/punerea la dispoziție către angajați a unei  note de informare prin care li se aduc la cunoștință obligațiile din punct de vedere GDPR și politica companiei indicată la punctul 1 precum și alte reglementări incidente contextului de muncă;
  4. Acordarea angajatului suportul logistic cât mai complet posibil (laptop și telefon de serviciu) precum și toate celelalte componente tehnice care să conțină măsurile de securitate tehnică și cibernetică implementate de companie;
  5. Respectarea politicii interne ”Bring your own device”, când angajații lucrează pe echipamente proprii. În lipsa ei, întocmirea uneia care să prevadă cel puțin următoarele: standardul de securitate al echipamentelor, o enumerare a categoriilor de site-urile pe care angajații nu trebuie să le acceseze atunci când sunt contactați la rețeaua angajatorului, procedura de raportare a unui incident de securitate și răspunderea angajatului în caz de nerespectarea politicii ori intervenirii unui incident de securitate;
  6. Toate echipamentele  să fie puternic criptate pentru a scădea riscul atacurilor cibernetice atunci când angajații se conectează de la rețele nesecurizate.

Responsabilitățile angajatului

  1. Angajații care lucrează de la distanță trebuie să respecte politicile companiei, inclusiv cele referitoare la securitatea echipamentelor. Dacă nivelul de securitate nu e atins/nu mai este atins, să raporteze conducerii;
  2. Să se asigure că nu se conectează la rețea de wireless publică; se va folosi, de exemplu, conexiune prin VPN, Citrix, sau Outlook Web Access (OWA);
  3. Se asigură securitatea fizică atât a documentelor pe care le manipulează acasă (în special cele ce conțin informații confidențiale precum datele cu caracter personal), cât și a componentelor tehnice; se asigură echipamentele de orice deteriorare, furt, pierdere;
  4. Documentele se salvează pe serverul companiei și nu pe desktop sau în fișiere proprii. Angajatorul poate limita salvarea documentelor în afara serverului.

După cum am văzut și după cum chiar istoria ne învață, prevenția este cel mai bun tratament, așadar să nu ne culcăm pe o ureche crezând că măsurile GDPR s-au relaxat deoarece, în momente de criză, apar oportuniștii, iar una dintre realele amenințări astăzi, pe lângă altele, sunt atacurile cibernetice care se intensifică în această perioadă.

În astfel de momente, antreprenorul va trebui să facă o analiză serioasă a businessului, să iasă din zona de confort, să își ia toate măsurile de prevenție, să apeleze la profesioniști când nu știe încotro să o apuce și cu siguranță afacerea va răzbi acestei provocări, cu daune minime.