Angajaţii pot folosi propriile dispozitive pentru îndeplinirea sarcinilor de serviciu, dar trebuie asigurată protecţia pentru două categorii de date: datele personale ale angajaţilor şi datele confidenţiale ale companiei, arată analiştii companiei de consultanţă şi audit Deloitte.

"În contextul creat de pandemia de COVD-19, dar nu numai, sunt situaţii în care angajatorii nu pot pune la dispoziţia salariaţilor echipamente pentru continuarea desfăşurării activităţii de acasă, însă le permit acestora să folosească propriile dispozitive - computer, tabletă, telefon mobil personal - în scop profesional. Care sunt riscurile pentru angajatori, dar şi pentru angajaţi, în privinţa protecţiei datelor cu caracter personal? Prin intermediul unei politici privind utilizarea propriilor dispozitive (politică de tip BYOD - Bring Your Own Device), angajatorii pot explica angajaţilor în ce condiţii aceştia îşi pot utiliza echipamentele personale pentru desfăşurarea activităţii profesionale şi ce măsuri trebuie să ia pentru securitatea datelor procesate astfel", susţin Silvia Axinescu, Senior Managing Associate la Reff & Asociaţii, şi Iulia Antonie, Senior Manager, Managementul Riscului, Deloitte România.

Potrivit sursei citate, este vorba despre asigurarea protecţiei pentru două categorii de date: datele personale ale angajaţilor care îşi partajează echipamentul pentru efectuarea activităţii de serviciu şi datele confidenţiale ale companiei care sunt acum transferate între reţeaua companiei şi echipamentele personale ale angajaţilor.

Conform opiniei specialiştilor, pentru asigurarea protecţiei datelor (atât a celor care sunt salvate pe echipamentele angajaţilor, cât şi a celor care aparţin companiei, dar sunt accesate la distanţă prin intermediul acestor echipamente), este important să fie implementate anumite măsuri de siguranţă. Acestea trebuie să se alinieze la măsurile de securitate pe care compania le aplică în cursul normal de desfăşurare a activităţii şi variază de la implementarea unei soluţii antivirus, la obligativitatea parolelor complexe în vederea obţinerii accesului la informaţie, la efectuarea actualizărilor de securitate ale sistemelor de operare, la instalarea de programe tip firewall, la criptarea echipamentelor etc.

În aceste condiţii este important să se stabilească un echilibru între măsurile de securitate solicitate şi aplicate de către companie pe echipamentele angajaţilor şi nevoia acestora din urmă de a păstra datele personale într-o zona privată - fără a exista un risc de expunere a acestora.

"Având în vedere că dispozitivele personale conţin, în mod evident, informaţii privind viaţa privată a angajaţilor, trasarea "graniţei" între personal şi profesional poate fi mai dificilă decât în situaţia utilizării echipamentelor companiei, iar implementarea măsurilor de securitate trebuie să fie proporţională cu nevoia companiei de a asigura protecţia datelor. Cu cât soluţiile avute în vedere pentru asigurarea unor standarde înalte de securitate sunt mai sofisticate (precum monitorizarea activităţii angajaţilor, implementarea unor soluţii de tip Data Loss Prevention sau Mobile Device Management), cu atât este mai importantă respectarea cerinţelor legale aplicabile în materia protecţiei datelor", sunt se părere autorii opiniei.

Astfel, înainte de implementarea unor soluţii de acest gen, compania trebuie să ia în calcul mai multe aspecte. În primul rând, este recomandată limitarea categoriilor de date cu caracter personal ale angajaţilor prelucrate prin intermediul acestor soluţii doar la cele necesare atingerii scopurilor şi intereselor legitime de asigurare a securităţii datelor. În al doilea rând, este necesară o analiză de evaluare a impactului pe care decizia de a permite angajatului să lucreze pe dispozitivul personal o va avea asupra protecţiei datelor. Nu în ultimul rând, este indicată efectuarea în mod corespunzător a testului de balanţă pentru interesul legitim (având în vedere că, în urma analizei fiecărei situaţii specifice, cel mai probabil interesul legitim va fi temeiul legal în baza căruia pot fi prelucrate datele cu caracter personal ale angajaţilor stocate prin intermediul propriilor dispozitive).

Ele arată că nerespectarea obligaţiilor privind asigurarea securităţii datelor cu caracter personal sau privind respectarea drepturilor şi libertăţilor persoanelor vizate (angajaţii în acest caz) poate expune compania la sancţiuni severe, de până la 4% din cifra de afaceri.

Totodată, este subliniat faptul că o parte semnificativă din sancţiunile aplicate de Autoritatea Naţională de Supraveghere a Prelucrării Datelor în ultimele 12 luni (printre care şi cea mai mare sancţiune aplicată până acum în România) au fost impuse ca urmare a unor breşe de securitate. În acest context, devine esenţială asigurarea unui raport corect între securitatea datelor şi protecţia vieţii private.

De asemenea, în analiză se menţionează că avantajele muncii la distanţă sunt de necontestat în noul context creat de pandemia de COVID-19, însă clarificarea tuturor aspectelor legale care ţin de acest domeniu este esenţială, având în vedere provocările cu care se confruntă deja întreg mediul de business. AGERPRES

Distribuie Distribuie Comentarii