În contextul creat de pandemia de COVD-19, dar nu numai, sunt situaţii în care angajatorii nu pot pune la dispoziţia salariaţilor echipamente pentru continuarea desfăşurării activităţii de acasă, însă le permit acestora să folosească propriile dispozitive - computer, tabletă, telefon mobil personal -în scop profesional, transmit Silvia Axinescu, Senior Managing Associate la Reff & Asociaţii, şi Iulia Antonie, Senior Manager, Managementul Riscului, Deloitte România, într-un material de opinie remis Redacţiei noastre .
Potrivit sursei citate, prin intermediul unei politici privind utilizarea propriilor dispozitive (politică de tip BYOD - Bring Your Own Device), angajatorii pot explica angajaţilor în ce condiţii aceştiaî şi pot utiliza echipamentele personale pentru desfăşurarea activităţii profesionale şi ce măsuritrebuie să ia pentru securitatea datelor procesate astfel.
"Practic, este vorba despre asigurarea protecţiei pentru două categorii de date: datele personale ale angajaţilor care îşi partajează echipamentul pentru efectuarea activităţii de serviciu şi datele confidenţiale ale companiei care sunt acum transferate între reţeaua companiei şi echipamentele personale ale angajaţilor. Pentru asigurarea protecţiei datelor (atât a celor care sunt salvate pe echipamentele angajaţilor, cât şi a celor care aparţin companiei, dar sunt accesate la distanţă prin intermediul acestor echipamente), este important să fie implementate anumite măsuri de siguranţă. Acestea trebuie să se alinieze la măsurile de securitate pe care compania le aplică în cursul normal de desfăşurare a activităţii şi variază de la implementarea unei soluţii antivirus, la obligativitatea parolelor complexe în vederea obţinerii accesului la informaţie, la efectuarea actualizărilor de securitate ale sistemelor de operare, la instalarea de programe tip firewall, la criptarea echipamentelor etc. În aceste condiţii este important să se stabilească un echilibru între măsurile de securitate solicitate şi aplicate de către companie pe echipamentele angajaţilor şi nevoia acestora din urmă de a păstra datele personale într-o zona privată - fără a exista un risc de expunere a acestora.", arată materialul remis.
Sursa citată menţionează că, având în vedere că dispozitivele personale conţin, în mod evident, informaţii privind viaţa privată a angajaţilor, trasarea "graniţei" între personal şi profesional poate fi mai dificilă decât în situaţia utilizării echipamentelor companiei, iar implementarea măsurilor de securitate trebuie să fie proporţională cu nevoia companiei de a asigura protecţia datelor. Cu cât soluţiile avute în vedere pentru asigurarea unor standarde înalte de securitate sunt mai sofisticate (precum monitorizarea activităţii angajaţilor, implementarea unor soluţii de tip Data Loss Prevention sau Mobile Device Management), cu atât este mai importantă respectarea cerinţelor legale aplicabile în materia protecţiei datelor.
Astfel, înainte de implementarea unor soluţii de acest gen, compania trebuie să ia în calcul mai multe aspecte. În primul rând, este recomandată limitarea categoriilor de date cu caracter personal ale angajaţilor prelucrate prin intermediul acestor soluţii doar la cele necesare atingerii scopurilor şi intereselor legitime de asigurare a securităţii datelor. În al doilea rând, estenecesară oanalizăde evaluare a impactului pe care deciziade a permite angajatului să lucreze pe dispozitivul personal o va avea asupra protecţiei datelor. Nu în ultimul rând, este indicatăefectuarea în mod corespunzător a testului de balanţă pentru interesul legitim (având în vedere că, în urma analizei fiecărei situaţii specifice, cel mai probabil interesul legitim va fi temeiul legal în baza căruia pot fi prelucrate datele cu caracter personal ale angajaţilor stocate prin intermediul propriilor dispozitive).
"Nerespectarea obligaţiilor privind asigurarea securităţii datelor cu caracter personal sau privind respectarea drepturilor şi libertăţilor persoanelor vizate (angajaţii în acest caz) poate expune compania la sancţiuni severe, de până la 4% din cifra de afaceri. Mai este de precizat faptul că o parte semnificativă din sancţiunile aplicate de Autoritatea Naţională de Supraveghere a Prelucrării Datelor în ultimele 12 luni (printre care şi cea mai mare sancţiune aplicată până acum în România) au fost impuse ca urmare a unor breşe de securitate. În acest context, devine esenţială asigurarea unui raport corect între securitatea datelor şi protecţia vieţii private. Avantajele muncii la distanţă sunt de necontestat în noul context creat de pandemia de COVID-19, însă clarificarea tuturor aspectelor legale care ţin de acest domeniu este esenţială, având în vedere provocările cu care se confruntă deja întreg mediul de business.", precizează reprezentanţii Deloitte România.