Nu există nicio îndoială că managementul companiilor se concentrează pe creșterea continuă a afacerii, însă aceste eforturi trebuie să se desfășoare într-un mod care să respecte legea.
Fiecare departament al unei afaceri are propriile provocări legale, specifice. Cu toate acestea, un subiect este sau, într-o oarecare măsură, ar trebui să fie, o preocupare comună a tuturor departamentelor, și anume subiectul respectării confidențialității și securității datelor cu caracter personal.
Într-o anumită măsură, datele cu caracter personal sunt prelucrate de departamentul de resurse umane, dar și de departamentele de marketing, vânzări, contabilitate, chiar și de departamentul administrativ care se ocupă de corespondența companiei sau care monitorizează în permanență spațiile comune prin intermediul sistemului CCTV.
Cu siguranță aceste subiecte nu sunt noi sau necunoscute pentru business-uri. De aceea, scopul acestui articol este de a reaminti unele dintre ele care sunt încă ignorate sau neimplementate corespunzător și care ridică semnale de alarmă majore în ceea ce privește conformitatea cu legislația privind datelor cu caracter personal. Dacă măsurilor tehnice/IT de protecție li se acordă o importanță suficient de mare, în cele mai multe cazuri, celor de natură organizatorică, ce par mai puțin probabil a genera riscuri, li se acordă o importanță redusă deși, de cele mai multe ori, eroare umană este cea mai mare sursă de risc.
Așadar, din punct de vedere practic, cât de mult, în ce măsură și în ce circumstanțe este permisă colectarea și utilizarea de date personale aparținând persoanelor fizice ar putea fi încă întrebări actuale care trebuie puse de fiecare dată când compania trebuie să prelucreze date cu caracter personal.
Să vedem câteva exemple de practici neconforme pe care companiile trebuie să le elimine din activitatea lor zilnică de prelucrare a datelor.
De ce să le elimine? Pentru că fiecare manager are nevoie:
să protejeze creșterea afacerii de amenzi;
să protejeze imaginea și reputația companiei pe piața relevantă;
să se asigure că societatea respectă obligațiile contractuale asumate de aceasta față de partenerii săi de afaceri.
Iată lista noastră neagră a practicilor legate de confidențialitatea datelor de care companiile trebuie să se ferească:
Trimiterea unor cantități semnificative de date cu caracter personal prin e-mail, fără protecție sau comunicarea parolelor pentru accesarea acestora folosind același mijloc de comunicare sau, și mai rău, folosind același e-mail. Protejarea documentelor trimise prin e-mail cu parole reprezintă o centură de siguranță în cazul în care, din greșeală, expeditorul alege o adresă de e-mail greșită din agenda Outlook. Riscul de a trimite un e-mail către un destinatar greșit este potențial mai mare decât un atac cibernetic asupra serverului de e-mail! Așadar, folosiți protecția prin parolă sau o altă modalitate securizată de transmitere a datelor drept „centură de siguranță”.
Ignorarea faptului că adresele de e-mail profesionale care conțin numele angajaților/reprezentanților companiei sunt și ele date cu caracter personal și că este necesar consimțământul prealabil al acestor persoane vizate pentru trimiterea de comunicări de marketing.
Trimiterea de comunicări de marketing chiar și după ce persoanele vizate și-au exercitat dreptul de opoziție față de o astfel de prelucrare sau chiar dreptul de a fi uitate. Este recomandată păstrarea unei evidențe actualizate a acelor date de contact care au optat pentru refuzul de a primi comunicări de marketing sau au solicitat ștergerea datelor lor cu caracter personal.
Nerespectarea principiului minimizării. Nu colectați și nu utilizați mai multe date cu caracter personal decât aveți nevoie pentru scopul specific pe care îl preconizați. Persoanele ce vor prelucra datele într-un anumit scop ar trebui să întocmească o listă a categoriilor de date cu caracter personal care ar putea fi necesare pentru acel scop specific și apoi să se întrebe de ce este necesară fiecare categorie. Nu ar fi o surpriză să constate că nu vor găsi o explicație rezonabilă și obiectivă pentru prelucrarea unor categorii de date cu caracter personal. Dacă se întâmplă acest lucru, atunci cu siguranță, pentru acel scop, nu este necesară prelucrarea acelei categorii de date.
Începerea activității de prelucrare fără notificarea prealabilă a persoanelor vizate. Furnizarea unei notificări de informare către persoanele fizice înainte de a colecta datele lor cu caracter personal este absolut necesară. Aceștia trebuie să știe, înainte de a dezvălui datele personale, ce va face compania cu datele lor și pentru cât timp. Utilizați contractele semnate cu persoanele fizice sau juridice pentru a furniza o astfel de Notă de informare, utilizați site-ul web al companiei pentru a comunica astfel de informații, utilizați contul (conturile) de social media al(e) companiei în acest scop. Cel mai important aspect este să vă asigurați că persoanele vizate sunt informate în mod corespunzător.
Solicitarea consimțământului angajaților pentru prelucrarea datelor lor în scopul derulării raporturilor de muncă. Utilizarea consimțământului ca temei juridic pentru prelucrare ar trebui evitată în cadrul unei relații de muncă. Prelucrarea datelor în relațiile de muncă are alte temeiuri legale de prelucrare, cum ar fi, semnarea și executarea contractului de muncă, îndeplinirea obligațiilor legale și interesul legitim al angajatorului. Menționăm că ar putea exista cazuri în care temeiul juridic al prelucrării datelor cu caracter personal ale angajaților ar trebui să fie consimțământul; acestea însă trebuie analizate de la caz la caz.
Neaplicarea regulii "biroului curat" (eng. clean desk policy) și uitarea documentelor tipărite la imprimantă sau în altă parte nesigură din birou. Dacă cineva ia hârtia care cuprinde date cu caracter personal, aceasta reprezintă în mod clar o scurgere de date și un potențial incident de securitate.
Comments