Ochii care nu se văd, te filmează... Despre protecția datelor în munca „remote”
Sau despre cum datele personale pot deveni un spectacol public
Imaginează-ți o zi normală din viața ta.
Este dimineață și ai întârziat la birou. Răsufli ușurat pentru că ai găsit, într-un final, un loc de parcare. Intri în clădirea de birouri și iei liftul. Te uiți în oglindă și cămașa e impecabilă. Chapeau bas !
Deschizi telefonul, aplicația de Outlook și citești un e-mail lung cu un atașament Excel care conține datele a câteva mii de clienți: nume, prenume, adrese de e-mail și numere de telefon. Răsfoiești Excel-ul lejer, fără grabă... Ești cu capul în nori și nici măcar nu ai observat camera de supraveghere in lift care a „văzut” și a „înregistrat” tot.
Specialiștii GDPR din lista mea de Substack ar fi de acord că ne aflăm în prezența unui „data breach”. Pe românește, incident de securitate. Adică exact tipul de incident pentru poți fi amendat în temeiul GDPR și pe care ești obligat să îl raportezi, în anumite circumstanțe, către ANSPDCP în termen de 72 de ore.
Dar poate că nu lucrezi în mediul corporate. Nici eu nu lucrez. M-aș plictisi teribil.
Să presupunem că ești jurist, avocat sau consultant cu un program haotic și ai câteva întâlniri pe zi, o parte din ele în cafenele, altele la birou și altele online. Lucrezi mult în deplasare și mai deschizi, din când în când, laptopul la masa de prânz sau în cafenele.
Imaginează-ți că te afli într-o cafenea din centrul orașului. Ți-ai comandat un espresso, scoți laptopul și deschizi cu nonșalanță documentele de lucru. Pe laptop ai deschis un Excel plin de date cu caracter personal – nume, CNP-uri, adrese și tot tacâmul. În spatele tău se află alți clienți ai cafenelei care se uită la ecranul tău. Nu trebuie să fie hackeri ca să vadă tot. Scroll-ul tău a devenit spectacol public. Puțin mai în spate un influencer filmează scena și momentul este ulterior redat într-un reel, pe internet. Clipul devine viral, iar persoanele afectate depun sesizări.
Acesta este scenariul altui incident de securitate.
Iar tu, câteva luni mai târziu trebuie să dai explicații în fața ANSPDCP și să speri să nu primești o amendă mai mare decât profitul tău pe anul trecut.
Și acum vine întrebarea pe care orice profesionist sau companie care permite munca remote ar trebui să și-o adreseze: cum evităm astfel de scenarii?
De la instruire la diligență
Majoritatea companiilor care au implementat GDPR au construit politici de securitate care acoperă dispozitivele de serviciu, rețelele companiile, sediile și punctele de lucru. Politicile construite în primul an de GDPR (2018) au rămas, de cele mai multe ori, uitate într-un sertar, fără să fie adaptate la societatea de astăzi. În ultimii ani, munca remote a explodat exponențial și tot mai multe persoane lucrează de acasă sau din cafenele, aeroporturi, gări, restaurante, hoteluri și alte spații accesate de multe persoane și supravegheate video.
Felul în care muncim s-a schimbat fundamental în ultimii ani și este momentul să fim conștienți de riscurile pe care munca remote le presupune asupra protecției datelor cu caracter personal. Tocmai de aceea, companiile trebuie să-și instruiască toți angajații în privința utilizării responsabile a dispozitivelor atunci când le folosesc în deplasare, pentru a preveni breșele de securitate. Conform GDPR, companiile sunt obligate să își instruiască angajații și în situația în care aceștia folosesc dispozitive personale în interesul companiei, nu doar în situația în care utilizează dispozitive de serviciu.
Angajații trebuie instruiți să fie atenți nu doar la securitatea tehnică a dispozitivelor și conturilor (pinuri, parole complexe, autentificare în doi factori, etc), ci și la contextul în care lucrează. De exemplu, companiile trebuie să comunice angajaților să nu lase documente la vedere în spații publice, să blocheze ecranul de fiecare dată când se ridică de la mese, să nu folosească rețele Wi-Fi publice nesecurizate și să evite discuțiile telefonice confidențiale în locuri aglomerate.
Cum instruim angajații?
💡 Pentru a veni în sprijinul companiilor și a membrilor premium ai publicației LegalUp, am creat un manual de reguli pentru angajații care lucrează remote. Acest manual poate fi utilizat ca suport de instruire pentru angajații care lucrează remote. El acoperă aspectele ce țin de protecția datelor și securitatea informațiilor în cadrul muncii remote.
Manualul explică pas cu pas cum trebuie securizat spațiul de lucru, cum se gestionează documentele în transport, cum se securizează echipamentele de serviciu și cum trebuie desfășurate apelurile telefonice și video-conferințele în condiții de confidențialitate. El acoperă și măsuri practice privind conexiunile Wi-Fi, transportul laptopurilor și procedura de urmat în caz de incident de securitate, pierdere sau furt.
Manualul este completat de o anexă pe care angajații o semnează, confirmând că au luat la cunoștință regulile, astfel încât companiile să poată dovedi instruirea lor în domeniul protecției datelor cu caracter personal.
Pentru a se putea verifica dacă angajații au înțeles regulile, am inserat, la finalul manualului, un test grilă de verificare a cunoștințelor.
Manualul poate fi accesat și descărcat din interiorul acestui articol de către abonații premium ai publicației. Manualul este în format Word, 100% editabil.
💡 Poți descărca și tu manualul și îl poți folosi de îndată în compania ta! Alătură-te altor profesioniști care au acces lunar la resurse premium GDPR și fă un upgrade al subscripției tale!