Companiile ar putea lua măsuri mai drastice de monitorizare a activităților angajatului

General Data Protection Regulation sau, pe scurt, GDPR, este regulamentul UE care va intra în vigoare anul viitor în toate statele membre ale Uniunii Europene, care prevede amenzi de 4% din cifra de afaceri sau de 20 de milioane de euro (se va aplica suma care este mai mare). De aceea, în cele 6 luni până la implementarea legislației, este necesar ca firmele să contracteze specialiști care să analizeze și să asigure că prevederile sunt respectate, aceasta fiind o condiție obligatorie.

CITEȘTE ȘI: George Ogăraru: „România are nevoie de oameni”

”Ultimul studiu Eurobarometru, efectuat în 2015, a arătat că o mare parte dintre europeni, mai exact 69 %, ar dori să-și dea în mod explicit acordul înainte de colectarea și prelucrarea datelor cu caracter personal. Până la intrarea în vigoare a legii, toate companiile și instituțiile publice au nevoie de o analiză asupra datelor cu caracter personal, colectate și folosite, în urma căreia o echipă specializată va face recomandări tehnice ce trebuie implementate pentru respectarea GDPR ”, a explicat Călin Butunoi, Specialist GDPR și reprezentant SEERS.
Legislația va intra în vigoare în mai 2018 și, până atunci, toate entitatile care prelucrează asemenea informații ar trebui să contracteze specialisti care să armonizeze procesarea datelor cu prevederile noii legi. Însă studiile arată că, la nivel mondial, doar 1 din 10 companii au făcut acest lucru.
”Spre deosebire de alte ramuri de drept, companiile și instituțiile publice care vor fi acuzate de clienți sau de Autoritatea de Supraveghere vor fi nevoite să facă dovada nevinovăției. Clientul nu va fi nevoit să dovedească nimic. Cu atât mai mult, companiile trebuie să se asigure că pot demonstra în orice moment că activitățile lor respectă legea, potrivit principiului responsabilității.”, a declarat avocatul Andreea Vlănțoiu, Data Protection Officer (DPO).

Informațiile medicale, cele mai vulnerabile date cu caracter personal

Printre cele mai „căutate” informații cu caracter personal se numără cele din domeniul medical. Analizele arată că doar anul trecut, hackerii au sustras datele medicale a peste 12,5 milioane de persoane din SUA, conform diviziapentrumedici.ro. Astfel că piaţa serviciilor medicale private, estimată la 1,4 miliarde de euro în România, este una dintre cele mai vulnerabile arii. Un alt domeniu direct implicat este comerţul online, în special mall-urile online, unde, de cele mai multe ori, pentru a putea face cumpărături, trebuie să introducem numele și adresa fizică sau electronică. Acest sector este și unul dintre cele mai dinamice și se află într-o continuă creștere, cu o valoare totală în prezent de 2,5 miliarde de euro în țara noastră.

CITEȘTE ȘI: Responsabilitate socială prin educație

Companiile mici și mari ar putea lua masuri mai drastice de monitorizare a activităților angajatului

Bogdan Botezatu, specialist în amenințări informatice, (printre ariile sale de expertiză se numără războiul cibernetic, amenintarile informatice pentru terminale mobile și cele din retelele de socializare)
afirmă că una dintre cerințele de bază ale GDPR este aceea de a face dovada răspunderii în eventualitatea unei breșe de securitate. Această răspundere – de a proteja datele personale ale clienților – începe cu angajatul care interacționeaza în mod direct cu datele. Așadar, angajații trebuie să devină participanți activi în cadrul programului GDPR al firmei pentru care lucrează.

Potrivit lui Bogdan Botezatu, pentru a identifica cu acuratețe cine poartă răspunderea în cazul unor incidente, companiile mici și mari ar putea să ia masuri mai drastice de monitorizare a activităților angajatului începând cu 2018 – nu numai pentru a afla cine e este responsabil de eroare, dar și pentru a putea preveni situații similare pe viitor.

Aceste măsuri pot include:

• Training-uri mai riguroase cu privire la securitatea datelor;
• Monitorizare mai riguroasă a activității angajatului (site-uri vizitate, etc.);
• Angajatorul ar putea folosi programe și solutii software dedicate pentru a monitoriza, manageria, clasifica și proteja transferul de date, atât în cadrul organizației, precum și în afara ei;
• Blocarea anumitor site-uri și rețele de socializare, dacă angajatorul are motive să creadă că accesul la acestea ar putea spori șansele de breșă (această procedură se defășoară deja în unele organizații, însă ne putem aștepta să devină o practică des întâlnită la angajare începând cu 2018);
• Oferirea unor tool-uri / programe software care determină angajații să își respecte responsabilitățile;
• Controale periodice pentru a preveni distribuirea datelor personale ale clienților către persoane neautorizate.

Politica de securitate informatică și fizică în cadrul unei companii rămâne la latitudinea angajatorului.
Cu toate că utilizatorii au dreptul la intimitatea conversațiilor private, angajatorul poate bloca în mod discreționar accesul la astfel de canale de comunicare private (aplicații precum client de mesagerie internă sau servicii personale de e-mail), prin simpla adăugare a unor politici în firewall-ul companiei.

CITEȘTE ȘI: Ești șef tânăr, proaspăt promovat. Ce faci? (II)

În acelasi timp, angajații din țările membre ale Uniunii Europene au dreptul la intimitate și comunicare privată, angajatorii vor trebui să balanseze cu atenție între măsurile luate și respectarea drepturilor angajatului. De exemplu, aceștia să fie informați în mod explicit la angajare referitor la strictețea monitorizării activității în scopul prevenirii unei breșe și de responsabilitatea pe care și-o asumă pe durata exercitării funcției.