COVID-19:tre consigli sulla protezione dei dati per l'UE e il Regno Unito
Mentre le aziende si adattano alla pandemia di COVID-19, le sfide della gestione di una forza lavoro remota e il suo desiderio di informazioni sull'impatto del virus hanno implicazioni significative sulla protezione dei dati. Mentre le linee guida del Comitato europeo per la protezione dei dati ("EDPB") confermano che il GDPR non dovrebbe ostacolare la lotta contro la pandemia, anche in questi tempi eccezionali, le aziende devono continuare a tutelare i diritti alla protezione dei dati delle persone fisiche.
Condividiamo qui i nostri tre suggerimenti principali per coloro che sovrintendono alla conformità alla protezione dei dati, basandosi sugli orientamenti dell'EDPB, UK, Francese, Autorità di vigilanza tedesche e irlandesi. I link alle linee guida di altre autorità sono accessibili qui.
Identificare e affrontare nuove sfide per la sicurezza dei dati . Con molti dipendenti che ora lavorano in remoto, i problemi di sicurezza dei dati devono essere affrontati come il requisito di mantenere misure tecniche e organizzative adeguate per salvaguardare i dati personali ( Articolo 5, paragrafo 1, lettera f) e 32 . del GDPR ) si applica in egual modo all'interno e all'esterno dell'ufficio. Le linee guida COVID-19 dell'Ufficio del Commissario per le informazioni del Regno Unito (l'"ICO") invitano le aziende a " considera gli stessi tipi di misure di sicurezza per il lavoro a casa che utilizzeresti in circostanze normali ”.
Le aziende potrebbero quindi voler ricordare ai dipendenti la necessità di:
- impedire l'accesso non autorizzato ai dati personali da parte dei familiari, coinquilini o chiunque altro in casa condividendo, pratico, strategie facilmente implementabili come mettere via i documenti di lavoro alla fine di ogni giornata fuori dalla vista;
- aderire alle regole di sicurezza dei dati preesistenti mentre si è fuori dall'ufficio. Per esempio, i dipendenti non dovrebbero utilizzare account di posta elettronica personali per le attività lavorative anche se gli strumenti di accesso remoto sono sotto sforzo; e
- rimanere vigili per gli hacker che cercano di sfruttare la crisi tramite e-mail di phishing e altri attacchi, discusso ulteriormente nella nostra lista di controllo della sicurezza informatica COVID-19.
Raccogliere, Condividere e conservare la minor quantità di informazioni necessarie . La raccolta e la condivisione dei dati relativi al COVID-19 devono essere considerate attentamente. Mentre la guida dell'ICO afferma che le aziende possono legalmente tenere informato il personale sui casi COVID-19 all'interno dell'organizzazione, ricorda alle aziende di condividere le informazioni solo quando è veramente necessario.
L'ICO suggerisce che la denominazione delle persone colpite non è necessaria nella maggior parte dei contesti e dovrebbe essere evitata. Guida della Conferenza tedesca sulla protezione dei dati (Datenschutzkonferenz), un gruppo di autorità di regolamentazione della protezione dei dati federali e statali, sostiene questo approccio, affermando che l'identità di un individuo infetto deve essere mantenuta riservata a meno che non vi sia altro modo per prendere precauzioni per proteggere gli altri. Se nominare un individuo risulta inevitabile, le aziende dovrebbero documentare il motivo e seguire le linee guida dell'EDPB per informare l'individuo prima che il suo nome venga divulgato.
Le aziende devono anche essere caute quando raccolgono informazioni relative al COVID-19. Sebbene poche organizzazioni riceveranno visitatori fisici per il momento, coloro che lo sono dovrebbero chiedere loro di fornire solo le informazioni veramente necessarie per proteggere la forza lavoro dell'azienda. Lo stesso vale per i dipendenti. La guida dell'ICO suggerisce che è ragionevole chiedere alle persone se hanno visitato determinati paesi colpiti dal virus o se stanno riscontrando sintomi correlati a COVID-19. Allo stesso modo, indicazioni dell'autorità di vigilanza francese, la CNIL, suggerisce che i datori di lavoro possono invitare i singoli dipendenti a condividere informazioni sulla propria situazione medica o sulla potenziale esposizione al virus, ma invita le aziende a non distribuire questionari medici generali o introdurre controlli obbligatori della temperatura.
In relazione, la guida COVID-19 della Commissione irlandese per la protezione dei dati ricorda alle aziende di adempiere ai propri obblighi di trasparenza quando raccolgono dati relativi a COVID-19, compresa la comunicazione chiara dello scopo per il quale i dati sono raccolti e per quanto tempo saranno conservati. Per di più, tutti i dati raccolti devono essere salvaguardati e smaltiti in modo appropriato; la guida tedesca ricorda alle aziende che i dati raccolti per aiutare a gestire questa crisi non possono essere utilizzati per altri scopi non correlati e dovrebbero essere cancellati non appena non sono più necessari.
Conservare registrazioni dettagliate delle decisioni e dell'impatto sull'elaborazione dei dati relativi a COVID-19 . In linea con il principio di responsabilità del GDPR e i requisiti di conservazione dei registri ( Articoli 5(2) e 30 ), le aziende dovrebbero registrare il processo decisionale alla base delle misure relative ai dati personali relative al COVID-19 e delle misure adottate per garantire la conformità alla protezione dei dati. Ciò include la registrazione della base legale per il trattamento dei dati; tipicamente, o necessità per “ragioni di interesse pubblico in materia di sanità pubblica” ( Articolo 9, paragrafo 2, lettera i) ) o necessità di assolvere “obblighi in materia di lavoro” laddove le leggi locali impongano alle imprese di tutelare i propri dipendenti ( Articolo 9, paragrafo 2, lettera b) ).
Sembra probabile che molte aziende troveranno difficile adempiere ai propri obblighi in materia di protezione dei dati, ad esempio rispondere all'accesso degli interessati e ad altri diritti richiesti - a causa di problemi di personale o tecnologici causati dalla pandemia. La guida dell'ICO afferma che non punirà le organizzazioni che "hanno bisogno di dare priorità ad altre aree o adattare il loro approccio durante questo periodo straordinario". Considerando la possibilità che altre autorità di vigilanza possano essere meno indulgenti, una buona pratica sarebbe quella di registrare attentamente i motivi di eventuali ritardi o inadempienze, e contemporaneamente raccogliere e conservare prove a sostegno.
Fondi di investimento privati
- 3 consigli per il budget per chi è comodamente ricco
- Suggerimenti per il negoziatore introverso
- Tre consigli per risparmiare denaro sulle forniture scolastiche
- Tre suggerimenti per trovare un avvocato fallimentare del capitolo 7
- Come abbiamo determinato le città migliori e peggiori per la tua pensione
- Suggerimenti per la pensione per i lavoratori autonomi
- 5 consigli su come risparmiare per l'università e la pensione
- Going the Social Distance:Borse estive per il 2020 e COVID-19
- Un ETF TIPS è l'investimento giusto per te?
- COVID-19:il governo del Regno Unito pubblica una guida sul programma di conservazione del lavoro per il coronavirus e annuncia un aiuto per i lavoratori autonomi
-
Suggerimenti fiscali per bambini e neonati
Mia moglie ed io abbiamo avuto il nostro primo figlio questestate. Le nostre vite sono molto diverse ora, ma Emma è stata una benedizione per noi e non cambierei nulla! Avere un bambino ha cambiato ...
-
Le implicazioni del GDPR per le piccole imprese
La nuova legislazione dellUE sulla protezione dei dati dovrebbe essere attuata il prossimo anno, ma cè molta incertezza su come ciò influirà sulle imprese. Il CEO di Really Simple Systems, John Paters...