COVID-19:Três dicas de proteção de dados para a UE e o Reino Unido
À medida que as empresas se adaptam à pandemia COVID-19, os desafios de gerenciar uma força de trabalho remota e seu desejo por informações sobre o impacto do vírus têm implicações significativas na proteção de dados. Embora a orientação do Conselho Europeu de Proteção de Dados ("EDPB") confirme que o GDPR não deve impedir a luta contra a pandemia, mesmo nestes tempos excepcionais, as empresas devem continuar a salvaguardar os direitos de proteção de dados dos indivíduos.
Compartilhamos aqui nossas três principais dicas para quem supervisiona a conformidade da proteção de dados, com base nas orientações do EDPB, REINO UNIDO, Francês, Autoridades de supervisão alemãs e irlandesas. Links para orientações de outras autoridades podem ser acessados aqui.
Identifique e resolva novos desafios de segurança de dados . Com muitos funcionários trabalhando remotamente, As questões de segurança de dados precisam ser abordadas como o requisito de manter medidas técnicas e organizacionais adequadas para proteger os dados pessoais ( Artigos 5 (1) (f) e 32 do GDPR ) aplica-se igualmente dentro e fora do escritório. A orientação COVID-19 do Gabinete do Comissário de Informação do Reino Unido (o "ICO") apela às empresas para " considere os mesmos tipos de medidas de segurança para o trabalho em casa que você usaria em circunstâncias normais ”.
As empresas podem, portanto, querer lembrar os funcionários da necessidade de:
- impedir o acesso não autorizado a dados pessoais por membros da família, companheiros de casa ou qualquer outra pessoa da casa compartilhando, prático, estratégias facilmente implementáveis, como guardar papéis de trabalho no final de cada dia, longe da vista;
- aderir às regras de segurança de dados pré-existentes quando estiver fora do escritório. Por exemplo, os funcionários não devem usar contas de e-mail pessoais para negócios, mesmo que as ferramentas de acesso remoto estejam sob pressão; e
- permanecer vigilante para os hackers que tentam explorar a crise por meio de e-mails de phishing e outros ataques, discutido com mais detalhes em nossa lista de verificação de segurança cibernética COVID-19.
Colete, Compartilhe e retenha a menor quantidade de informações necessárias . A coleta e o compartilhamento de dados relacionados ao COVID-19 precisam ser cuidadosamente considerados. Embora a orientação da ICO afirme que as empresas podem legalmente manter os funcionários informados sobre os casos COVID-19 dentro da organização, ele lembra as empresas de compartilhar informações somente quando realmente necessário.
A OIC sugere que nomear os indivíduos afetados é desnecessário na maioria dos contextos e deve ser evitado. Orientação da Conferência Alemã de Proteção de Dados (Datenschutzkonferenz), um grupo de reguladores federais e estaduais de proteção de dados, apoia esta abordagem, afirmando que a identidade de um indivíduo infectado deve ser mantida em sigilo, a menos que não haja outra maneira de tomar precauções para proteger os outros. Se nomear um indivíduo for inevitável, as empresas devem documentar o motivo e seguir as orientações da EDPB para informar o indivíduo antes da divulgação do seu nome.
As empresas também devem ser cautelosas ao coletar informações relacionadas ao COVID-19. Embora poucas organizações recebam visitantes físicos por enquanto, aqueles que o são devem pedir-lhes que forneçam apenas as informações verdadeiramente necessárias para proteger a força de trabalho da empresa. O mesmo se aplica aos funcionários. A orientação da OIC sugere que é razoável perguntar às pessoas se elas visitaram países específicos afetados pelo vírus ou estão experimentando sintomas relacionados ao COVID-19. De forma similar, orientação da autoridade supervisora francesa, o CNIL, sugere que os empregadores podem convidar funcionários individuais para compartilhar informações sobre sua própria situação médica ou exposição potencial ao vírus, mas orienta as empresas a não implantar questionários médicos gerais ou introduzir verificações de temperatura obrigatórias.
Relacionado, a orientação COVID-19 da Comissão de Proteção de Dados da Irlanda lembra as empresas de cumprirem suas obrigações de transparência ao coletar dados relacionados ao COVID-19, incluindo a comunicação clara da finalidade para a qual os dados são coletados e por quanto tempo serão retidos. Além disso, quaisquer dados coletados devem ser protegidos e descartados de forma adequada; a orientação alemã lembra às empresas que os dados coletados para ajudar a gerenciar esta crise não podem ser usados para outros fins não relacionados e devem ser excluídos assim que não forem mais necessários.
Manter registros detalhados de COVID-19 - decisões de processamento de dados relacionados e impacto . Em linha com o princípio de responsabilidade do GDPR e requisitos de manutenção de registros ( Artigos 5 (2) e 30 ), as empresas devem registrar o processo de tomada de decisão subjacente ao COVID-19 - medidas de dados pessoais relacionadas e as etapas tomadas para garantir a conformidade com a proteção de dados. Isso inclui registrar a base legal para o processamento dos dados; tipicamente, qualquer necessidade por "razões de interesse público na área de saúde pública" ( Artigo 9 (2) (i) ) ou necessidade de cumprir "obrigações no campo do emprego", onde as leis locais exigem que as empresas salvaguardem seus funcionários ( Artigo 9 (2) (b) )
Parece provável que muitas empresas encontrarão um desafio para cumprir suas obrigações de proteção de dados - por exemplo, responder ao acesso do titular dos dados e outras solicitações de direitos - devido a questões de pessoal ou tecnológicas causadas pela pandemia. A orientação da OIC diz que não punirá as organizações que “precisam priorizar outras áreas ou adaptar sua abordagem durante este período extraordinário”. Considerando a possibilidade de que outras autoridades de supervisão possam ser menos complacentes, uma prática recomendada seria registrar cuidadosamente os motivos de quaisquer atrasos ou padrões, e, simultaneamente, coletar e manter as evidências de apoio.
Fundos de investimento privado
- Enfrentando a Distância Social:Estoques de verão para 2020 e COVID-19
- Como determinamos as melhores e piores cidades para sua aposentadoria
- Três dicas para encontrar um advogado da bancarrota do Capítulo 7
- É um TIPS ETF o investimento certo para você?
- Dicas de aposentadoria para trabalhadores autônomos
- Três dicas para economizar dinheiro em materiais escolares
- 3 dicas de orçamento para os confortavelmente ricos
- Dicas para o negociador introvertido
-
Dicas fiscais para crianças e recém-nascidos
Minha esposa e eu tivemos nosso primeiro filho neste verão. Nossas vidas são muito diferentes agora, mas Emma tem sido uma bênção para nós e eu não mudaria nada! Ter um bebê mudou nosso orçamento de...
-
As implicações do GDPR para pequenas empresas
A nova legislação de proteção de dados da UE deve ser implementada no próximo ano, mas há muita incerteza sobre como isso afetará as empresas. O CEO da Really Simple Systems, John Paterson, considera ...