COVID-19:Três dicas de proteção de dados para a UE e o Reino Unido
À medida que as empresas se adaptam à pandemia COVID-19, os desafios de gerenciar uma força de trabalho remota e seu desejo por informações sobre o impacto do vírus têm implicações significativas na proteção de dados. Embora a orientação do Conselho Europeu de Proteção de Dados ("EDPB") confirme que o GDPR não deve impedir a luta contra a pandemia, mesmo nestes tempos excepcionais, as empresas devem continuar a salvaguardar os direitos de proteção de dados dos indivíduos.
Compartilhamos aqui nossas três principais dicas para quem supervisiona a conformidade da proteção de dados, com base nas orientações do EDPB, REINO UNIDO, Francês, Autoridades de supervisão alemãs e irlandesas. Links para orientações de outras autoridades podem ser acessados aqui.
Identifique e resolva novos desafios de segurança de dados . Com muitos funcionários trabalhando remotamente, As questões de segurança de dados precisam ser abordadas como o requisito de manter medidas técnicas e organizacionais adequadas para proteger os dados pessoais ( Artigos 5 (1) (f) e 32 do GDPR ) aplica-se igualmente dentro e fora do escritório. A orientação COVID-19 do Gabinete do Comissário de Informação do Reino Unido (o "ICO") apela às empresas para " considere os mesmos tipos de medidas de segurança para o trabalho em casa que você usaria em circunstâncias normais ”.
As empresas podem, portanto, querer lembrar os funcionários da necessidade de:
- impedir o acesso não autorizado a dados pessoais por membros da família, companheiros de casa ou qualquer outra pessoa da casa compartilhando, prático, estratégias facilmente implementáveis, como guardar papéis de trabalho no final de cada dia, longe da vista;
- aderir às regras de segurança de dados pré-existentes quando estiver fora do escritório. Por exemplo, os funcionários não devem usar contas de e-mail pessoais para negócios, mesmo que as ferramentas de acesso remoto estejam sob pressão; e
- permanecer vigilante para os hackers que tentam explorar a crise por meio de e-mails de phishing e outros ataques, discutido com mais detalhes em nossa lista de verificação de segurança cibernética COVID-19.
Colete, Compartilhe e retenha a menor quantidade de informações necessárias . A coleta e o compartilhamento de dados relacionados ao COVID-19 precisam ser cuidadosamente considerados. Embora a orientação da ICO afirme que as empresas podem legalmente manter os funcionários informados sobre os casos COVID-19 dentro da organização, ele lembra as empresas de compartilhar informações somente quando realmente necessário.
A OIC sugere que nomear os indivíduos afetados é desnecessário na maioria dos contextos e deve ser evitado. Orientação da Conferência Alemã de Proteção de Dados (Datenschutzkonferenz), um grupo de reguladores federais e estaduais de proteção de dados, apoia esta abordagem, afirmando que a identidade de um indivíduo infectado deve ser mantida em sigilo, a menos que não haja outra maneira de tomar precauções para proteger os outros. Se nomear um indivíduo for inevitável, as empresas devem documentar o motivo e seguir as orientações da EDPB para informar o indivíduo antes da divulgação do seu nome.
As empresas também devem ser cautelosas ao coletar informações relacionadas ao COVID-19. Embora poucas organizações recebam visitantes físicos por enquanto, aqueles que o são devem pedir-lhes que forneçam apenas as informações verdadeiramente necessárias para proteger a força de trabalho da empresa. O mesmo se aplica aos funcionários. A orientação da OIC sugere que é razoável perguntar às pessoas se elas visitaram países específicos afetados pelo vírus ou estão experimentando sintomas relacionados ao COVID-19. De forma similar, orientação da autoridade supervisora francesa, o CNIL, sugere que os empregadores podem convidar funcionários individuais para compartilhar informações sobre sua própria situação médica ou exposição potencial ao vírus, mas orienta as empresas a não implantar questionários médicos gerais ou introduzir verificações de temperatura obrigatórias.
Relacionado, a orientação COVID-19 da Comissão de Proteção de Dados da Irlanda lembra as empresas de cumprirem suas obrigações de transparência ao coletar dados relacionados ao COVID-19, incluindo a comunicação clara da finalidade para a qual os dados são coletados e por quanto tempo serão retidos. Além disso, quaisquer dados coletados devem ser protegidos e descartados de forma adequada; a orientação alemã lembra às empresas que os dados coletados para ajudar a gerenciar esta crise não podem ser usados para outros fins não relacionados e devem ser excluídos assim que não forem mais necessários.
Manter registros detalhados de COVID-19 - decisões de processamento de dados relacionados e impacto . Em linha com o princípio de responsabilidade do GDPR e requisitos de manutenção de registros ( Artigos 5 (2) e 30 ), as empresas devem registrar o processo de tomada de decisão subjacente ao COVID-19 - medidas de dados pessoais relacionadas e as etapas tomadas para garantir a conformidade com a proteção de dados. Isso inclui registrar a base legal para o processamento dos dados; tipicamente, qualquer necessidade por "razões de interesse público na área de saúde pública" ( Artigo 9 (2) (i) ) ou necessidade de cumprir "obrigações no campo do emprego", onde as leis locais exigem que as empresas salvaguardem seus funcionários ( Artigo 9 (2) (b) )
Parece provável que muitas empresas encontrarão um desafio para cumprir suas obrigações de proteção de dados - por exemplo, responder ao acesso do titular dos dados e outras solicitações de direitos - devido a questões de pessoal ou tecnológicas causadas pela pandemia. A orientação da OIC diz que não punirá as organizações que “precisam priorizar outras áreas ou adaptar sua abordagem durante este período extraordinário”. Considerando a possibilidade de que outras autoridades de supervisão possam ser menos complacentes, uma prática recomendada seria registrar cuidadosamente os motivos de quaisquer atrasos ou padrões, e, simultaneamente, coletar e manter as evidências de apoio.
Fundos de investimento privado
- Os CFOs de fundos de hedge precisam de parceiros proativos para enfrentar os desafios operacionais
- Deseja explorar o mercado de fundos de Hong Kong? Leia nosso guia.
- A geração alfa é um critério fundamental para conduzir as decisões de terceirização,
- Sustentabilidade no Setor de Serviços Financeiros Europeu
- Legislação ILP atualizada da Irlanda:o que isso significa para fundos de private equity
- Como Investir em Capital Privado
-
Porcentagens do orçamento mensal que Dave Ramsey deseja que todos sigam
Este artigo pode conter links de nossos parceiros. Por favor, leia como ganhamos dinheiro para mais informações. Seus populares Passos de bebê ajudam as pessoas a se livrar das dívidas, mas você ...
-
Como saber se sua remessa UPS precisa de uma assinatura
p Se você trabalha durante o horário comercial normal, você provavelmente já sentiu a frustração de chegar em casa e encontrar aquele bilhete Desculpe, por ter sentido sua falta na sua porta. Geralmen...
-
Vantagens e desvantagens das ações sendo emitidas
p Corporações emitem ações para levantar dinheiro. Cada ação representa uma pequena parcela da propriedade da empresa, e as pessoas que compram as ações recebem o direito de se beneficiar de sua parti...
-
O que é Disgorgement?
Em termos legais, o despejo é uma ação em que algo é abandonado - ou seja, lucros - porque foram obtidos de forma ilegal ou antiética. O sistema judiciário ordena que o indivíduo ou entidade desista d...