Munca de acasa a reprezentat pana de curand o expresie a flexibilitatii angajatorilor preocupati de asigurarea unui echilibru intre viata profesionala si cea personala a angajatilor. In contextul pandemiei de Covid-19, munca de pe canapeaua din living sau de la biroul amenajat acasa a devenit o necesitate si ulterior o obisnuinta si nu un beneficiu rezervat unui numar relativ mic de angajati. Cum schimbarea s-a petrecut aproape peste noapte, nici angajatii, nici angajatorii nu au avut ragazul necesar pentru a se gandi la riscurile la care se expun din perspectiva protectiei datelor cu caracter personal. Ce aspecte ar trebui, de fapt, avute in vedere?

Fara indoiala, munca de acasa impusa de pandemia de Covid-19 a reprezentat o provocare pentru angajatorii chemati sa asigure urgent mijloace eficiente de comunicare pentru un numar semnificativ de angajati. Dar pe langa punerea la dispozitie a mijloacelor tehnice, acestia trebuie sa asigure si confidentialitatea datelor si informatiilor pe care angajatii le utilizeaza cu ocazia indeplinirii, de la distanta, a sarcinilor de serviciu, fie ca aceste date si informatii apartin angajatorului, fie ca sunt ale clientilor. Iar cand este vorba de date cu caracter personal, lucrurile devin si mai stricte, regulile instituite de Regulamentul General privind Protectia Datelor fiind pe deplin aplicabile.

De cealalta parte, desi munca de acasa poate avea avantaje indiscutabile pentru angajati, acestia trebuie sa fie constienti ca spatiul de acasa nu a fost conceput pentru a asigura protectia integrala a datelor cu care lucreaza. In plus, departe de birou, apar probleme neasteptate si tentatii suplimentare. De exemplu, se poate pierde conexiunea la internet, exact atunci cand este nevoie de transmiterea unui document important, iar angajatul se confrunta cu o dilema - se conecteaza la reteaua nesecurizata a vecinului sau se expune riscului de a nu trimite la timp documentul solicitat.

Pornind de la aceste premise, dar si ca urmare a problemelor care ne-au fost semnalate, am gandit un set de masuri, atat pentru angajatori, cat si pentru angajati, care, odata aplicate, ar putea sa diminueze riscurile asociate muncii de acasa, cel putin din perspectiva regulilor aplicabile in materia datelor cu caracter personal.

1. Asadar, angajatorii ar trebui, in primul rand, sa se asigure ca dispun de resurse IT suficiente, chiar si umane, pe langa cele tehnice, pentru suportul angajatilor. Este mai greu sa faci achizitii de laptopuri, de pilda, in plina criza, dar asigurati-va ca oamenii de la IT controleaza situatia.

2. Furnizati, in masura in care este posibil, dispozitive de lucru tuturor angajatilor si evitati utilizarea dispozitivelor personale.

3. In situatia utilizarii dispozitivelor personale, asigurati-va ca acestea sunt aprobate in prealabil de responsabilii IT.

4. Asigurati-va ca aplicatiile software de securitate instalate pe dispozitivele angajatilor sunt actualizate periodic, chiar si de la distanta.

5. Achizitionati sau, daca o aveti deja, utilizati o solutie de tip VPN capabila sa suporte un numar mare de conectari simultane din partea angajatilor la reteaua societatii si asigurati-va ca sesiunile la distanta se deconecteaza automat si necesita reautentificare dupa o anumita perioada de inactivitate.

6. Furnizati aplicatiile printr-un canal criptat si puneti la dispozitie canale sigure de comunicare atat intre angajati, cat si pentru comunicarea cu exteriorul.

7. Actualizati frecvent sistemul de operare si aplicatiile instalate pe dispozitivele societatii.

8. Informati angajatii despre riscurile asociate muncii de acasa, precum amenintarile cibernetice si asigurati-va ca toti angajatii stiu cum sa procedeze in cazul unui potential incident de securitate.

9. Verificati frecvent activitatile neobisnuite care au loc pe dispozitivele societatii si cresteti nivelul de alerta pentru atacuri legate de VPN.

10. Verificati daca in contextul desfasurarii muncii de acasa societatea trebuie sa prelucreze datele angajatilor intr-un alt mod decat cel obisnuit si asigurati-va ca si in acest caz este respectata legislatia in materia protectiei datelor.

1. Utilizati doar reteaua Wi-fi proprie, la care conectarea se face prin intermediul unei parole si nu apelati la retele publice disponibile atunci cand internetul va face probleme. O solutie mult mai sigura, este activarea hotspot-ului pe un alt dispozitiv mobil furnizat de angajator.

2. Nu utilizati dispozitivele personale inainte de a obtine aprobarea angajatorului si asigurati-va ca atunci cand le folositi tineti cont de masurile de siguranta si recomandarile aplicabile dispozitivelor de lucru.

3. Conectati-va la reteaua angajatorului doar prin VPN.

4. Nu printati documente continand date cu caracter personal sau secrete de afaceri la centre de print sau utilizand imprimanta unei alte persoane si pastrati documentele pe suport hartie care nu va mai sunt necesare pentru a le distruge la birou intr-un mod sigur.

5. Nu raspundeti cererilor de furnizare de date cu caracter personal, in special cele financiare atunci cand nu recunoasteti expeditorul si contactati angajatorul pentru a verifica daca acesta are informatii cu privire la sursa solicitarii.

6. Nu permiteti persoanelor cu care locuiti sa va acceseze dispozitivele de lucru si asigurati-va ca acestea sunt blocate atunci cand nu le utilizati.

7. Asigurati-va ca atunci cand sunteti implicat intr-o convorbire telefonica sau videoconferinta in interes de serviciu, alte persoane nu pot auzi conversatia.

8. Evitati utilizarea in interes personal a dispozitivelor de lucru.

9. Anuntati personalul relevant atunci cand intampinati dificultati in a utiliza anumite resurse IT si nu utilizati aplicatii alternative care chiar daca pot face munca mai rapida, nu sunt aprobate de catre angajator (precum emailul personal, website-uri de transfer fisiere).

10. Nu amanati instalarea software-ului antivirus, chiar daca sistemul va da posibilitatea sa faceti acest lucru de cateva ori.

11. Nu publicati pe retele sociale si nu transmiteti catre alte persoane fotografii cu spatiul de munca cu surprinderea documentelor de lucru sau a monitorului care dezvaluie informatii confidentiale sau date cu caracter personal.

12. Anuntati personalul relevant de orice eveniment care ar putea constitui un incident de securitate si respectati procedura aplicabila la nivelul societatii in astfel de cazuri.

13. Asigurati-va ca salvati pe cloud-ul angajatorului documentele la care lucrati sau pe baza carora lucrati pentru a asigura disponibilitatea lor in cazul in care nu va mai puteti accesa dispozitivul, de exemplu in cazul unui furt sau in situatia in care dispozitivul are probleme tehnice.

Cele mai multe dintre masurile prezentate mai sus ar trebui sa fie incluse deja in procedurile interne privind protectia si securitatea datelor adoptate de orice entitate preocupata de implementarea cerintelor Regulamentului general privind Protectia Datelor.

Cu toate acestea, in contextul pandemiei de Covid-19, este important ca toti angajatii sa inteleaga nevoia sporita de asigurare a protectiei datelor cu caracter personal si sa actioneze cu prudenta.

Pe de alta parte, angajatorii ar putea sa priveasca situatia curenta ca pe un moment propice pentru a verifica eficienta procedurilor interne in fata riscurilor asociate muncii de acasa.

Un material de Daniel Vinerean, SCA/Manager PwC - Data Protection Practice si Oana Dracea, Associate Lawyer at D&B David si Baias