În ultimele articole am discutat despre primii pași pe care orice companie ar fi bine să-i facă în vederea GDPR. Dacă ți-ai formulat deja politica de confidențialitate și ai numit un responsabil cu protecția datelor, nu înseamnă că nu mai ai nimic de făcut. Din contră – acum e momentul să treci la o analiză mai profundă a problemelor de complianță; sau să vezi ce alte măsuri de protecție a datelor personale ai putea să iei, inclusiv în interiorul companiei. Protecția internă a datelor personale (datele propriilor tăi angajați) ar trebui să înceapă cu inventarul tuturor informațiilor care permit identificarea salariaților.
Inventarul datelor personale ale angajaților tăi
La prima vedere ai putea crede că e ușor să ții evidența datelor cu caracter personal ale celor care lucrează în firma ta. Dar datele personale nu înseamnă numai nume și CNP-uri. Orice tip de informații care ar putea permite identificarea persoanelor sunt date personale. Așa se explică de ce în orice companie se colectează și se prelucrează o sumedenie de date personale suplimentare. Este vorba despre categoriile de date personale ‘ascunse’, pe care nimeni nu le-ar suspecta că intră în incidența regulilor GDPR. Totuși, acestea sunt date cu caracter personal și trebuie tratate ca atare.
Iată mai jos câteva exemple de date personale ‘acunse’:
- numărul de marcă unic atribuit unui salariat;
- datele de pe cardul de acces în clădire/în anumite săli/pe etaj;
- datele cardului folosit pentru parcare;
- legitimația de acces;
- înregistrările video realizate de camerele amplasate în spațiul de lucru/la intrarea în clădire;
- contractul individual de muncă și orice copie a acestuia;
- abonamentul nomimal la o sală de sport, dacă este decontat prin firmă;
- chiar și posterul cu ‘angajatul lunii’ dacă acesta conține numele și fotografia unei persoane fizice.
După cum reiese din lista de mai sus, protecția internă a datelor personale e mai complexă decât pare.
Fiecare companie se confruntă cu propriul său set de probleme GDPR. Măsurile recomandate diferă în funcție de informațiile pe care angajații le divulgă zi de zi, ca parte din activitatea lor.
Protecția internă a datelor personale înseamnă să reduci la minim numărul de date pe care le soliciți de la angajații tăi
Dacă inventarul datelor personale arată că firma ta colectează mai multe date personale decât are strictă nevoie, ar fi bine să ștergi datele colectate în plus.
Cum îți dai seama dacă ai putea reduce în vreun fel categoriile de date personale pe care le strângi de la angajați? Ei bine, tot ce trebuie să faci este să compari datele necesare (conform cu scopul în care se solicită aceste date) cu datele colectate în realitate.
Pentru a preveni colectarea de date nefolositoare, ai putea să aliniezi toate datele colectate cu scopurile pentru care soliciți astfel de informații. Spre exemplu, dacă fișa postului nu presupune ca angajatul tău să vorbească limba germană; e lese de înțeles că firma nu are de ce să păstreze în arhive o copie a atestatului său. Iar dacă angajatul nu folosește mașina de serviciu, departamentul de resurse umane nu are motive să întrebe dacă angajatul are sau nu permis de conducere; și cu atât mai puțin – ce categorie sau orice alte date personale cuprinse în permis.
Pe lângă ștergerea datelor personale inutile, compania ar putea să se gândească și la câteva schimbări strategice pentru viitor. Odată ce s-a ajuns la concluzia ca anumite seturi de date sunt colectate în mod nenecesar, este firesc ca de acum încolo să fie pusă în aplicare o politică revizuită. Politica de a nu mai solicita date suplimentare din partea potențialilor sau noilor angajați va trebui comunicată către manageri. În plus, vor trebui notificate toate departamentele care ar putea fi implicate, începând chiar cu departamentul HR.
Dacă ți s-a părut util să înțelegi principiile pentru protecția internă a datelor personale, află mai multe despre complianța GDPR!
Referințe:
- Comisia Europeană – despre Protecția Datelor cu Caracter Personal
- Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal – ANSPDCP
- Regulamentul UE 2016/679