Ofițerul de conformitate – noul „gardian” al prelucrărilor de date cu caracte...
GDPR pentru Resursele Umane - HR
1. GDPR & HR – PERSPECTIVA
ANGAJATORULUI
07 decembrie 2022
2. Angajatorul…
= operator
de date cu
caracter
personal din
doua
perspective:
In relatia cu angajatii sai
In relatia cu alte persoane
fizice (clienti, colaboratori,
reprezentanti furnizori etc)
3. Relatia
angajator –
angajat:
Prerogativa principala angajator = organizarea activitatii -
stabilire atributii, relatii subordonare/coordonare
Obligatia corelativa – crearea si implementarea reala,
efectiva a unor proceduri = (in limbaj GDPR)
implementarea unor masuri organizatorice
Importanta – practica recenta instante de judecata – cazul
BT – amenda 100.000 euro – pentru lipsa instruirii
efective a personalului care a condus la “inabilitatea
acestora (nn – a angajaților) de a identifica și califica
datele la care au acces ca fiind date cu caracter personal”
4. Continut minim recomandat – 1. Politica interna
GDPR
Politica privind protectia datelor cu caracter personal – Manual / Handbook,
Ghid al prelucrarii:
• reguli generale (definitii, principii etc) – pe intelesul angajatilor, informatie
structurata, usor de identificat
• reguli speciale, in functie de specificul activitatii:
• marketing,
• HR,
• Date cu caracter special (privind minorii, privind starea de sanatate)
5. Continut minim recomandat – 2. Proceduri
interne
i. procedura interna de solutionare cereri persoane vizate
ii.procedura interna de clasificare a informatiei
iii.procedura de lucru cu tertii, cu furnizorii si cu partenerii
contractuali
iv.Proceduri pentru scanare de vulnerabilitati retea interna si
website
v.Procedura gestionare si raportare incidente de securitate
vi.Procedura privind efectuarea unei DPIA
vii.Procedura privind actualizarea si revizuirea politicilor si
procedurilor interne
6. Avem hartiile,
cum
procedam…
Conform hotararilor judecatoresti recente:
- Necesara (nu si suficienta) – aducerea lor la
cunostinta angajatilor (email, afisare,
semnare de luare la cunostinta – pot fi
insuficiente)
- Necesar (nu si suficient) ca angajatii sa
participe la cursuri de instruire
- Necesara verificarea nivelului de asimilare si
constientizare a regulilor GDPR in randul
angajatilor
- Cum? Cursuri si testari periodice.
7. Monitorizarea
angajatilor
Sisteme de monitorizare prin mijloace de comunicaţii electronice şi/sau
prin mijloace de supraveghere video la locul de muncă
Conditii obligatorii:
• Exista un interes legitim urmărit de angajator, acesta este temeinic
justificat şi prevalează asupra intereselor sau drepturilor şi libertăţilor
angajatilor => LIA
• angajatorul a realizat informarea prealabilă obligatorie, completă şi
în mod explicit a angajaţilor;
• angajatorul a consultat sindicatul / reprezentanţii angajaţilor înainte
de introducerea sistemelor de monitorizare;
• alte forme şi modalităţi mai puţin intruzive pentru atingerea
scopului urmărit de angajator nu şi-au dovedit anterior eficienţa; şi
• durata de stocare a datelor cu caracter personal este proporţională
cu scopul prelucrării, dar nu mai mare de 30 de zile, cu excepţia
situaţiilor expres reglementate de lege sau a cazurilor temeinic
justificate.
8. Ce este Shadow IT?
Definiție, Exemple și Riscuri
• Shadow IT este utilizarea tehnologiei informatice de un departament
fără ca departamentul IT sau responsabilul IT să știe sau să aprobe
acest lucru.
• Termenul "shadow IT" este utilizat pentru a clasifica și a aborda orice
flux de informații neoficiale pe care utilizatorii le introduc în rețeaua
unei organizații prin orice mijloc. Acesta acoperă orice, de la unități
flash USB la instrumente de partajare a fișierelor, aplicații de chat și
multe altele.
9. Ce este Shadow IT?
Definiție, Exemple și Riscuri
Câteva exemple comune de shadow IT:
• Slack, Trello și alte instrumente de productivitate.
• Skype și alte instrumente VOIP
• Google Docs, Gmail, Drive și alte elemente ale suitei Google (dacă nu sunt licențiate sau sancționate oficial de departamentul IT)
• Dropbox, Box și alte instrumente de partajare de fișiere peer-to-peer și de colaborare în cloud
• Apple AirDrop și alte instrumente de partajare bazate pe bluetooth
• WhatsApp și alte aplicații de mesagerie
• Unități flash și HDD
EXEMPLE
• Atunci când doi membri ai echipei descarcă Skype pentru că nu reușesc să facă Teams să funcționeze, acesta este
un sistem IT din umbră.
• Atunci când cineva trebuie să trimită un fișier prea mare pentru Gmail, așa că folosește Dropbox, acesta este un
sistem informatic din umbră.
Problema cu "shadow IT" nu se referă cu adevărat la instrumentele specifice pe care le folosesc oamenii, ci mai
degrabă la faptul că le folosesc fără ca departamentul IT să știe.
10. Ce este Shadow IT?
Definiție, Exemple și Riscuri
• Shadow IT reprezintă un risc în măsura în care împiedică echipele IT și de
securitate să vadă și să contabilizeze instrumentele pe care le folosesc
angajații și modul în care le folosesc pentru a partaja informații.
• Aceasta înseamnă că datele pot fi găzduite, partajate și accesate - intern
și/sau extern - fără permisiuni stabilite în mod oficial, fără protecții de
securitate sau vizibilitate organizațională.
11. Ce este Shadow IT?
Definiție, Exemple și Riscuri
Partajarea fișierelor
• Partajarea fișierelor este o practică obișnuită de shadow IT care face
companiile vulnerabile în mai multe moduri. Partajarea de fișiere
deschide ușa exfiltrarii de date. Acest lucru poate fi dăunător dacă un
malware face un transfer neautorizat de date. Datele sensibile ale
companiei ar putea fi distruse, vândute sau divulgate. Chiar și în
circumstanțe benigne, linkurile de fișiere ar putea fi partajate accidental
pe rețelele de socializare.
12. Ce este Shadow IT?
Definiție, Exemple și Riscuri
Probleme de conformitate
Deoarece shadow IT renunță la control în favoarea angajaților individuali,
care sunt adesea ocupați sau preocupați de alte lucrur
Noile politici referitoare la modul de conformare la standardele la nivelul
întregii companii, precum și orientările transmise de oficialii
guvernamentali, pot scăpa cu ușurință din vedere unei persoane profund
investite în îndeplinirea altor obiective.
13. Ce este Shadow IT?
Definiție, Exemple și Riscuri
În afară de riscurile de securitate, shadow IT poate îngreuna munca echipelor IT
și de securitate în câteva moduri:
• Extinderea aplicațiilor: Cu cât este mai mare numărul de aplicații și de servicii
conectate la cloud pe care le utilizează COMPANIE, cu atât este mai greu să le
urmăriți. Atunci când angajații adaugă noi instrumente, aplicații și servicii după
bunul plac, fără a implica departamentul IT, acest lucru se poate transforma
rapid într-un joc de astupare a găurilor.
• Securitate: Chiar dacă aplicația specifică nu este în mod notoriu nesigură,
fiecare element IT adăugat fără planificare și considerație reprezintă un posibil
punct de atac.
14. Cum să gestionați Shadow IT
Înăspriți securitatea in retea si pe sistemele IT
Ascultati nevoile angajatilor
Atunci când utilizatorii aleg aplicațiile pe care le doresc, aceștia sunt mai
mult investiți în IT și în munca lor. Utilizarea instrumentelor cu care sunt
familiarizați îi face mai productivi, mai eficienți și mai fericiți la locul de
muncă. De asemenea, o politică indulgentă de shadow IT permite
departamentului IT să se concentreze pe alte sarcini
15. Cum să gestionați Shadow IT
Creați un proces simplu de prezentare pentru angajați. Angajații pot fie să
solicite o anumită funcționalitate, fie să răspundă la întrebări de securitate
și să prezinte un argument pentru un instrument pe care l-au folosit. Acest
proces oferă angajaților o voce și ajută IT-ul să ia o decizie mai rapidă cu
privire la viabilitatea unui instrument.
Publicați în fiecare an o listă de instrumente verificate de IT. Angajații au
în continuare posibilitatea de a alege ce software doresc să utilizeze, dar
vor fi limitați la instrumentele care îndeplinesc deja criteriile de securitate
ale IT.