Raspunderea angajatilor in cazul unui data breach, in contextul folosirii tehnologiei mobile
Cu extrem de putine exceptii, business-urile sunt indisolubil legate de tehnologia mobila. Punerea la dispozitia angajatului a unui telefon sau laptop de serviciu nu mai reprezinta de mult un bonus care sa faca diferenta intre angajatori. S-a trecut chiar la etapa urmatoare, aceea in care utilizarea device-urilor personale in interes de serviciu (BYOD) e tot mai des intalnita.
Normalitatea este deci utilizarea tehnologiei mobile in desfasurarea activitatii de serviciu, cu toate beneficiile dar si riscurile aferente, inclusiv acela de incident de securitate cu privire la datele prelucrate cu ajutorul echipamentelor mobile.
In acest context, trebuie sa avem in vedere atat normele aplicabile in domeniul dreptului muncii cat si cele prevazute de legislatia privitoare la protectia datelor cu caracter personal (acolo unde astfel de date sunt prelucrate).
Desi multe dintre afirmatiile facute in acest articol se pot aplica si in cazul folosirii tehnologiei in general de catre salariati, nu doar in cel a folosirii tehnologiei mobile, consideram ca in practica riscurile mai ridicate pentru securitatea datelor il prezinta echipamentele mobile deoarece prezinta in plus si riscuri cum sunt cel de pierdere, de pastrare in locuri necorespunzatoare etc.
Pentru a elimina sau macar a reduce riscul aparitia unor atare incidente, angajatorii ar trebui sa aplice masuri de securitate tehnica si organizatorica. Cu titlu de recomandare, amintim cateva exemple de demersuri ce ar trebui luate de catre angajatori in raport cu propriii angajati:
Normalitatea este deci utilizarea tehnologiei mobile in desfasurarea activitatii de serviciu, cu toate beneficiile dar si riscurile aferente, inclusiv acela de incident de securitate cu privire la datele prelucrate cu ajutorul echipamentelor mobile.
In acest context, trebuie sa avem in vedere atat normele aplicabile in domeniul dreptului muncii cat si cele prevazute de legislatia privitoare la protectia datelor cu caracter personal (acolo unde astfel de date sunt prelucrate).
Desi multe dintre afirmatiile facute in acest articol se pot aplica si in cazul folosirii tehnologiei in general de catre salariati, nu doar in cel a folosirii tehnologiei mobile, consideram ca in practica riscurile mai ridicate pentru securitatea datelor il prezinta echipamentele mobile deoarece prezinta in plus si riscuri cum sunt cel de pierdere, de pastrare in locuri necorespunzatoare etc.
Pentru a elimina sau macar a reduce riscul aparitia unor atare incidente, angajatorii ar trebui sa aplice masuri de securitate tehnica si organizatorica. Cu titlu de recomandare, amintim cateva exemple de demersuri ce ar trebui luate de catre angajatori in raport cu propriii angajati:
- Incheierea unui act aditional la contractul de munca sau includerea unei clauze in contractul de munca, in care sa fie prevazuta obligatia de confidentialitate a acestora in raport cu datele personale prelucrate. Desi aceasta obligatie poate reiesi din cele standard prevazute de Codul Muncii, cu siguranta ca o detaliere care sa faca trimitere expresa la datele cu caracter personal, nu poate avea decat un impact pozitiv asupra angajatorului;
- Stabilirea de politici interne in care modul de folosire al echipamentelor mobile sa fie clar reglementat. Pot fi incluse aspecte precum: interdictia folosirii echipamentelor mobile private in interes de serviciu sau dimpotriva, acordarea unei permisiuni in acest sens dar cu conditia asigurarii securitatii datelor prin programe antivirus performante, aplicarea unui anumit tip de parole etc. si stergerea tuturor informatiilor legate de activitatea sa la incetarea contractului avut cu angajatorul;
- Politicile interne pot face parte din Regulamentul intern al societatii;
- Indicarea faptelor ce constituie abatere disciplinara, respectiv abatere disciplinara grava in cuprinsul Regulamentului intern (fapte ce pot cuprinde situatiile in care masurile de securitate indicate in policitile interne sunt incalcate), impreuna cu sanctiunile aferente conform Codului Muncii;
- Discutarea respectivelor politici cu angajatii, reprezentantii angajatilor sau sindicatul (in functie de situatia de fapt aplicabila la nivelul societatii) si aducerea lor la cunostinta destinatarilor sub semnatura;
- Efectuarea de sedinte de lucru cu angajatii in care sa fie subliniata importanta confidentialitatii si explicate prevederile politicilor interne impreuna cu sanctiunile generate de nerespectarea lor, avand in vedere ca simpla existenta a policilor la nivelul societatii nu poate asigura scopul final reprezentat de aplicarea lor in fapt;
- Efectuarea de audituri periodice care sa asigure verificarea permanenta a respectarii normelor interne, dar si luarea de masuri de remediere si imbunatatire cat mai urgent posibil.
In situatia in care actiunile sau inactiunile unui angajat incalca politicile interne despre care am facut vorbire mai sus, iar acesta fusese informat de angajator cu privire la obligatiile avute si sanctiunile aferente, se va pune problema recuperarii prejudiciului suferit de societate (atat material cat si moral) de la respectivul salariat.
Fara a intra in multe detalii legate de motivarea instantei, Inalta Curte de Casatie si Justitie a statuat in 2019 faptul ca stipularea clauzei penale in contractul individual de munca sau intr-un act aditional al acestuia, prin care este evaluata paguba produsa angajatorului de salariat din vina si in legatura cu munca sa, este interzisa si este sanctionata cu nulitatea clauzei astfel negociate .
Asadar, o atare clauza nu va fi de real folos angajatorului pentru recuperarea prejudiciilor suferite, fiind necesara probarea acestora si a culpei angajatului in fata instantei. Nu se poate insa nega faptul ca prezenta unei clauze penale poate fi un sprijin moral in descurajarea atitudinilor necorespunzatoare ale salariatilor, chiar daca aplicabilitatea sa practica este redusa.
Fara a intra in multe detalii legate de motivarea instantei, Inalta Curte de Casatie si Justitie a statuat in 2019 faptul ca stipularea clauzei penale in contractul individual de munca sau intr-un act aditional al acestuia, prin care este evaluata paguba produsa angajatorului de salariat din vina si in legatura cu munca sa, este interzisa si este sanctionata cu nulitatea clauzei astfel negociate .
Asadar, o atare clauza nu va fi de real folos angajatorului pentru recuperarea prejudiciilor suferite, fiind necesara probarea acestora si a culpei angajatului in fata instantei. Nu se poate insa nega faptul ca prezenta unei clauze penale poate fi un sprijin moral in descurajarea atitudinilor necorespunzatoare ale salariatilor, chiar daca aplicabilitatea sa practica este redusa.
Newsletter PortalProtectiaDatelor.ro
Ramai la curent cu toate solutiile propuse de specialisti.
Aboneaza-te ACUM la Newsletterul PortalProtectiaDatelor.ro si primesti cadou Raportul special "Munca la domiciliu - Aspecte practice privind GDPR"!
Articole similare din categoria Obligatiile persoanelor juridice
31Mai2022
Despre obligatia de informare a persoanelor vizate cu privire la prelucrarea datelor cu caracter personal
de Andrei Savescu
31 Mai 2022
04Apr2022
Despre drepturile operatorilor in confruntarea cu persoanele vizate
de Andrei Savescu
04 Apr 2022
23Feb2022
Problema transparentei in cazul concursurilor pentru ocuparea unor posturi
de Andrei Savescu
23 Feb 2022
03Mar2020
Pastrarea pentru totdeauna a datelor cu caracter personal
de Andrei Savescu
03 Mar 2020
17Mar2019
Completare on-line a formularului privind responsabilul cu protectia datelor
de Laurentiu Petre
17 Mar 2019
Un produs marca