COVID-19 :trois conseils sur la protection des données pour l'UE et le Royaume-Uni
Alors que les entreprises s'adaptent à la pandémie de COVID-19, les défis de la gestion d'une main-d'œuvre distante et son désir d'informations sur l'impact du virus ont des implications importantes en matière de protection des données. Alors que les orientations du Comité européen de la protection des données (« EDPB ») confirment que le RGPD ne doit pas entraver la lutte contre la pandémie, même en ces temps exceptionnels, les entreprises doivent continuer à protéger les droits des personnes en matière de protection des données.
Nous partageons ici nos trois meilleurs conseils pour ceux qui supervisent la conformité à la protection des données, en s'appuyant sur les orientations de l'EDPB, ROYAUME-UNI, Français, autorités de contrôle allemandes et irlandaises. Des liens vers les directives d'autres autorités sont accessibles ici.
Identifier et relever les nouveaux défis en matière de sécurité des données . Avec de nombreux employés travaillant désormais à distance, les problèmes de sécurité des données doivent être traités comme l'exigence de maintenir des mesures techniques et organisationnelles appropriées pour protéger les données personnelles ( Articles 5(1)(f) et 32 du RGPD ) s'applique aussi bien à l'intérieur qu'à l'extérieur du bureau. Les directives COVID-19 du UK Information Commissioner's Office (l'« ICO ») appellent les entreprises à « envisager les mêmes types de mesures de sécurité pour le travail à domicile que vous utiliseriez dans des circonstances normales ”.
Les entreprises peuvent donc vouloir rappeler aux employés la nécessité de :
- empêcher l'accès non autorisé aux données personnelles par les membres de la famille, colocataires ou toute autre personne de la maison en partageant, pratique, des stratégies faciles à mettre en œuvre telles que le fait de ranger les documents de travail à la fin de chaque journée hors de vue ;
- respecter les règles de sécurité des données préexistantes en dehors du bureau. Par exemple, les employés ne doivent pas utiliser de comptes de messagerie personnels à des fins professionnelles, même si les outils d'accès à distance sont sous pression ; et
- rester vigilant face aux pirates qui tentent d'exploiter la crise par le biais d'e-mails de phishing et d'autres attaques, discuté plus en détail dans notre liste de contrôle de cybersécurité COVID-19.
Collecter, Partagez et conservez le moins d'informations nécessaires . La collecte et le partage de données liées au COVID-19 doivent être soigneusement examinés. Bien que les directives de l'ICO indiquent que les entreprises peuvent légalement tenir le personnel informé des cas de COVID-19 au sein de l'organisation, il rappelle aux entreprises de partager des informations uniquement lorsque cela est vraiment nécessaire.
L'ICO suggère que nommer les personnes concernées est inutile dans la plupart des contextes et devrait être évité. Orientations de la Conférence allemande sur la protection des données (Datenschutzkonferenz), un groupe de régulateurs fédéraux et étatiques de la protection des données, soutient cette approche, indiquant que l'identité d'une personne infectée doit rester confidentielle à moins qu'il n'y ait aucun autre moyen de prendre des précautions pour protéger les autres. Si nommer une personne s'avère inévitable, les entreprises doivent documenter la raison et suivre les directives de l'EDPB pour informer la personne avant que son nom ne soit divulgué.
Les entreprises doivent également faire preuve de circonspection lors de la collecte d'informations liées au COVID-19. Bien que peu d'organisations reçoivent des visiteurs physiques pour le moment, ceux qui le sont doivent leur demander de ne fournir que les informations réellement nécessaires à la protection des salariés de l'entreprise. Il en va de même pour les salariés. Les directives de l'ICO suggèrent qu'il est raisonnable de demander aux gens s'ils ont visité des pays spécifiés touchés par le virus ou s'ils présentent des symptômes liés au COVID-19. De la même manière, les orientations de l'autorité de tutelle française, la CNIL, suggère que les employeurs peuvent inviter des employés individuels à partager des informations sur leur propre situation médicale ou leur exposition potentielle au virus, mais ordonne aux entreprises de ne pas déployer de questionnaires médicaux généraux ou d'introduire des contrôles de température obligatoires.
En relation, les directives COVID-19 de la Commission irlandaise de protection des données rappellent aux entreprises de s'acquitter de leurs obligations de transparence lors de la collecte de données liées au COVID-19, y compris en communiquant clairement la finalité pour laquelle les données sont collectées et pendant combien de temps elles seront conservées. Par ailleurs, toutes les données collectées doivent être protégées et éliminées de manière appropriée ; les directives allemandes rappellent aux entreprises que les données collectées pour aider à gérer cette crise ne peuvent pas être utilisées à d'autres fins non liées et doivent être supprimées dès qu'elles ne sont plus nécessaires.
Tenir des registres détaillés des décisions et de l'impact du traitement des données liées à la COVID-19 . Conformément au principe de responsabilité du RGPD et aux exigences de tenue de registres ( Articles 5(2) et 30 ), les entreprises doivent enregistrer le processus décisionnel sous-jacent aux mesures relatives aux données personnelles liées au COVID-19 et aux mesures prises pour garantir la conformité en matière de protection des données. Cela inclut l'enregistrement de la base légale pour le traitement des données ; typiquement, soit nécessité pour « raisons d'intérêt public dans le domaine de la santé publique » ( Article 9, paragraphe 2, point i) ) ou la nécessité de s'acquitter des « obligations dans le domaine de l'emploi » lorsque les lois locales obligent les entreprises à protéger leurs employés ( Article 9, paragraphe 2, point b) ).
Il semble probable que de nombreuses entreprises auront du mal à respecter leurs obligations en matière de protection des données - par exemple, répondre aux demandes d'accès des personnes concernées et à d'autres droits - en raison de problèmes de personnel ou technologiques causés par la pandémie. Les directives de l'ICO indiquent qu'elles ne puniront pas les organisations qui « doivent prioriser d'autres domaines ou adapter leur approche pendant cette période extraordinaire ». Considérant la possibilité que d'autres autorités de contrôle soient moins indulgentes, une bonne pratique serait d'enregistrer soigneusement les raisons de tout retard ou défaut, et simultanément de recueillir et de conserver des preuves à l'appui.
-
Qu'est-ce qu'un tirage maximum ?
Un maximum drawdown (MDD) mesure la baisse maximale de la valeur de linvestissement, tel que donné par la différence entre la valeur du creux le plus bas et celle du pic le plus haut avant le creux. L
-
Combien d'argent gagne un homme en pension ?
Vous vous demandez combien vous pouvez gagner avec un salaire dhomme de pension? La reprise de possession - lacte de reprendre la propriété dun individu qui na pas rempli un contrat négocié - est un a
-
Maintenir le crédit d'impôt pour enfants entièrement remboursable pourrait réduire les taux de pauvreté de 19 %
Beaucoup ou tous les produits ici proviennent de nos partenaires qui nous paient une commission. Cest comme ça quon gagne de largent. Mais notre intégrité éditoriale garantit que les opinions de nos e
-
Comment garder les espèces en sécurité
Gardez largent en sécurité Si vous avez hérité dune somme dargent ou avez travaillé dur pour économiser de largent, vous voulez garder largent en sécurité. Vous ne voulez pas placer votre argent dans
Fonds d'investissement privés
- La réglementation des fonds de sociétés en commandite de Hong Kong attire un flot de capitaux privés
- Enthousiasme des investisseurs alors que Hong Kong rejoint la liste australienne d'échange d'informations
- Divulgations financières liées au climat au Royaume-Uni - Impact sur les gestionnaires d'actifs
- Pourquoi l'externalisation stratégique doit être au cœur de votre entreprise
- Popularité croissante du véhicule belge Private Equity Fund ‘Private Privak’
- Vous cherchez vers l'ouest ? L'impact du projet de loi sur l'insolvabilité et la gouvernance des entreprises sur le cadre de l'insolvabilité au Royaume-Uni
-
Que sont les indicateurs commerciaux ? Les métriques métier quantifient un processus métier ou une caractéristique de la performance dun processus métier. Ils suivent la performance des processus métier dans divers domaines, comme les fina...
-
Comment COVID a remanié nos portefeuilles Nous savions dès le début de cette pandémie que nous devions modifier radicalement la façon dont nous dépensons largent. Quil sagisse dessayer de déterminer si nous devons acheter un bidet ou simpleme...
-
Autour du monde, les régulateurs réalisent que Bitcoin cest de largent Le traitement fiscal des monnaies numériques est un défi pour les gouvernements du monde entier, comme cest le cas pour dautres aspects de léc...
-
Comment annuler votre adhésion légale prépayée Prepaid Legal Services Inc. fournit des services juridiques à 1,5 million de familles aux États-Unis. Les gens sinquiètent du coût imprévu des frais juridiques. Prepaid Legal Services Inc. a été lune...