Εκπαίδευση ευαισθητοποίησης σε θέματα πληροφοριών
Ερωτήσεις που πρέπει να απαντηθούν
Ο νόμος περί προστασίας δεδομένων προσφέρει προστασία στον εργαζόμενο και απαριθμεί τους κανόνες που πρέπει να ακολουθούνται από τους εργοδότες κατά τη συλλογή προσωπικών πληροφοριών για τον εργαζόμενο. Κάθε οργανισμός θα πρέπει να διαθέτει ένα πρόγραμμα κανονιστικής συμμόρφωσης το οποίο θα πρέπει να προσφέρει εκπαίδευση στον εργαζόμενο σχετικά με το σύνολο των διατάξεων του νόμου περί προστασίας δεδομένων. Θα πρέπει να σημειωθεί ότι ο νόμος περί προστασίας δεδομένων θεσπίζει κανόνες σε γενικές γραμμές. Κάθε οργανισμός θα πρέπει να διαμορφώνει τις δικές του απαιτήσεις συμμόρφωσης με βάση το δικό του περιβάλλον. Υπάρχουν πολλά ερωτήματα που πρέπει να απαντηθούν και τα οποία θα επιτρέψουν στους εργαζόμενους αλλά και στους εργοδότες να έχουν σαφή εικόνα για τα δικαιώματα και τις υποχρεώσεις τους.
Υπάρχουν περιορισμοί που τίθενται από την DPA σε σχέση με τη συλλογή δεδομένων;
Προβλέπεται ότι ο οργανισμός ή το άτομο που επεξεργάζεται τα δεδομένα προσωπικού χαρακτήρα πρέπει να τηρεί απαρέγκλιτα τις ακόλουθες τρεις αρχές.
Η συλλογή δεδομένων πρέπει να γίνεται με δίκαιο τρόπο και να συμμορφώνεται με όλες τις νομικές διατάξεις.
Ο σκοπός για τον οποίο πρέπει να γίνει η συλλογή δεδομένων πρέπει να προσδιορίζεται σαφώς.
Θα πρέπει να συλλέγονται μόνο τα δεδομένα που είναι σχετικά με το υπό εξέταση ζήτημα.
Είναι υποχρεωτική η ενημέρωση των ατόμων των οποίων τα δεδομένα συλλέγονται;
Ναι, ο εργοδότης οφείλει να ενημερώνει τους πολίτες για το γεγονός ότι συλλέγονται τα δεδομένα τους. Θα πρέπει επίσης να γνωρίζουν τον λόγο για τον οποίο συλλέγονται. Στην πραγματικότητα, ο νόμος ορίζει ότι πρέπει να δίνεται ειδοποίηση πριν από τη συλλογή των δεδομένων. Τα άτομα θα πρέπει να γνωρίζουν τι ακριβώς θα κάνει η εταιρεία με τα δεδομένα που συλλέγονται με αυτόν τον τρόπο. Η ειδοποίηση θα πρέπει να είναι σε γλώσσα που κατανοεί ο εργαζόμενος.
Μπορούν οι πληροφορίες που συλλέγονται με αυτόν τον τρόπο να κοινοποιηθούν σε άλλους;
Όχι, η DPA απαγορεύει τη γνωστοποίηση των πληροφοριών σε άλλα μέρη. Υπάρχουν ορισμένες νομικές εξαιρέσεις για τις οποίες επιτρέπεται η αποκάλυψη. Ο νόμος είναι πολύ σαφής ότι το άτομο πρέπει να ενημερώνεται ειδικά πριν από την κοινοποίηση των δεδομένων σε τρίτους, συμπεριλαμβανομένης της αστυνομίας καθώς και του συστήματος κοινωνικής ασφάλισης. Ο νόμος είναι σαφής σχετικά με το γεγονός ότι απαιτείται ειδική εξουσιοδότηση από την ανώτερη διοίκηση πριν από τη γνωστοποίηση των δεδομένων στις αρχές επιβολής του νόμου καθώς και σε νέους εργοδότες. Μια ακόμη σημαντική πτυχή είναι ότι η αποκάλυψη πρέπει να είναι σχετική με τις απαιτήσεις του οργανισμού που τη ζητά. Οι διαδικασίες δημοσιοποίησης ενδέχεται να διαφέρουν από οργανισμό σε οργανισμό.
Πώς πρέπει να διασφαλίζεται η ασφάλεια των προσωπικών δεδομένων που συλλέγονται με αυτόν τον τρόπο;
Θα πρέπει να υπάρχει ένα καλά διαμορφωμένο έγγραφο πολιτικής στο οποίο θα αναφέρονται οι διαδικασίες που πρέπει να ακολουθούνται για την προστασία των δεδομένων που συλλέγονται. Τα μέτρα ασφαλείας θα πρέπει να συμμορφώνονται με τα διεθνή πρότυπα που ορίζει η νομοθεσία της χώρας. Πολλές φορές τα δεδομένα συλλέγονται για σκοπούς μάρκετινγκ μέσω ιστοσελίδων ηλεκτρονικού εμπορίου. Τα δεδομένα αυτά θα πρέπει επίσης να υπόκεινται σε μέτρα ασφαλείας. Κάθε είδος συλλογής δεδομένων εμπίπτει στην αρμοδιότητα της DPA.
Ποια θα πρέπει να είναι η κατάσταση της συλλογής δεδομένων;
Είναι πρωταρχική ευθύνη του εργοδότη να διασφαλίσει ότι η συλλογή δεδομένων θα πρέπει να επικαιροποιείται όσο το δυνατόν περισσότερο. Ενδέχεται να έχει αλλάξει η διεύθυνση του εργαζομένου. Η επικαιροποίηση των δεδομένων πρέπει να γίνεται όσο το δυνατόν περισσότερο.
Υπάρχει κάποιο χρονικό πλαίσιο για τη διατήρηση των προσωπικών δεδομένων;
Ο νόμος ορίζει με σαφήνεια ότι τα προσωπικά δεδομένα πρέπει να αποθηκεύονται μόνο για όσο χρονικό διάστημα είναι απαραίτητο. Ως εκ τούτου, προβλέπεται ότι όσοι συλλέγουν δεδομένα θα πρέπει να έχουν σαφή πολιτική διατήρησης δεδομένων. Θα πρέπει επίσης να διασφαλίζεται ότι μετά την παρέλευση της απαιτούμενης περιόδου τα δεδομένα θα πρέπει να διαγράφονται οριστικά.
Ποιος πρέπει να γνωρίζει και σε ποιο βαθμό;
Η συλλογή δεδομένων θα πρέπει να έχει συγκεκριμένο σκοπό. Για παράδειγμα, μια τράπεζα ή ένα χρηματοπιστωτικό ίδρυμα που ασχολείται με την επεξεργασία δανείων θα απαιτούσε ορισμένα επιπλέον προσωπικά δεδομένα, ενώ μια εταιρεία μάρκετινγκ όχι. Συνεπώς, η απαίτηση της εταιρείας επεξεργασίας δανείων θα ήταν διαφορετική από εκείνη μιας εταιρείας εμπορίας δανείων. Η υπερβολική ανταλλαγή πληροφοριών απαγορεύεται από το νόμο. Αυτό ισχύει περισσότερο εάν οι πληροφορίες που ζητούνται είναι για εθνικούς λόγους. Τα πολιτικά και θρησκευτικά ζητήματα είναι ευαίσθητα και ως εκ τούτου θα πρέπει να αντιμετωπίζονται προσεκτικά. Ομοίως, θέματα που αφορούν την υγεία ή τις σεξουαλικές προτιμήσεις πρέπει να αντιμετωπίζονται με διαφορετικό τρόπο, ώστε να μην πληγώνονται συναισθήματα.
Πώς πρέπει να διασφαλίζεται ότι τα δεδομένα που είναι αποθηκευμένα σε υπολογιστές ή άλλες φορητές συσκευές είναι ασφαλή και απαραβίαστα;
Ο καλύτερος τρόπος για την ασφάλεια των δεδομένων που αποθηκεύονται ηλεκτρονικά είναι η κρυπτογράφησή τους. Με αυτόν τον τρόπο γίνονται απαραβίαστα και δεν μπορούν να κλαπούν με εύκολο τρόπο. Η εταιρεία συλλογής πρέπει επίσης να φροντίζει ώστε οι εν λόγω μηχανισμοί ασφαλείας να ενημερώνονται συνεχώς, καθώς η τεχνολογία αναπτύσσεται με τρομερούς ρυθμούς. Τα δεδομένα αυτά μπορούν επίσης να αποθηκεύονται σε έναν διακομιστή cloud, ώστε η ανάκτηση να γίνεται εύκολα σε περίπτωση που η συσκευή κλαπεί ή καταστραφεί.
Στην περίπτωση του προσωπικού, είναι σκόπιμο να παρακολουθούνται οι κινήσεις του με τη χρήση CCTV ή σαρωτών ηλεκτρονικού ταχυδρομείου;
Η δραστηριότητα του προσωπικού μπορεί να παρακολουθείται, αλλά θα πρέπει να σημειωθεί ότι θα ισχύουν οι διατάξεις της DPA και ότι ο εργοδότης δεν θα πρέπει να παραβιάζει τα δικαιώματα ιδιωτικότητας του εργαζομένου. Ναι, μπορούν να χρησιμοποιηθούν CCTV καθώς και σαρωτές ηλεκτρονικού ταχυδρομείου, υπό την προϋπόθεση ότι συμμορφώνονται με τους κανόνες και τους κανονισμούς που έχουν θεσπιστεί από την DPA. Είναι αυτονόητο ότι το προσωπικό θα πρέπει να γνωρίζει τα εν λόγω μέτρα παρακολούθησης. Μόνο όταν η ακεραιότητα του προσωπικού φαίνεται ύποπτη, ο εργοδότης μπορεί να καταφύγει σε μυστική παρακολούθηση. Έχουν θεσπιστεί συγκεκριμένοι κανόνες για το σκοπό αυτό και θα πρέπει να τηρούνται από κάθε άποψη.
Συνιστάται να λαμβάνετε νομική συμβουλή πριν καταφύγετε σε μυστική παρακολούθηση. 10. Ποια είναι η διαδικασία που πρέπει να ακολουθηθεί σε περίπτωση παραβίασης δεδομένων παρά τη λήψη όλων των διαδικασιών; Η διασφάλιση της ασφάλειας της συλλογής δεδομένων προσωπικού χαρακτήρα αποτελεί πρωταρχική ευθύνη των υπευθύνων επεξεργασίας δεδομένων. Όσον αφορά την αναφορά των παραβιάσεων, δεν υπάρχει κανένας αυστηρός κανόνας σχετικά με το ποιος πρέπει να αναφέρει την παραβίαση των δεδομένων. Είναι πάντα καλύτερο να γνωστοποιείται η παραβίαση στην ICO.
Συμπέρασμα
Πρόκειται για ορισμένα ερωτήματα που απαιτούσαν άμεση διευκρίνιση σε σχέση με θέματα συλλογής προσωπικών δεδομένων.