Formazione sulla consapevolezza delle informazioni
Domande a cui è necessario rispondere
La legge sulla protezione dei dati offre protezione ai dipendenti ed elenca le regole che devono essere seguite dai datori di lavoro quando raccolgono informazioni private sui dipendenti. Ogni organizzazione dovrebbe avere un programma di conformità normativa che offra ai dipendenti una formazione sulle disposizioni della legge sulla protezione dei dati. Va notato che la legge sulla protezione dei dati stabilisce regole generali. Ogni organizzazione deve definire i propri requisiti di conformità in base al proprio ambiente. Ci sono molte domande a cui bisogna rispondere per consentire ai dipendenti e ai datori di lavoro di avere un'idea chiara dei loro diritti e delle loro responsabilità.
Ci sono limitazioni imposte dalla DPA in relazione alla raccolta dei dati?
Si stabilisce che l'organizzazione o l'individuo che tratta i dati personali deve attenersi scrupolosamente ai tre principi seguenti.
La raccolta dei dati deve avvenire in modo corretto e deve essere conforme a tutte le disposizioni di legge.
Lo scopo per cui la raccolta dei dati deve essere effettuata deve essere chiaramente specificato.
È necessario raccogliere solo i dati rilevanti per il problema in questione.
È obbligatorio informare le persone di cui si raccolgono i dati?
Sì, il datore di lavoro è tenuto a informare le persone del fatto che i loro dati vengono raccolti. Inoltre, devono sapere il motivo per cui vengono raccolti. La legge stabilisce infatti che prima della raccolta dei dati deve essere dato un avviso. Le persone devono sapere che cosa farà esattamente l'azienda con i dati raccolti. L'avviso deve essere redatto in una lingua comprensibile per il dipendente.
Le informazioni così raccolte possono essere divulgate a terzi?
No, la DPA vieta la divulgazione delle informazioni ad altre parti. Esistono alcune esenzioni legali per le quali la divulgazione è consentita. La legge è molto chiara sul fatto che l'individuo deve essere specificamente informato prima che i dati vengano condivisi con terze parti, tra cui la polizia e il sistema di sicurezza sociale. La legge è esplicita sul fatto che è necessaria un'autorizzazione specifica da parte del senior management prima della divulgazione dei dati alle autorità di polizia e ai nuovi datori di lavoro. Un altro aspetto importante è che la divulgazione deve essere pertinente alle esigenze dell'organizzazione che la richiede. Le procedure di divulgazione possono variare da organizzazione a organizzazione.
Come garantire la sicurezza dei dati personali così raccolti?
Dovrebbe esistere un documento programmatico ben strutturato che elenchi le procedure da seguire per la protezione dei dati raccolti. Le misure di sicurezza devono essere conformi agli standard internazionali stabiliti dalla legge del paese. Spesso i dati vengono raccolti per scopi di marketing attraverso i siti web di e-commerce. Anche questi dati devono essere soggetti a misure di sicurezza. Ogni tipo di raccolta di dati rientra nel campo di applicazione della DPA.
Quale dovrebbe essere lo stato della raccolta dei dati?
È responsabilità primaria del datore di lavoro assicurarsi che la raccolta dei dati sia aggiornata il più possibile. Può capitare che il dipendente abbia cambiato indirizzo. L'aggiornamento dei dati deve essere fatto il più possibile.
Esiste un periodo di tempo per la conservazione dei dati personali?
La legge stabilisce chiaramente che i dati personali devono essere conservati solo per il tempo necessario. È quindi previsto che coloro che raccolgono i dati debbano avere una politica di conservazione dei dati ben definita. Si dovrebbe inoltre garantire che, allo scadere del periodo richiesto, i dati vengano cancellati in modo permanente.
Chi deve saperlo e in che misura?
La raccolta dei dati deve essere specifica per ogni scopo. Ad esempio, una banca o un istituto finanziario che si occupa di elaborazione di prestiti richiederà alcuni dati personali supplementari che una società di marketing non richiederà. Pertanto, i requisiti della società che elabora i prestiti sarebbero diversi da quelli di una società di marketing. La legge vieta la condivisione eccessiva di informazioni. Ciò vale soprattutto se le informazioni richieste sono per motivi etnici. Le questioni politiche e religiose sono delicate e quindi devono essere gestite con attenzione. Allo stesso modo, le questioni relative alla salute o alle preferenze sessuali devono essere trattate in modo diverso per non ferire alcun sentimento.
Come si deve garantire che i dati memorizzati nei computer o in altri dispositivi portatili siano sicuri e a prova di manomissione?
Il modo migliore per proteggere i dati archiviati elettronicamente è quello di crittografarli. In questo modo diventano a prova di manomissione e non possono essere rubati in modo semplice. La società di riscossione deve inoltre prestare attenzione a che tali meccanismi di sicurezza siano costantemente aggiornati, poiché la tecnologia cresce a ritmi impressionanti. Tali dati possono anche essere archiviati in un server cloud, in modo da facilitarne il recupero in caso di furto o danneggiamento del dispositivo.
Nel caso del personale, è opportuno monitorare i loro movimenti utilizzando telecamere a circuito chiuso o scanner di posta elettronica?
L'attività del personale può essere monitorata, ma va notato che si applicano le disposizioni del DPA e il datore di lavoro non deve violare i diritti alla privacy del dipendente. È possibile utilizzare le telecamere a circuito chiuso e gli scanner per la posta elettronica, a condizione che siano conformi alle norme e ai regolamenti stabiliti dal DPA. Va da sé che il personale deve essere a conoscenza di tali misure di monitoraggio. È solo quando l'integrità del personale sembra sospetta che il datore di lavoro può ricorrere al monitoraggio occulto. A tal fine sono state stabilite regole specifiche che devono essere seguite in ogni loro aspetto.
È consigliabile ottenere una consulenza legale prima di ricorrere al monitoraggio occulto. 10. Qual è la procedura da seguire in caso di violazione dei dati nonostante l'adozione di tutte le procedure? Garantire la sicurezza della raccolta dei dati personali è la principale responsabilità dei responsabili del trattamento. Per quanto riguarda la segnalazione delle violazioni, non esiste una regola ferrea che stabilisca chi debba segnalare la violazione dei dati. È sempre meglio se la violazione viene portata a conoscenza dell'ICO.
Conclusione
Si trattava di alcune domande che richiedevano un chiarimento immediato in relazione a questioni di raccolta di dati personali.