Інформаційно-просвітницький тренінг
Питання, на які потрібно відповісти
Закон про захист даних забезпечує захист працівника і визначає правила, яких повинні дотримуватися роботодавці при зборі приватної інформації про працівника. Кожна організація повинна мати програму дотримання нормативних вимог, яка повинна передбачати навчання працівників щодо всіх положень Закону про захист даних. Слід зазначити, що Закон про захист даних встановлює загальні правила. Кожна організація повинна сформулювати свої власні вимоги щодо дотримання вимог, виходячи з власного середовища. Існує багато питань, на які необхідно відповісти, щоб працівники та роботодавці мали чітке уявлення про свої права та обов'язки.
Чи існують якісь обмеження, висунуті DPA у зв'язку зі збором даних?
Передбачено, що організація або фізична особа, яка обробляє персональні дані, повинна неухильно дотримуватися наступних трьох принципів.
Збір даних повинен здійснюватися у чесний спосіб і відповідати всім правовим нормам.
Необхідно чітко визначити мету, з якою має здійснюватися збір даних.
Слід збирати лише ті дані, які мають відношення до питання, що розглядається.
Чи є обов'язковим інформування осіб, чиї дані збираються?
Так, з боку роботодавця обов'язковим є інформування людей про те, що їхні дані збираються. Вони також повинні знати, чому ці дані збираються. Фактично, Закон передбачає, що повідомлення повинно бути надано до початку збору даних. Особи повинні знати, що саме компанія буде робити з зібраними даними. Повідомлення повинно бути складено мовою, яку розуміє працівник.
Чи може зібрана таким чином інформація бути розголошена іншим особам?
Ні, DPA забороняє розголошення інформації іншим сторонам. Існують певні юридичні винятки, за яких розкриття інформації дозволяється. Закон дуже чітко визначає, що особа повинна бути спеціально поінформована перед тим, як її дані будуть передані третім особам, включаючи поліцію, а також систему соціального забезпечення. Закон чітко вказує на те, що для розкриття даних правоохоронним органам, а також новим роботодавцям потрібен спеціальний дозвіл від вищого керівництва. Ще одним важливим аспектом є те, що розкриття інформації повинно відповідати вимогам організації, яка її запитує. Процедури розкриття інформації можуть відрізнятися в різних організаціях.
Як забезпечити безпеку зібраних таким чином персональних даних?
Повинен існувати чітко сформульований програмний документ, в якому мають бути викладені процедури, яких слід дотримуватися для захисту зібраних даних. Заходи безпеки повинні відповідати міжнародним стандартам, встановленим національним законодавством. Часто дані збираються в маркетингових цілях через веб-сайти електронної комерції. Такі дані також повинні підлягати заходам безпеки. Кожен вид збору даних підпадає під сферу компетенції DPA.
Яким має бути стан збору даних?
Першочерговим обов'язком роботодавця є забезпечення того, щоб збір даних оновлювався якомога частіше. Може статися так, що працівник міг змінити свою адресу. Оновлення даних повинно відбуватися якомога частіше.
Чи існує термін зберігання персональних даних?
У законі дуже чітко зазначено, що персональні дані повинні зберігатися лише стільки, скільки це необхідно. Тому передбачається, що ті, хто збирає дані, повинні мати чітку політику зберігання даних. Слід також забезпечити, щоб після закінчення необхідного терміну дані були остаточно знищені.
Хто і в якому обсязі повинен знати?
Збір даних має бути цілеспрямованим. Наприклад, банк або фінансова установа, що займається обробкою кредитів, вимагатиме певні додаткові персональні дані, які не вимагатиме маркетингова компанія. Таким чином, вимоги компанії, що займається обробкою кредитів, будуть відрізнятися від вимог компанії, що займається маркетингом кредитів. Надмірний обмін інформацією заборонений законом. Це тим більше стосується випадків, коли інформація запитується з етнічних причин. Політичні та релігійні питання є делікатними і тому повинні розглядатися з особливою обережністю. Аналогічно, питання, що стосуються здоров'я або сексуальних уподобань, повинні вирішуватися зовсім по-іншому, щоб не зачепити жодних почуттів.
Яким чином слід забезпечити, щоб дані, які зберігаються в комп'ютерах або інших портативних пристроях, були безпечними та захищеними від несанкціонованого втручання?
Найкращий спосіб захистити дані, що зберігаються в електронному вигляді, - це зашифрувати їх. Таким чином вони стають захищеними від несанкціонованого доступу і не можуть бути легко викрадені. Компанія, що займається збором даних, повинна також подбати про те, щоб такі механізми безпеки постійно оновлювалися, оскільки технології розвиваються величезними темпами. Такі дані можуть також зберігатися на хмарному сервері, щоб полегшити їх пошук у разі крадіжки або пошкодження пристрою.
У випадку персоналу, чи доцільно контролювати їх пересування за допомогою систем відеоспостереження або сканерів електронної пошти?
Діяльність персоналу може контролюватися, але слід зазначити, що положення DPA будуть застосовуватися, і роботодавець не повинен порушувати права працівника на недоторканність приватного життя. Так, можуть використовуватися засоби відеоспостереження, а також сканери електронної пошти за умови, що вони відповідають нормам і правилам, встановленим DPA. Само собою зрозуміло, що персонал повинен бути обізнаний про такі заходи моніторингу. Лише тоді, коли доброчесність персоналу викликає підозру, роботодавець може вдатися до прихованого моніторингу. Для цього встановлені конкретні правила, яких слід дотримуватися в усіх відношеннях.
Доцільно отримати юридичну консультацію перед тим, як вдаватися до негласного моніторингу. 10. Якої процедури слід дотримуватися у випадку витоку даних, незважаючи на виконання всіх процедур? Забезпечення безпеки збору персональних даних є основним обов'язком контролерів даних. Що стосується повідомлення про порушення, то не існує жорсткого і швидкого правила щодо того, кому слід повідомляти про порушення даних. Завжди краще, якщо порушення буде доведено до відома ICO.
Висновок
Це були деякі питання, які потребували негайного роз'яснення у зв'язку з проблемами збору персональних даних.