COVID-19:Tiga Tips Perlindungan Data untuk UE dan Inggris Raya

Ketika bisnis beradaptasi dengan pandemi COVID-19, tantangan mengelola tenaga kerja jarak jauh dan keinginannya akan informasi tentang dampak virus memiliki implikasi perlindungan data yang signifikan. Sementara panduan Badan Perlindungan Data Eropa (“EDPB”) menegaskan bahwa GDPR tidak boleh menghalangi perjuangan melawan pandemi, bahkan di saat-saat yang luar biasa ini, perusahaan harus terus melindungi hak perlindungan data individu.

Kami membagikan di sini tiga kiat teratas kami bagi mereka yang mengawasi kepatuhan perlindungan data, mengacu pada panduan dari EDPB, Inggris, Perancis, otoritas pengawas Jerman dan Irlandia. Tautan ke panduan otoritas lain dapat diakses di sini.

Mengidentifikasi dan Mengatasi Tantangan Keamanan Data Baru . Dengan banyak karyawan sekarang bekerja dari jarak jauh, masalah keamanan data perlu ditangani sebagai persyaratan untuk mempertahankan langkah-langkah teknis dan organisasi yang tepat untuk melindungi data pribadi ( Artikel GDPR 5(1)(f) dan 32 ) berlaku sama di dalam dan di luar kantor. Panduan COVID-19 Kantor Komisaris Informasi Inggris ("ICO") meminta perusahaan untuk " pertimbangkan jenis tindakan keamanan yang sama untuk pekerjaan rumah yang akan Anda gunakan dalam keadaan normal ”.

Oleh karena itu, perusahaan mungkin ingin mengingatkan karyawan tentang perlunya:

• mencegah akses tidak sah ke data pribadi oleh anggota keluarga, teman serumah atau siapa pun di rumah dengan berbagi, praktis, strategi yang mudah diterapkan seperti meletakkan kertas kerja di akhir setiap hari agar tidak terlihat;
• mematuhi aturan keamanan data yang sudah ada sebelumnya saat berada di luar kantor. Sebagai contoh, karyawan tidak boleh menggunakan akun email pribadi untuk bisnis kerja bahkan jika alat akses jarak jauh berada di bawah tekanan; dan
• tetap waspada terhadap peretas yang mencoba mengeksploitasi krisis melalui email phishing dan serangan lainnya, dibahas lebih lanjut dalam daftar periksa keamanan siber COVID-19 kami.

Mengumpulkan, Bagikan dan Simpan Sedikit Informasi yang Diperlukan . Mengumpulkan dan membagikan data terkait COVID-19 perlu dipertimbangkan dengan cermat. Sementara panduan ICO menyatakan bahwa perusahaan dapat secara sah memberi tahu staf tentang kasus COVID-19 di dalam organisasi, itu mengingatkan bisnis untuk berbagi informasi hanya jika benar-benar diperlukan.

ICO menyarankan bahwa penamaan individu yang terkena dampak tidak perlu di sebagian besar konteks dan harus dihindari. Panduan dari Konferensi Perlindungan Data Jerman (Datenschutzkonferenz), sekelompok regulator perlindungan data federal dan negara bagian, mendukung pendekatan ini, menyatakan bahwa identitas individu yang terinfeksi harus dirahasiakan kecuali tidak ada cara lain untuk mengambil tindakan pencegahan untuk melindungi orang lain. Jika penamaan seseorang terbukti tidak dapat dihindari, perusahaan harus mendokumentasikan alasannya dan mengikuti panduan EDPB untuk memberi tahu individu sebelum namanya diungkapkan.

Perusahaan juga harus berhati-hati saat mengumpulkan informasi terkait COVID-19. Meskipun beberapa organisasi akan menerima pengunjung fisik untuk saat ini, mereka yang harus meminta mereka untuk memberikan hanya informasi yang benar-benar diperlukan untuk melindungi tenaga kerja perusahaan. Hal yang sama berlaku untuk karyawan. Panduan ICO menyarankan bahwa masuk akal untuk bertanya kepada orang-orang apakah mereka telah mengunjungi negara-negara tertentu yang terkena virus atau mengalami gejala terkait COVID-19. Demikian pula, bimbingan dari otoritas pengawas Prancis, CNIL, menyarankan bahwa pengusaha dapat mengundang karyawan individu untuk berbagi informasi tentang situasi medis mereka sendiri atau potensi paparan virus, tetapi mengarahkan perusahaan untuk tidak menyebarkan kuesioner medis menyeluruh atau memperkenalkan pemeriksaan suhu wajib.

Terkait, panduan COVID-19 Komisi Perlindungan Data Irlandia mengingatkan perusahaan untuk memenuhi kewajiban transparansi mereka saat mengumpulkan data terkait COVID-19, termasuk mengkomunikasikan dengan jelas tujuan pengumpulan data dan untuk berapa lama data tersebut akan disimpan. Lebih-lebih lagi, setiap data yang dikumpulkan harus dijaga dan dibuang dengan tepat; pedoman Jerman mengingatkan perusahaan bahwa data yang dikumpulkan untuk membantu mengelola krisis ini tidak dapat digunakan untuk tujuan lain yang tidak terkait dan harus dihapus segera setelah tidak lagi diperlukan.

Pertahankan Catatan Terperinci tentang Keputusan dan Dampak Pemrosesan Data Terkait COVID-19 . Sejalan dengan prinsip akuntabilitas GDPR dan persyaratan penyimpanan catatan ( Pasal 5(2) dan 30 ), perusahaan harus mencatat proses pengambilan keputusan yang mendasari tindakan data pribadi terkait COVID-19––dan langkah-langkah yang diambil untuk memastikan kepatuhan perlindungan data. Ini termasuk merekam dasar yang sah untuk memproses data; khas, baik kebutuhan untuk "alasan kepentingan umum di bidang kesehatan masyarakat" ( Pasal 9(2)(i) ) atau keharusan untuk melaksanakan “kewajiban di bidang ketenagakerjaan” di mana undang-undang setempat mengharuskan perusahaan untuk melindungi karyawan mereka ( Pasal 9(2)(b) ).

Tampaknya banyak perusahaan akan merasa kesulitan untuk memenuhi kewajiban perlindungan data mereka - misalnya, menanggapi akses subjek data dan permintaan hak lainnya - karena masalah staf atau teknologi yang disebabkan oleh pandemi. Panduan ICO mengatakan tidak akan menghukum organisasi yang “perlu memprioritaskan area lain atau menyesuaikan pendekatan mereka selama periode yang luar biasa ini.” Mempertimbangkan kemungkinan bahwa otoritas pengawas lainnya mungkin kurang memaafkan, praktik terbaik adalah dengan hati-hati mencatat alasan keterlambatan atau default, dan secara bersamaan untuk mengumpulkan dan memelihara bukti pendukung.