Orice nouă modalitate de acces la datele cu caracter personal implică noi riscuri pentru o organizație, acestea fiind cu mult mai ridicate în cazul în care procedeul în discuție presupune operațiuni de procesare a datelor ce se desfășoară în afara locului în care se desfășoară activitatea în mod normal. Metodele moderne de lucru- munca la domiciliu, în sistem de lucru remote sau “bring your own device”(BYOD), intensifică riscurile generate de expunerea datelor cu caracter personal, principala problemă constând în posibilitatea ca tehnologiile utilizate sa dețină capacitatea de a încălca dreptul la viață privată al angajaților. Desigur, problematica nu se limitează doar la persoana angajatului ce desfășoară munca prin intermediul modalităților menționate, riscurile implicând și utilizarea în alt scop, pierderea ori însușirea ilegală a datelor cu caracter personal utilizate de angajat în desfășurarea activității.
În general, munca la domiciliu ori în sistem de lucru remote presupune ca angajatorul să pună la dispoziția salariatului echipamente IT&C (tehnologie informatică și comunicații) care să îi permită acestuia accesul la rețeaua, sistemele și resursele angajatorului în aceleași condiții pe care le-ar fi avut dacă ar fi desfașurat activitate la locul de muncă obișnuit, fapt ce presupune pentru angajator un risc suplimentar din perspectiva protecției datelor. Aceleași probleme se ridică și în implementarea BYOD, metodă de muncă ce presupune ca angajații să folosească, în desfășurarea activității, propriile device-uri.
Deși aceste metode moderne de muncă pot oferi companiilor angajatoare multiple beneficii, există o serie de probleme de care organizația trebuie să fie conștientă pentru a nu încălca prevederile legale incidente în materia protecției datelor cu caracter personal. Munca flexibilă ori la domiciliu ar putea constitui pentru angajator o justificare în a spori măsurile pentru supravegherea angajaților. Cu toate acestea, metodele ce permit, spre exemplu, supravegherea video a activităților utilizând ecranul computerului sau monitorizarea întregii activități a unui calculator utilizat de angajat-tastatură, parole tastate, capturi de ecran, site-uri vizitate, mișcări ale mouse-ului (proces de keylogging) etc pot apărea ca măsuri disproporționate, fiind foarte puțin probabil ca angajatorul ce recurge la aceste modalități de securitate să poată justifica interesul legitim, cerință impusă, printre altele, de Regulamentul nr. 679 din 27 aprilie 2016 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date şi de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor)-“GDPR”, pentru legalitatea prelucrării. Utilizarea oricărei măsuri de supraveghere a activității angajatului poate ridica probleme cu atât mai mari dacă salariatul utilizează în desfășurarea activității propriul echipament (sistemul BYOD) deoarece fiind un obiect personal, membrii familiei angajatului pot avea acces la device-ul supravegheat, fapt ce poate constitui o încalcare a drepturilor unor alte persoane, independent de cea a salariatului supravegheat.
Pentru reducerea riscurilor generate de metodele moderne de lucru, este necesar ca la nivel de organizație să fie adoptată o strategie bine structurată, relevantă și accesibilă care să conducă la responsabilizarea angajaților ce desfășoară activitate astfel. Indicat este să fie evitată monitorizarea salariaților chiar și în prezența unui consimțamânt expres din partea acestora deoarece conform opiniei majoritare, acesta se poate dovedi a fi insuficient, motivat de faptul că derivă din raportul juridic de muncă, unde angajatul depinde din punct de vedere financiar de angajatorul său. Ar fi necesar, în aceste situații, să existe un interes legitim al organizației angajatoare însă de cele mai multe ori, acesta ridică probleme din perspectiva proporționalității. În vederea implementării unor măsuri eficiente de securitate a datelor cu caracter personal în lumina GDPR, organizațiile pot avea în vedere: întocmirea unor politici interne clare și concrete pentru munca la domiciliu, în sistem de lucru remote ori BYOD care să impună, printre altele, utilizarea unor rețele securizate în desfășurarea activității, măsuri pentru securizarea documentelor, autorizarea accesului la anumite categorii de date strict pentru personalul care trebuie să utilizeze aceste date, organizarea unor sesiuni de training la anumite intervale de timp pentru a permite angajaților să înțeleagă politicile companiei, actualizate conform modificărilor legislației aplicabile și a codurilor de conduită ori a altor practici pe care organizația le implementează precum și orice alte metode ce ajută la responsabilizarea salariaților și la întelegerea importanței protecției datelor cu caracter personal.
