Actualizat în 29 Sep, 2021.

1. Aspecte introductive

Majoritatea companiilor și instituțiilor publice folosesc astăzi WhatsApp-ul în desfășurarea activităților profesionale, acesta devenind cel mai eficient instrument de comunicații electronice de tip chat!

Astfel un grup WhatsApp poate conține numele, prenumele, numărul de telefon, fotografii și multe alte informații a peste 100 de persoane. Iar operatorii folosesc de regulă mai multe grupuri în funcție de echipele de lucru create, relațiile de prietenie legate între angajații operatorului, sau alte considerente.

Toate acestea însă ridică probleme cu privire la protecția datelor cu caracter personal și viața privată.

Vedem tot mai des:

  • sancțiuni aplicate WhatsApp-ului, de sute de milioane de euro, de către diverse autorități de supraveghere din Europa (ex. Autoritatea din Spania, autoritatea din Irlanda etc);
  • procese pe rol și dezbateri cu privire la WhatsApp

Astfel ne putem întreba: este în regulă să folosim acest canal de comunicare în relațiile de muncă?

În următoarele rânduri ne propunem să dăm răspuns la această întrebare:

Premisa de la care suntem nevoiți să plecăm este că WhatsApp-ul deține la acest moment monopolul în domeniul comunicațiilor electronice de tip chat, realitatea vieții impunând folosirea acestuia din raționamente de eficiență – avem telefonul  mereu deschis, internetul pornit și WhatsApp-ul ne informează de îndată despre orice mesaj și notificare primită. Deoarece îl folosim foarte mult în relația cu familia, prietenii și apropiații, căutăm adesea să verificăm mesajele, fiind mereu conectați. Astfel, devine un instrument foarte util în relațiile de muncă, spre deosebire de alte canale (ex. emailul profesional care poate fi accesat doar de la lucru, de pe anumite calculatoare, uneori neputând să răspundem în timp real – pe moment unei provocări).

Chiar dacă sunt ridicate probleme pe diverse capitole cum ar fi: securitatea, confidențialitatea, transparența datelor și transferul acestora, WhatsApp-ul nu încetează să fie cel mai folosit instrument de acest tip.

În acest context rolul GDPR-ului este de a oferi un cadru pentru desfășurarea relațiilor menționate mai sus într-un mod care prezintă un nivel ridicat de protecție a datelor cu caracter personal iar prin amenzile aplicate de către autoritățile de supraveghere, Regulamentul forțează Operatorul (Facebook) să conformeze aceste activități. Nu ne propunem să dezbatem aspectele sancționate sau sancționabile ale acestei rețele ci să vedem cum și în ce fel ne putem folosi de aceasta într-un mod care respectă cât mai mult prevederile GDPR.

Înainte însă ar trebui să răspundem la câteva întrebări:

2. Ce date sunt prelucrate prin WhatsApp?

Ei bine… nu puține! Haideți deci să vedem:

  • Număr de telefon
  • Nume, prenume (dacă se trece)
  • ID-ul dispozitivului
  • ID-ul userului
  • Date referitoare la reclame
  • Locație
  • Adresă de email
  • Contacte
  • Date referitoare la plăți
  • Date referitoare la erori
  • Date referitoare la performanță
  • Fotografie
  • Alte date de conținut – de exemplu:
    • Date medicale
    • Fotografii cu alte persoane vizate
    • Videoclipuri – filmări etc.

3. Este WhatsApp sigur (securizat) pentru folosire în 2021?

WhatsApp-ul ne informează că este folosită o tehnologie de securizare – criptare end-to-end. În acest fel, ne asigură că discuțiile noastre vor rămâne confidențiale chiar și pentru aceștia, Facebook și WhatsApp.

Doar în anumite cazuri speciale în care există o autorizare specifică pot fi verificate conversațiile, pentru a preîntâmpina probleme precum: amenințări, violențe, abuzuri, terorism etc.

Cu toate acestea, WhatsApp se consideră Persoană Împuternicită față de utilizator, pasând responsabilitatea acestuia în ceea ce privește modul și felul în care rețeaua este folosită. Astfel compania care folosește spre exemplu grupuri de WhatsApp va stabili care este scopul pentru care acestea sunt folosite și în ce fel.

Conform Propublica care citează spusele lui Zuckerberg, în mărturie la Senatul SUA în 2018, „Nu vedem niciun conținut în WhatsApp”.

WhatsApp subliniază acest punct atât de consecvent, încât un steag cu o asigurare similară apare automat pe ecran înainte ca utilizatorii să trimită mesaje: „Nimeni din afara acestui chat, nici măcar WhatsApp, nu le poate citi sau asculta.”

Având în vedere aceste asigurări cuprinzătoare, s-ar putea să fiți surprinși să aflați că WhatsApp are peste 1.000 de lucrători contractuali care au acces doar la un subset de mesaje WhatsApp – cele semnalate de utilizatori și redirecționate automat către companie ca fiind posibil abuzive. Revizuirea este un element al unei operațiuni mai largi de monitorizare în cadrul căreia compania revizuiește și materialul care nu este criptat, inclusiv date despre expeditor și contul acestora.

4. Este WhatsApp soluția ideală?

În mod evident, nu este, existând multe semne de întrebare așa cum am menționat la început: referitor la confidențialitatea datelor, la securitatea acestora, la transfer și transparență etc.

Întotdeauna este de preferat o soluție internă – folosirea de companie în mod clasic, contactarea telefonică, crearea de grupuri de discuții de tip chat intern și de ce nu contactul personal cu angajații companiei.

Cu toate acestea este soluția cel mai adesea aleasă datorită modului rapid în care orice fel de informație poate să ajungă de la un utilizator la altul sau la un întreg grup de persoane. În domenii precum cel medical sau în fabrici în procesele de producție, intervenția rapidă în anumite situații poate salva vieți sau poate reduce enorm pagubele produse de o defecțiune.

5. Cum putem ridica nivelul de conformitate în utilizarea WhatsApp-ului?

5.1 Trece această prelucrare în evidența prelucrărilor de date întocmită

Întrucât există o responsabilitate mare în utilizarea acestui canal, este bine să se răspundă la următoarele întrebări:

  • Ce date sunt prelucrate?
  • Care este scopul folosirii acestor date?
  • Cine are acces la date și de ce ?
  • Detalii referitoare la părțile terțe care pot avea acces la date?
  • Cât timp vor fi păstrate datele de pe grupul de WhatsApp?

În funcție de natura și specificul companiei sau instituției în care lucrați, procesul acesta poate să fie mai laborios sau nu.

5.2 Întocmește o procedură de folosire a WhatsApp-ului

În calitate de administrator al companiei sau director de departament poți iniția redactarea unei proceduri pentru utilizarea grupurilor de WhatsApp în cadrul companiei / instituției în care lucrezi.

Această procedură ar trebui să cuprindă detalii la:

  • Dispozitivele pe care vor putea fi folosite grupurile de lucru: ex. aceste grupuri pot fi folosite doar pe dispozitivele puse la dispoziție de companie;
  • Felul în care se adaugă membrii într-un grup: recomandarea noastră este ca invitarea participanților în grupurile de WhatsApp să se realizeze prin distribuirea unui link de invitație din partea administratorului grupului (aici găsiți pașii în concret referitor la crearea grupurilor și invitațiile în grup). În acest fel, ne asigurăm că nu forțăm angajatul să lucreze prin această rețea, și îi oferim și o alternativă.
  • Discuțiile care pot fi inițiate: ex. se va stabili cine are drept de postare – ex. există varianta ca doar administartorul grupului să posteze pe grup, în acest fel limitând orice fel de problematici specifice cu privire la divulgarea eronată a unor date cu caracter personal. Totodată se poate menționa că se vor avea în vedere strict discuții organizatorice / strict anunțuri. De asemenea, putem preciza că nu se vor posta fotografii cu documente ci acestea vor fi trimise prin email, pe WhatsApp doar vom anunța că am trimis etc.
  • Rolul ocupat de către fiecare membru: se va stabili cine este admnistratorul grupului, cine este moderator al acestuia, cine poate șterge postările care nu corespund direcției stabilite de companie etc;
  • Perioada pentru care se vor păstra datele: ex. toate documentele mai vechi de 30 de zile se vor șterge;
  • Condițiile de utilizare a grupului și care sunt aspectele care vor atrage eliminarea din grup;
  • Alte aspecte relevante.

5.3 Informează persoana vizată

Este deosebit de important ca încă de la momentul angajării unui nou coleg, dacă se utilizează grupuri de WhatsApp, acesta ar trebui să fie informat cu privire la acesta: fie că este vorba despre o notă de informare specifică, de luare la cunoștință printr-un alt act de tipul ROI, fie prin aducerea la cunoștință a politicii de confidențialitate pe care am actualizat-o cu privire la lucrul prin grupuri de WhatsApp.

Una peste alta, este important să avem o informare prealabilă bine făcută, astfel încât persoana vizată să aibă așteptări rezonabile cu privire la această prelucrare.

5.4 Instruiește personalul

Aspectul care diminuează riscurile cel mai mult este instruirea persoanelor cu privire la folosirea acestor grupuri. Această instruire ar trebui făcută pentru toți noii angajați pe de o parte, iar pe de altă parte, periodic să le readucem aminte colegilor cum și în ce fel putem folosi această rețea.

5.5 Oferă un nivel de securitate ridicat

Securitatea datelor este o responsabilitate a operatorului (companie, instituție publică de cele mai multe ori). Astfel, recomandarea noastră este să se aibă în vedere:

  • Securizarea rețelelor WIFI folosite;
  • Securizarea dispozitivelor – folosirea de parole;
  • Efectuarea de teste de vulnerabilitate.

Toate acestea te pot scăpa de o amendă!

5.6 Oferă o alternativă

În orice situație recomandăm să se ofere o alternativă! De ce? Deoarece s-ar putea să avem de a face cu angajați care vor refuza utilizarea grupului sau nu o găsesc eficientă și să își exercite un drept de opoziție la această prelucrare.

O alternativă poate fi utilizarea emailului ori rețelelor de comunicații interne ale companiei.

‍6. Rezumat – WhatsApp și GDPR-ul:

Dacă în activitatea dumneavoastră se dorește să se adopte WhatsApp ca un canal de contact și de comunicare, puteți avea în vedere că activitatea dumneavoastră are un nivel mai ridicat de protecție a datelor cu caracter personal realizând următoarele:

  • că știți ce date sunt prelucrate și care sunt acestea
  • că știți ce garanții de securitate oferă rețeaua și ce probleme specifice poate ridica
  • că ați asumat acest lucru printr-o procedură
  • că ați făcut informarea persoanelor vizate
  • că ați realizat instruirea personalului
  • că oferiți o alternativă!

Dacă în procesul de conformare a acestei acțiuni credeți că aveți nevoie de ajutor sau dacă doriți să vă sprijinim în evaluarea și implementarea standardului GDPR în companie, contactați-ne la contact@gdprcomplet.ro