英国审慎监管局(“PRA”)最近对韦兰兹银行(willands Bank)采取了执法行动,部分原因是该银行未能保留高级管理人员和董事交换的与业务相关的信息,受监管的公司可能希望重新审视它们如何处理员工出于工作目的使用个人设备的问题。PRA的强烈批评willands缺乏记录保存政策和程序来管理WhatsApp通信的使用,PRA发现这阻碍了银行的董事会和风险部门有效审查交易,也阻碍了PRA的监督和调查活动。
去年年底有报道称,英国金融市场行为监管局(“FCA”)的监管部门向一些公司发出了关于使用私人“渠道外”消息应用程序的信息请求,这进一步强化了这个问题的重要性。2021年1月,FCA已经突出显示越来越多地使用不受监控或加密的通信工具所带来的挑战和不当行为的风险,强调通信必须被记录和审计。去年,美国有关部门也因同样的问题对一些公司开出了总额近20亿美元的罚单在这里和在这里).
英国的要求是什么?
适用于受监管实体的英国规则并不阻止使用个人设备或即时通讯应用程序开展业务。然而,简而言之,公司有义务:
- 采取一切合理措施,防止员工在公司无法复制的私人设备上发送或接收电子通信;
- 保留与特定但非常广泛的业务活动有关的电子通信副本五年(或根据FCA的要求最多七年);和
- 实施系统和控制,以确保遵守上述监测和记录保存要求(同样的规则也适用于电话交谈)。
企业应该采取什么行动?
根据现有的实践和正在使用的通信工具,可能需要不同的方法。通道外通信可能会继续,但是需要有一些方法来自动记录这些(使用监控软件),或者确保它们被捕获并很快归档(这可能是一个手动过程)。企业应考虑:
- 定期审查和调整其政策和程序,特别是适应新的通信应用程序和不断变化的工作实践;
- 向所有员工清楚地传达任何变更(或加强现有程序),包括高级管理层的说明;
- 要求工作人员提供具体的定期证明,证明他们遵守了这些程序;
- 监督和测试程序的遵守情况,例如,通过抽样测试是否可以在公司的系统和记录中识别与客户或交易对手有关的所有关键通信;
- 检讨使用可下载至员工流动装置的工具以保存业务数据的适当性;和
- 确定历史违规的持续时间和范围,以便他们知道在记录保存中可能存在的差距。
在处理在商业设备上使用新型通信平台时,公司也可能需要考虑类似的问题。
这会引发哪些数据隐私问题?
在制定和实施解决个人设备用于商业目的的政策时,英国的公司需要仔细考虑英国通用数据保护条例(“GDPR”)带来的额外复杂性。不能仅仅因为政策针对个人设备上的商业信息而避免GDPR义务。
建立监控和访问员工个人设备的合法基础可能特别具有挑战性,特别是在这种访问范围广泛或持续进行的情况下。关于同意是否以及何时将成为此类处理的合法基础,以及如果不是,公司可以依赖其他理由(例如遵守法律义务或合法利益所必需的)的情况存在难题。在所有情况下,公司都希望确保他们以直接和透明的方式与员工沟通他们的个人数据是如何处理的,并且考虑到偶然或无意中收集与业务无关的个人数据的风险,要非常谨慎地处理这些数据。
订阅数据博客,请点击这里。
这篇博文的封面是由DALL-E制作的。
