Etichetă: procedura whistleblowing

Categorii
whistleblowing

Directiva Whistleblowing si procesarea datelor personale conform GDPR

Identificarea datelor personale colectate intr-o sesizare de integritate (Whistleblowing)

 

Datele personale sunt definite ca orice informație care se referă la o persoană identificată sau persoana fizica identificabila. Datele personale nu includ doar informații despre viața privată și viața de familie a individului, dar și informații referitoare la activități, cum ar fi relațiile sale de muncă și comportamentul economic sau social. Aceste aspecte trebuie luate în considerare, de exemplu, atunci când se determină sfera de aplicare a datelor personale ale subiectului si dreptul de acces/rectificare la aceste date personale. În cele mai multe cazuri, in cazul unei sesizari de integritate, datele personale colectate includ date de identificare (de exemplu, detalii de contact), dar și informații care se referă la comportamentul unui individ.

Spre exemplu, sesizarea unui avertizor de integritate include informații care îl identifică pe presupusul acuzat in sezizare și martori. Sesizarea în sine cuprinde de asemenea, informații personale ale avertizorului deoarece se referă la comportamentul său (ca avertizor).

Pe de altă parte, simplul fapt că un nume este menționat într-un document nu face obligatoriu ca toate informațiile conținute în acel document sa fie „date personale referitoare la acea persoană”. În multe situații, informațiile pot fi considerate ca se referă la un individ, doar când este vorba despre acel individ in sesizare (ca martor sau acuzat).

Dreptul la informare al subiectilor unei sesizari de integritate

 

Informațiile privind procedurile de avertizare ar trebui furnizate persoanelor intr-un mod foarte clar, care va implica o procedură în două etape. SE consideră informarea printr-o nota de confidentialitate plasata pe un site web, nu este suficienta, deoarece informațiile ar putea fi trecute cu vederea.

Toate persoanele afectate direct sau indirect de o sesizare de avertizare, ar trebui să fie informate direct, cat mai repede posibil, spre exemplu prin email, printr-o notificare specifica privind protectia datelor personale. Persoanele afectate sunt de obicei avertizori, martori, terți (membri ai personalului organizatiei sau alții care sunt doar citați). și persoana (persoanele) împotriva căruia i s-au făcut acuzaţiile.

Informarea avertizorului de integritate I (cf. art 16)

 

În acest context, este important să fie informati toți cei implicați în avertizare (avertizorii), ca informațiile lor personale vor fi partajate cu potențiali destinatari sau categorii de destinatari. În plus, notificarea privind protecția datelor ar trebui să îi informeze și despre consecințele abuzului procedurii de avertizare (dacă denuntatorul face cu rea vointa o declarație falsă, de exemplu), cum ar fi măsuri disciplinare, amenzi prevazute de lege, sau alte consecinte.

Informarea celui acuzat intr-o sesizare de avertizare Whistleblowing

 

În anumite cazuri, informarea persoanei împotriva căreia s-a făcut o acuzație, intr-un stadiu incipient, poate fi dăunător cazului. În aceste cazuri, informațiile ar putea fi restricționate. Amânarea informarii celui acuzat intr-o procedura Whistleblowing ar trebui să fie hotărâta de la caz la caz. Motivele oricăror restricții asupra dreptului la informare ar trebui să fie documentate. Aceste motive ar trebui să demonstreze, de exemplu, că există un risc mare ca oferirea dreptului de acces ar împiedica procedura de ancheta sau ar submina drepturile și libertatea altora. Motivele ar trebui documentate înainte de decizia de a aplica orice restricție sau amânare a dreptului de acces si informare.

Informarea martorilor intr-o sesizare de avertizare Whistleblowing

Informații specifice despre avertizare ar trebui furnizate cât mai curând posibil practic martorilor, spre exemplu înainte de a fi intervievați de către organizatie.

Informarea tertilor implicati intr-o procedura de avertizare de integritate

 

În funcție de caz, informarea tuturor terților menționați într-o avertizare de integritate, ar putea implica un efort disproporționat. Evaluarea dacă este un effort disproporționat, sau neinformarea terților trebuie efectuată de la caz la caz. Mai mult, în anumite cazuri, informarea persoanelor ar fi in plus, o operație de procesare care ar putea fi mai intruzivă decât cea originală.

Exemplu: Un avertizor atașează raportului de avertizare o listă cu clienții (200 de persoane) ai unui hotel pentru a dovedi că presupusul acuzat se afla în hotel la o anumită dată. Ceilalți 199 de clienți nu au nici o legătura cu cazul, și informațiile acestora nu sunt prelucrate în continuare de către instituție. Ei nu trebuie informati.

Categorii
whistleblowing

Conformitatea GDPR intr-o procedura de avertizare de integritate

Principiul responsabilitatii înseamnă că o oragnizatie trebuie să își respecte obligațiile de protecție a datelor personale și să poată demonstra că o face. (Articolul 4 alineatul (2) și articolul 26 din regulamentul GDPR). Responsabilitatea nu este specifică informațiilor personale în cadrul unei proceduri de avertizare Whistleblowing, ci se aplică tuturor operațiunilor care prelucrează informații personale.

Orice organizatie care colectează, utilizează și stochează (cunoscute în mod colectiv ca procesare) informații personale este responsabilă și răspunzătoare pentru respectarea regulilor de protecție a datelor personale.

În general, oragnizatiile trebuie să fie transparente și explicite cu privire la modul în care prelucrează informațiile personale legate de procedurile de avertizare Whistleblowing. Ele trebuie să-și documenteze politicile și să îi informeze pe utilizatori. Dreptul la confidențialitate și la protecția datelor există și la locul de muncă și oamenii trebuie să fie informați cu privire la procedură. Organizatia nu poate presupune că personalul trebuie sa știe. (Articolul 14 din regulament).

Cel mai bun mod pentru ca o organizatie să fie responsabila, este ca acesta să ia în considerare implicațiile noilor procese în materie de protecție a datelor personale în etapa de proiectare (privacy by design, articolul 27 din regulament). Operațiunile de prelucrare diferite și tehnologiile diferite necesită garanții diferite. Prin implicarea responsabilului cu protecția datelor (DPO) la începutul procesului, aceștia vor putea oferi sfaturi și îndrumări valoroase.

Întrebările enumerate mai jos subliniază principalele probleme de luat în considerare:

  1. Confidențialitate: Cum protejezi persoanele implicate?
  2. Precizați scopul: Când să utilizați canalul de avertizare?
  3. Evitați sa colectati informații excesive: Ce informații sunt necesare în contextual acuzatiilor facute?
  4. Identificați sensul informațiilor personale: Care sunt informațiile personale continute in raportul de avertizare?
  5. Informați fiecare categorie de subiecti: Cine este afectat de avertizarea de integritate?
  6. Ar trebui să se aplice diferite perioade de pastrare a datelor: Cât timp trebuie să păstrez raportul de avertizare si informatiile colectate?
  7. Efectuați o evaluare a riscului de securitate a informațiilor: care sunt potențialele riscuri de securitate pentru informațiile personale conținute în sesizarile de avertizare și cum vei trata aceste riscuri?

Pentru a demonstra responsabilitatea, trebuie intocmite proceduri și implementarea acestora trebuie să fie documentate. Sunt necesare următoarele documente:

  1. o politică sau reguli interne, sau o decizie privind avertizarile de integritate;
  2. limitări ale anumitor drepturi ale persoanelor vizate, motivele pe care se întemeiază limitările și raționamentul in aplicarea unor astfel de restricții;
  3. orice amânare a accesului la informații a subiectilor (în conformitate cu regulile interne);
  4. evaluarea riscurilor efectuată pentru această procedură specifica Whistleblowing.

sursa: www.whistleblow.ro

Categorii
whistleblowing

Evaluarea dreptului de acces la datele personale intr-o procedura Whistleblowing

Atunci când iau în considerare drepturile de acces la datele personale procesate intr-o procedura de avertizare de integritate, ar trebui să ia în considerare statutul solicitantului și etapa anchetei, nivelul și sensibilitatea informațiilor deținute (și orice risc asociat de dezvăluire). Drepturile de acces vor varia în funcție de si dacă cererea este făcută de:

– persoana împotriva căreia s-a făcut o acuzație

– avertizorul de integritate

– un martor

– terți

 

Inainte de aplicarea unei restricții la dreptul la informare si acces (conform GDPR), într-un caz specific, trebuie să fie un faca un test de necesitate și proporționalitate și organizatia trebuie să documenteze motivele care stau la baza deciziei, pentru a fi tinuta responsabila.

Exemplu: Un denunțător (A) raportează o fraudă suspectată de către un coleg și superior (B). După încheierea anchetei, B solicită accesul la datele sale personale prelucrate în acest scop. Părți din afirmațiile făcute de A se califică drept date personale ale lui B. Organizatia ar putea justifica o restricție în temeiul articolului 25 alineatul (1) litera (h) cu privire la faptul că A a furnizat datele și dacă s-ar putea presupune că A a furnizat aceste informații, A ar putea face obiectul represaliilor din partea B. Acest lucru ar trebui să fie documentat intern. În mod evident, lui B nu ar trebui să i se spună că motivul restricției este că A ar putea suferi represalii, deoarece ar anula efectul restricției în conformitate cu articolul 25 alineatul (8). Prin urmare, informațiile comunicate lui B în temeiul articolului 25 alineatul (6) ar trebui formulate într-un mod mai general.

Atunci când se acordă drept de acces la informațiile personale ale oricărei persoane în cauză, informațiile personale ale terților, cum ar fi informatorii, avertizorii sau martorii, ar trebui eliminate din documente, cu excepția unor circumstanțe excepționale, dacă avertizorul autorizează o astfel de dezvăluire, dacă acest lucru este cerut de vreo procedurila penale ulterioara, sau în cazul în care avertizorul face cu rea vointa o declarație falsă.

Dacă exista un risc de identificare al terților, accesul la date ar trebui amânat. Directiva prevede o obligație de confidențialitate (articolul 16 alineatul (1)) cu obligația statelor membre de a se asigura că identitatea persoanei raportoare (avertizorul de integritate) nu este dezvăluită nimănui în afara membrilor personalului autorizat al organizatiei, fără consimțământul explicit al persoanei respective. Acest lucru este deosebit de important pentru a garanta că persoanele sunt protejate de orice riscuri potențiale implicate în dezvăluirea informațiilor lor personale.

Exemplu: Un angajat al UE acuzat de infracțiuni grave solicită instituției toate informațiile personale deținute despre el în legătură cu acuzațiile. O mare parte din aceste informații sunt incluse în mărturiile date de avertizor. Chiar dacă numele avertizorului este șters din aceste documente, identitatea acestora ar putea fi deconspirata prin referire la evenimentele, situațiile și contextele specifice descrise. Astfel, instituția ar trebui să refuze divulgarea acestor informații, justificat de protecția persoanei vizate (Whistleblower) sau a drepturilor și libertăților altora (articolul 25 alineatul (1) litera (h)).

sursa: www.whistleblow.ro