Diferitele aspecte ale whistleblowing și GDPR: ghid pentru companii în informarea persoanelor vizate

Implementarea canalelor interne pentru raportarea ilegalităților de către companii, reglementată de Legea 361/2022 privind protecția avertizorilor în interes public, a generat provocări semnificative. O aria care necesită o atenție specială constă în echilibrarea obligațiilor de protecție a avertizorilor cu cele referitoare la confidențialitate, în cadrul investigării sesizărilor și a respectării normelor de protecție a datelor personale.

Este inevitabil ca unele sesizări ale avertizorilor să conțină informații personale, iar companiile sunt obligate să respecte reglementările GDPR, mai ales în ceea ce privește transparența în prelucrarea acestor date. În consecință, avertizorii și eventualele persoane menționate în rapoarte trebuie informate corect cu privire la modul în care datele lor sunt gestionate.

Dificultatea principală constă în faptul că informațiile pe care companiile le pot primi prin intermediul canalelor interne de raportare nu sunt întotdeauna previzibile, iar acest lucru creează dificultăți în îndeplinirea obligației de informare sub egida GDPR.

Care sunt condițiile pentru asigurarea unei note de informare complete și detaliate?

Nota de informare trebuie să conțină informații specifice conform cerințelor GDPR. Totuși, datele personale pe care avertizorul le poate comunica printr-un canal de raportare sunt variate și depind de specificul sesizării efectuate. Astfel, este o provocare pentru operator să anticipeze toate informațiile care ar putea fi transmise.

Această dificultate este accentuată de recomandările Comitetului European pentru Protecția Datelor (EDPB), care sugerează evitarea termenilor ambigui în notele de informare, cu excepția cazurilor unde demonstrabil nu se poate altfel, pentru a nu compromite echitatea în prelucrarea datelor.

Prin urmare, companiile trebuie să fie atente la modul de prezentare a informațiilor în nota de informare. Totuși, argumentele care justifică utilizarea termenilor ambigui pot fi rezonabile având în vedere lipsa de control asupra informațiilor venite prin raportare.

Companiile ar trebui să facă un efort pentru a enumera diversele categorii de date personale pe care le-ar putea primi și să clarifice că informațiile vor depinde de fiecare caz în parte. De asemenea, pentru a preveni transmiterea de date irrelevante, este benefic să informeze avertizorii, fie în nota de informare, fie în politica de raportare, să evite divulgarea de date sensibile non-relevante.

Când și cum se poate furniza nota de informare?

O provocare practică este stabilirea momentului și a modului corect de transmitere a notei de informare, fiind esențial ca aceasta să fie disponibilă înainte sau în momentul colectării datelor. EDPB recomandă companiilor să asigure un acces continuu și facil la aceste informații pentru persoanele vizate.

Astfel, nota de informare poate fi integrată în politica de raportare a companiei, disponibilă pe intranet sau alte platforme accesibile angajaților.

De asemenea, în funcție de canalul de raportare utilizat, pot fi implementate diverse metode de furnizare a notei de informare în mod eficient, de exemplu:

• în cazul utilizării unei platforme online de raportare, nota de informare poate fi plasată într-o secțiune dedicată;
• în cazul utilizării unei adrese de e-mail, un mesaj automat poate fi trimis avertizorului odată cu primirea sesizării, includând un link către nota de informare;
• în cazul unor linii telefonice, se poate oferi informația esențială verbal, având opțiunea de a oferi detalii suplimentare.

Concluzie

Problemele legate de transparența canalelor de raportare nu au soluții unice. Fiecare companie trebuie să evalueze opțiunile disponibile și să aleagă abordarea care se potrivește cel mai bine nevoilor sale specifice, având în vedere considerente operaționale. Este important totuși ca reglementările interne să abordeze explicit prelucrarea datelor personale în contextul sesizărilor.

Articol redactat de Carla Filip (avocat specializat în protecția datelor), parte a echipei Schoenherr și Asociații SCA.