GDPR и подаването на сигнали: какво трябва да знаете #
Всеки сигнал съдържа лични данни. Подателят може да посочи своето име. В сигнала обичайно се назовава и лицето, обвинено в нарушение. Действията на обработващия се записват. Всичко това представлява лични данни по смисъла на GDPR.
Това създава реално напрежение, с което специалистите по съответствие работят ежедневно: Директива (ЕС) 2019/1937 изисква да приемате и съхранявате сигнали, а GDPR изисква да имате правно основание, да свеждате данните до необходимия минимум и да ги изтривате, когато вече не са нужни.
Ето как взаимодействат двете рамки и какво означава това на практика.
Какви лични данни съдържа един сигнал? #
Повече, отколкото често се предполага:
| Данни | Източник | Категория по GDPR |
|---|---|---|
| Име на подателя, ако е посочено | Доброволно | Лични данни |
| Данни за контакт на подателя, ако са посочени | Доброволно | Лични данни |
| Име на обвиненото лице | Съдържание на сигнала | Лични данни на трето лице |
| Описание на предполагаемото нарушение | Съдържание на сигнала | Възможно е да включва специални категории данни по чл. 9 или данни за престъпления по чл. 10 |
| Качени файлове | Подател | Могат да съдържат метаданни |
| Действия и бележки на обработващия | Управление на случая | Лични данни |
| Времеви отметки и одитна следа | Система | Лични данни |
Ако сигналът засяга тормоз, дискриминация или здравословни въпроси, той може да съдържа специални категории данни по член 9 от GDPR. Сигнали с твърдения за престъпления попадат и в режима на член 10.
Какво е правното основание за обработване? #
Нужно е валидно основание по член 6 от GDPR за обработването на лични данни в сигнали. Най-често използваните основания са:
Член 6(1)(c) — правно задължение #
Това е основното основание. Директива (ЕС) 2019/1937 и националните закони за транспониране създават правно задължение за поддържане на канал за подаване на сигнали. Обработването на лични данни е необходимо, за да изпълните това задължение.
То обхваща:
- приемане на сигнала
- защитено съхранение
- проверка на твърденията
- комуникация с подателя
- поддържане на одитна следа
Член 6(1)(f) — легитимен интерес #
Някои организации използват легитимен интерес като допълнително основание за обработване, което надхвърля минималните изисквания на Директивата, например вътрешен анализ или отчетност по тенденции. Това изисква оценка на легитимния интерес и балансиращ тест.
Член 6(1)(e) — задача от обществен интерес #
Организациите от публичния сектор могат да се позовават на обществен интерес, особено когато националното право изрично допуска такова обработване за целите на защита на подателите на сигнали.
А какво става със съгласието? #
Не разчитайте на съгласие. Поради зависимостта между подател и работодател, съгласието рядко може да се счита за свободно дадено. Подходящото основание е правното задължение по член 6(1)(c).
Анонимни сигнали и GDPR #
Това е един от най-честите въпроси: ако сигналът е действително анонимен, прилага ли се GDPR?
Ако подателят не може да бъде идентифициран, GDPR не се прилага по отношение на него #
GDPR се прилага за данни, които се отнасят до идентифицирано или подлежащо на идентифициране лице. Ако подателят не предостави име, имейл или друг идентификатор и системата не записва IP адрес или друга идентифицираща информация, съдържанието на сигнала не е лични данни по отношение на самия подател.
Но:
- обвиненото лице в сигнала остава идентифицируемо и GDPR се прилага изцяло за неговите данни
- ако съдържанието съдържа подробности, чрез които подателят може косвено да бъде разпознат, GDPR все пак може да се приложи и спрямо него
Какво изисква анонимността на техническо ниво #
За да издържи анонимността и от гледна точка на GDPR, инструментът трябва:
- да не записва IP адреси
- да не изисква акаунт или имейл
- да премахва метаданни от файлове
- да не използва аналитични или проследяващи бисквитки в портала
Ако инструментът прави нещо от горното, вие обработвате псевдонимизирани, а не анонимни данни и GDPR се прилага в пълен обем.
Минимизиране на данните #
Директивата изисква канал за подаване на сигнали. Тя не изисква да събирате повече данни от необходимото.
На практика:
- самоличността на подателя трябва да е по избор
- формулярът трябва да събира само необходимото
- бележките на обработващия трябва да са относими към проверката
Правата на обвиненото лице #
Тук нещата стават по-сложни. Лицето, посочено в сигнала, има права по GDPR — включително право на информация, достъп и изтриване.
Но упражняването на тези права не може да компрометира поверителността на подателя съгласно член 16 от Директивата.
Право на информация #
По GDPR трябва да информирате лицето, че обработвате негови данни. Но изискването за поверителност на подателя налага ограничения:
- можете да уведомите обвиненото лице, че е подаден сигнал, само ако това не разкрива самоличността на подателя
- моментът е важен: в много държави уведомяването може да бъде отложено, докато това вече не застрашава проверката
Право на достъп #
Обвиненото лице може да поиска достъп до данните за него. Трябва да ги предоставите, но да редактирате всяка информация, която може да разкрие подателя.
Право на изтриване #
Обвиненото лице не може да поиска изтриване на сигнал, който е част от текуща проверка или трябва да бъде запазен по силата на правно задължение.
Срокове за съхранение #
Директивата изисква да се поддържат записи на сигналите, а GDPR изисква данните да не се съхраняват по-дълго от необходимото.
Колко дълго трябва да се пазят сигналите? #
Директивата не определя конкретен срок. Националните закони се различават:
| Държава | Срок за съхранение | Източник |
|---|---|---|
| Франция | 5 години след приключване на случая | Decree 2022-1284 |
| Италия | 5 години от датата на сигнала | D.Lgs. 24/2023, Art. 14 |
| Германия | 3 години след приключване на случая | HinSchG §11 |
| Испания | Няма изричен срок | Law 2/2023 |
Добра практика #
- определете конфигурируем срок за съхранение
- автоматично изтривайте приключените случаи след изтичането му
- позволявайте ръчно изтриване, когато съхранението вече не е необходимо
- документирайте политиката и бъдете готови да я обосновете пред регулатор
Международни трансфери на данни #
Данните от сигнали трябва да остават в ЕС, освен ако не разполагате с валиден механизъм за трансфер по глава V от GDPR.
Това е важно при избора на платформа:
- платформи с хостинг в ЕС не създават допълнителен трансферен въпрос
- платформи с хостинг в САЩ или такива, които използват американски облачни доставчици, изискват допълнителен правен механизъм
Най-простият път е да изберете платформа, която хоства всички данни в ЕС.
Оценка на въздействието върху защитата на данните #
Член 35 от GDPR изисква DPIA, когато обработването вероятно създава висок риск за правата и свободите на физическите лица.
Подаването на сигнали често попада в тази категория, защото:
- включва чувствителни твърдения за идентифицирани лица
- може да съдържа специални категории данни
- има присъщ дисбаланс на власт между подател и организация
- нарушение на поверителността може да доведе до ответни действия
Какво трябва да прави вашият инструмент #
Според изискванията по-горе, софтуерът за подаване на сигнали трябва да предлага:
| Изискване | Защо |
|---|---|
| Самоличност на подателя по избор | Минимизиране на данните |
| Без запис на IP адреси | Запазване на анонимността |
| Премахване на метаданни от файлове | Избягване на неволна идентификация |
| Криптиране на данните | Цялост и поверителност |
| Конфигурируеми срокове за съхранение | Ограничение на съхранението |
| Автоматично изтриване на изтекли случаи | Прилагане на политиката за съхранение |
| Контрол на достъпа по роли | Поверителност |
| Неизменяема одитна следа | Отчетност |
| Хостинг на данните в ЕС | Избягване на усложнения при трансфери |
| Уведомление за поверителност във формуляра | Прозрачност |
Как EthicsPortal адресира GDPR #
EthicsPortal е проектиран от самото начало така, че да отговаря едновременно на Директивата и на GDPR:
- правно основание: обработването се основава на правно задължение по член 6(1)(c)
- анонимност по подразбиране: без запис на IP адреси, без акаунти и без проследяване; метаданните от файлове се премахват автоматично
- минимизиране на данните: името и контактът на подателя са по избор
- криптиране: описанията, имената, контактите и съобщенията са криптирани в базата данни
- конфигурируемо съхранение: организациите избират срок, а изтеклите приключени случаи се изтриват автоматично
- хостинг в ЕС: всички данни се съхраняват на сървъри на Hetzner в Нюрнберг, Германия
- контрол на достъпа: само администратори и определени обработващи виждат сигналите
- одитна следа: всяко действие се записва за отчетност и регулаторен преглед
- наличен DPA: споразумение за обработване на данни е достъпно за всички клиенти
За пълното обяснение как EthicsPortal покрива нормативните изисквания, вижте страницата ни за съответствие.
Последна актуализация: