GDPR και αναφορές whistleblowing: τι πρέπει να γνωρίζετε #
Κάθε αναφορά whistleblowing περιέχει προσωπικά δεδομένα. Ο αναφέρων μπορεί να περιλάβει το όνομά του. Η αναφορά θα κατονομάζει συχνά και το πρόσωπο που κατηγορείται για παράβαση. Οι ενέργειες του χειριστή καταγράφονται. Όλα αυτά αποτελούν προσωπικά δεδομένα κατά το GDPR.
Αυτό δημιουργεί μια πραγματική ένταση που οι υπεύθυνοι συμμόρφωσης αντιμετωπίζουν καθημερινά: η Οδηγία (ΕΕ) 2019/1937 απαιτεί να συλλέγετε και να διατηρείτε αναφορές, ενώ το GDPR απαιτεί να έχετε νόμιμη βάση, να περιορίζετε τα δεδομένα στο αναγκαίο και να τα διαγράφετε όταν δεν χρειάζονται πλέον.
Ακολουθεί το πώς αλληλεπιδρούν τα δύο πλαίσια και τι σημαίνει αυτό στην πράξη.
Ποια προσωπικά δεδομένα περιέχει μια αναφορά; #
Περισσότερα απ’ όσα συνήθως υποθέτουν οι οργανισμοί:
| Δεδομένα | Πηγή | Κατηγορία κατά GDPR |
|---|---|---|
| Όνομα αναφέροντος, εφόσον δοθεί | Εθελοντικά | Προσωπικά δεδομένα |
| Στοιχεία επικοινωνίας αναφέροντος, εφόσον δοθούν | Εθελοντικά | Προσωπικά δεδομένα |
| Όνομα προσώπου που κατονομάζεται | Περιεχόμενο αναφοράς | Προσωπικά δεδομένα τρίτου |
| Στοιχεία της καταγγελλόμενης παράβασης | Περιεχόμενο αναφοράς | Ενδέχεται να περιλαμβάνουν ειδικές κατηγορίες δεδομένων κατά το άρθρο 9 ή δεδομένα ποινικών αδικημάτων κατά το άρθρο 10 |
| Αρχεία που επισυνάπτονται | Αναφέρων | Ενδέχεται να περιέχουν μεταδεδομένα |
| Ενέργειες και σημειώσεις χειριστή | Διαχείριση υπόθεσης | Προσωπικά δεδομένα |
| Χρονικές σημάνσεις και audit trail | Σύστημα | Προσωπικά δεδομένα |
Αν η αναφορά περιγράφει παρενόχληση, διάκριση ή ζητήματα υγείας, μπορεί να περιέχει ειδικές κατηγορίες δεδομένων κατά το άρθρο 9 του GDPR. Αναφορές που αφορούν ποινικές κατηγορίες εμπίπτουν και στο άρθρο 10.
Ποια είναι η νομική βάση επεξεργασίας; #
Χρειάζεστε έγκυρη νομική βάση βάσει του άρθρου 6 του GDPR για την επεξεργασία προσωπικών δεδομένων σε αναφορές. Οι συνήθεις βάσεις είναι:
Άρθρο 6(1)(c) — νομική υποχρέωση #
Αυτή είναι η βασική βάση επεξεργασίας. Η Οδηγία (ΕΕ) 2019/1937 και οι εθνικοί νόμοι μεταφοράς δημιουργούν νομική υποχρέωση λειτουργίας καναλιού αναφορών. Η επεξεργασία προσωπικών δεδομένων είναι αναγκαία για την εκπλήρωση αυτής της υποχρέωσης.
Καλύπτει:
- τη λήψη της αναφοράς
- την ασφαλή αποθήκευσή της
- τη διερεύνηση των ισχυρισμών
- την επικοινωνία με τον αναφέροντα
- τη διατήρηση audit trail
Άρθρο 6(1)(f) — έννομο συμφέρον #
Ορισμένοι οργανισμοί χρησιμοποιούν το έννομο συμφέρον ως συμπληρωματική βάση για επεξεργασία που υπερβαίνει τις ελάχιστες απαιτήσεις της Οδηγίας, όπως εσωτερική ανάλυση ή reporting τάσεων. Αυτό απαιτεί σχετική αξιολόγηση και balancing test.
Άρθρο 6(1)(e) — καθήκον δημόσιου συμφέροντος #
Οι οργανισμοί του δημόσιου τομέα μπορούν να βασιστούν στο δημόσιο συμφέρον, ιδίως όταν το εθνικό δίκαιο προβλέπει ρητά τέτοια επεξεργασία για την προστασία αναφερόντων.
Τι γίνεται με τη συγκατάθεση; #
Μη βασίζεστε στη συγκατάθεση. Λόγω της ανισορροπίας ισχύος μεταξύ αναφέροντος και εργοδότη, η συγκατάθεση δύσκολα θεωρείται ελεύθερα δοθείσα. Η κατάλληλη βάση είναι η νομική υποχρέωση κατά το άρθρο 6(1)(c).
Ανώνυμες αναφορές και GDPR #
Αυτό είναι ένα από τα συχνότερα ερωτήματα: αν η αναφορά είναι πραγματικά ανώνυμη, εφαρμόζεται το GDPR;
Αν ο αναφέρων δεν μπορεί να ταυτοποιηθεί, το GDPR δεν εφαρμόζεται ως προς αυτόν #
Το GDPR εφαρμόζεται σε δεδομένα που αφορούν ταυτοποιημένο ή ταυτοποιήσιμο πρόσωπο. Αν ο αναφέρων δεν δώσει όνομα, email ή άλλο αναγνωριστικό και το σύστημα δεν καταγράφει IP ή άλλη ταυτοποιητική πληροφορία, το περιεχόμενο της αναφοράς δεν αποτελεί προσωπικά δεδομένα σε σχέση με τον ίδιο τον αναφέροντα.
Ωστόσο:
- το πρόσωπο που κατονομάζεται στην αναφορά παραμένει ταυτοποιήσιμο και το GDPR εφαρμόζεται πλήρως στα δεδομένα του
- αν το περιεχόμενο επιτρέπει έμμεση αναγνώριση του αναφέροντος, το GDPR μπορεί να εφαρμόζεται και ως προς αυτόν
Τι απαιτεί η ανωνυμία σε τεχνικό επίπεδο #
Για να αντέχει η ανωνυμία και υπό το πρίσμα του GDPR, το εργαλείο πρέπει:
- να μη διατηρεί καταγραφές IP
- να μη ζητά λογαριασμό ή email
- να αφαιρεί μεταδεδομένα από αρχεία
- να μη χρησιμοποιεί analytics ή cookies παρακολούθησης στο portal
Αν το εργαλείο κάνει οποιοδήποτε από τα παραπάνω, επεξεργάζεστε ψευδωνυμοποιημένα και όχι ανώνυμα δεδομένα, και το GDPR εφαρμόζεται πλήρως.
Ελαχιστοποίηση δεδομένων #
Η Οδηγία απαιτεί κανάλι αναφορών. Δεν απαιτεί να συλλέγετε περισσότερα δεδομένα απ’ όσα είναι αναγκαία.
Στην πράξη:
- η ταυτότητα του αναφέροντος πρέπει να είναι προαιρετική
- η φόρμα υποβολής πρέπει να ζητά μόνο τα απολύτως αναγκαία
- οι σημειώσεις του χειριστή πρέπει να σχετίζονται άμεσα με τη διερεύνηση
Τα δικαιώματα του προσώπου που κατονομάζεται #
Εδώ η κατάσταση γίνεται πιο σύνθετη. Το πρόσωπο που αναφέρεται στην καταγγελία έχει δικαιώματα κατά το GDPR — μεταξύ άλλων δικαίωμα ενημέρωσης, πρόσβασης και διαγραφής.
Όμως η άσκηση αυτών των δικαιωμάτων δεν μπορεί να υπονομεύει την εμπιστευτικότητα του αναφέροντος, όπως απαιτεί το άρθρο 16 της Οδηγίας.
Δικαίωμα ενημέρωσης #
Κατά το GDPR, πρέπει να ενημερώνετε το πρόσωπο ότι επεξεργάζεστε τα δεδομένα του. Όμως η προστασία της ταυτότητας του αναφέροντος επιβάλλει περιορισμούς:
- μπορείτε να ενημερώσετε το πρόσωπο ότι έχει υποβληθεί αναφορά μόνο αν αυτό δεν αποκαλύπτει την ταυτότητα του αναφέροντος
- ο χρόνος ενημέρωσης έχει σημασία: σε πολλές χώρες η ενημέρωση μπορεί να αναβληθεί μέχρι να μη διακυβεύεται πλέον η διερεύνηση
Δικαίωμα πρόσβασης #
Το πρόσωπο μπορεί να ζητήσει πρόσβαση στα δεδομένα που το αφορούν. Πρέπει να τα χορηγήσετε, αλλά να αφαιρέσετε κάθε πληροφορία που μπορεί να αποκαλύψει τον αναφέροντα.
Δικαίωμα διαγραφής #
Το πρόσωπο δεν μπορεί να απαιτήσει διαγραφή αναφοράς που αποτελεί μέρος ενεργής διερεύνησης ή που πρέπει να διατηρηθεί λόγω νομικής υποχρέωσης.
Περίοδοι διατήρησης #
Η Οδηγία απαιτεί διατήρηση αρχείων αναφορών, ενώ το GDPR απαιτεί τα δεδομένα να μη φυλάσσονται περισσότερο από όσο είναι αναγκαίο.
Για πόσο χρόνο πρέπει να διατηρούνται οι αναφορές; #
Η Οδηγία δεν προβλέπει συγκεκριμένη περίοδο. Οι εθνικοί νόμοι διαφέρουν:
| Χώρα | Περίοδος διατήρησης | Πηγή |
|---|---|---|
| Γαλλία | 5 έτη μετά το κλείσιμο της υπόθεσης | Decree 2022-1284 |
| Ιταλία | 5 έτη από την ημερομηνία της αναφοράς | D.Lgs. 24/2023, Art. 14 |
| Γερμανία | 3 έτη μετά το κλείσιμο της υπόθεσης | HinSchG §11 |
| Ισπανία | Δεν προβλέπεται ρητά | Law 2/2023 |
Καλή πρακτική #
- ορίστε παραμετροποιήσιμη περίοδο διατήρησης
- διαγράφετε αυτόματα κλειστές υποθέσεις όταν λήγει η περίοδος
- επιτρέψτε χειροκίνητη διαγραφή όταν η διατήρηση δεν είναι πλέον αναγκαία
- τεκμηριώστε την πολιτική σας και να είστε έτοιμοι να την αιτιολογήσετε σε ελεγκτική αρχή
Διεθνείς διαβιβάσεις δεδομένων #
Τα δεδομένα των αναφορών πρέπει να παραμένουν στην ΕΕ, εκτός αν διαθέτετε έγκυρο μηχανισμό διαβίβασης κατά το κεφάλαιο V του GDPR.
Αυτό έχει σημασία κατά την επιλογή πλατφόρμας:
- πλατφόρμες με φιλοξενία στην ΕΕ δεν δημιουργούν πρόσθετο ζήτημα διαβίβασης
- πλατφόρμες με φιλοξενία στις ΗΠΑ ή χρήση αμερικανικών cloud providers απαιτούν πρόσθετη νομική βάση για τη διαβίβαση
Η απλούστερη επιλογή είναι μια πλατφόρμα που φιλοξενεί όλα τα δεδομένα εντός ΕΕ.
Εκτίμηση αντικτύπου για την προστασία δεδομένων #
Το άρθρο 35 του GDPR απαιτεί DPIA όταν η επεξεργασία ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων.
Οι αναφορές whistleblowing συχνά εμπίπτουν σε αυτή την κατηγορία επειδή:
- περιλαμβάνουν ευαίσθητους ισχυρισμούς για ταυτοποιημένα πρόσωπα
- μπορεί να περιέχουν ειδικές κατηγορίες δεδομένων
- υπάρχει ενδογενής ανισορροπία ισχύος μεταξύ αναφέροντος και οργανισμού
- παραβίαση της εμπιστευτικότητας μπορεί να οδηγήσει σε αντίποινα
Τι πρέπει να κάνει το εργαλείο σας #
Με βάση τα παραπάνω, το λογισμικό whistleblowing πρέπει να παρέχει:
| Απαίτηση | Γιατί |
|---|---|
| Προαιρετική ταυτότητα αναφέροντος | Ελαχιστοποίηση δεδομένων |
| Χωρίς καταγραφή IP | Διατήρηση ανωνυμίας |
| Αφαίρεση μεταδεδομένων αρχείων | Αποφυγή ακούσιας ταυτοποίησης |
| Κρυπτογράφηση αποθηκευμένων δεδομένων | Ακεραιότητα και εμπιστευτικότητα |
| Παραμετροποιήσιμες περίοδοι διατήρησης | Περιορισμός διατήρησης |
| Αυτόματη διαγραφή ληγμένων υποθέσεων | Εφαρμογή της πολιτικής διατήρησης |
| Έλεγχο πρόσβασης βάσει ρόλων | Εμπιστευτικότητα |
| Αμετάβλητο audit trail | Λογοδοσία |
| Φιλοξενία εντός ΕΕ | Αποφυγή επιπλοκών διεθνών διαβιβάσεων |
| Ενημέρωση απορρήτου στη φόρμα αναφοράς | Διαφάνεια |
Πώς το EthicsPortal καλύπτει το GDPR #
Το EthicsPortal σχεδιάστηκε εξαρχής ώστε να ανταποκρίνεται ταυτόχρονα στην Οδηγία και στο GDPR:
- νομική βάση: η επεξεργασία βασίζεται στη νομική υποχρέωση του άρθρου 6(1)(c)
- ανωνυμία by default: χωρίς καταγραφή IP, χωρίς λογαριασμούς και χωρίς tracking, ενώ τα μεταδεδομένα αρχείων αφαιρούνται αυτόματα
- ελαχιστοποίηση δεδομένων: το όνομα και τα στοιχεία επικοινωνίας του αναφέροντος είναι προαιρετικά
- κρυπτογράφηση: περιγραφές, ονόματα, στοιχεία επικοινωνίας και μηνύματα κρυπτογραφούνται στη βάση δεδομένων
- παραμετροποιήσιμη διατήρηση: οι οργανισμοί επιλέγουν περίοδο διατήρησης και οι ληγμένες κλειστές υποθέσεις διαγράφονται αυτόματα
- φιλοξενία στην ΕΕ: όλα τα δεδομένα αποθηκεύονται σε servers της Hetzner στη Νυρεμβέργη της Γερμανίας
- έλεγχος πρόσβασης: μόνο admins και ορισμένοι χειριστές μπορούν να δουν τις αναφορές
- audit trail: κάθε ενέργεια καταγράφεται για λογοδοσία και κανονιστικό έλεγχο
- διαθέσιμο DPA: η συμφωνία επεξεργασίας δεδομένων είναι διαθέσιμη για όλους τους πελάτες
Για την πλήρη ανάλυση του πώς το EthicsPortal καλύπτει τις κανονιστικές απαιτήσεις, δείτε τη σελίδα μας για συμμόρφωση.
Τελευταία ενημέρωση: