Între whistleblowing și GDPR: la ce să fie atente companiile când informează persoanele vizate?
Implementarea de canale interne de raportare a încălcărilor legii de către companii (whistleblowing), impusă de Legea 361/2022 privind protecția avertizorilor în interes public, a adus o serie de provocări practice. Printre ele, o zonă care necesită atenție deosebită se referă la modul în care pot companiile să își îndeplinească obligațiile de protecție a avertizorilor și păstrare a confidențialității în investigarea faptelor sesizate de aceștia concomitent cu cele privind prelucrarea datelor cu caracter personal în raport cu canalele interne de whistleblowing.
Inevitabil, unele dintre raportările prin care avertizorii în interes public sesizează potențiale neconformități și nereguli din cadrul companiei conțin și date cu caracter personal pe care companiile le prelucrează în vederea investigării faptelor sesizate. Cu privire la aceste prelucrări de date, companiile trebuie să respecte prevederile Regulamentului (UE) 2016/679 privind protecția datelor cu caracter personal (GDPR), în special cerințele privind transparența prelucrărilor. Astfel, atât avertizorii înșiși, cât și potențial alte persoane indicate de aceștia în raportări (persoanele vizate) trebuie informate în mod clar despre modul în care datele lor cu caracter personal sunt prelucrate.
Însă, în contextul în care prin natura canalelor interne de raportare nu există previzibilitate și un control al companiilor cu privire la informațiile concrete pe care le-ar putea primi prin diferitele raportări, acestea se confruntă cu o serie de dificultăți practice în ceea ce privește modalitatea concretă în care își pot îndeplini obligația de informare a persoanelor vizate, în sensul GDPR.
Cum poate fi respectată obligația de a asigura caracterul complet și exhaustiv al notei de informare?
Nota de informare trebuie să includă informații specifice potrivit GDPR. Însă informațiile, și inclusiv datele cu caracter personal, care pot fi comunicate de către un avertizor în interes public printr-un canal intern de raportare diferă de la caz la caz și pot fi foarte variate în funcție de faptele concrete care sunt sesizate. Astfel, în cazul unei raportări prin intermediul unui canal de whistleblowing, este dificil (și, uneori, se poate dovedi chiar imposibil) ca operatorul să prevadă în mod exhaustiv toate categoriile de informații și date cu caracter personal care ar putea fi furnizate de către avertizor în cadrul sesizării sale.
Problema este amplificată de faptul că ghidul privind transparența în temeiul GDPR al Comitetului European pentru Protecția Datelor (EDPB) recomandă evitarea, în notele de informare, a unor sintagme calificative precum „este posibil”, „s-ar putea”, „unele”, „deseori” și „posibil”, în afara cazurilor în care se poate demonstra că o astfel de abordare nu poate fi evitată și că ea nu subminează caracterul echitabil al prelucrării de date.
În acest context, companiile trebuie să acorde o atenție deosebită modului în care sunt prezentate informațiile în nota de informare. Totuși, pot exista argumente pentru a justifica utilizarea în mod rezonabil a unor sintagme calificative de tipul celor menționate mai sus, ținând cont de lipsa de control a companiei asupra datelor și informațiilor care ar putea fi transmise printr-un canal de raportare.
Astfel, companiile ar trebui să încerce enumerarea cât mai completă a categoriilor de date cu caracter personal pe care le-ar putea primi și prelucra printr-un canal intern de raportare, făcând totodată clar pentru persoanele vizate că întinderea concretă și conținutul informațiilor va fi dat de fiecare situație raportată în parte. Totodată, pentru a evita un surplus de date nerelevante (inclusiv categorii de date cu caracter special potențial sensibile), companiile le pot pune în atenție avertizorilor, fie printr-o notă în cadrul sistemului de raportare, fie în politica de whistleblowing, să nu transmită informații, și în special date cu caracter personal sensibile, care nu sunt relevante în contextul faptelor raportate.
Când și cum poate fi transmisă nota de informare?
O altă problemă practică este legată de momentul și modalitatea în care nota de informare ar putea fi transmisă, având în vedere că informațiile i-ar trebui puse la dispoziție persoanei vizate înainte de sau cel târziu în momentul colectării datelor. Totodată, EDPB le recomandă companiilor să faciliteze „accesulpermanent ușor al persoanelor vizate la informații”. În acest sens, nota de informare poate fi comunicată și pusă la dispoziția angajaților împreună cu politica de whistleblowing a companiei (de exemplu, pe intranet sau în altă locație accesibilă tuturor membrilor echipei).
În plus, în funcție de canalul intern de raportare pus la dispoziția avertizorilor, pot fi avute în vedere diferite alte modalități prin care nota de informare să fie furnizată în condiții de bună practică. Spre exemplu:
- în cazul în care compania a implementat un sistem/ o platformă online de sesizare a încălcărilor legii, nota de informare poate fi pusă la dispoziție într-o secțiune dedicată a respectivei platforme;
- în cazul în care canalul de raportare constă într-o adresă de e-mail dedicată, se poate concepe un mesaj automat care să fie transmis avertizorului de îndată ce o sesizare este primită și prin care se poate include o trimitere/ un link la nota de informare;
- în cazul utilizării unei linii telefonice, se poate avea în vedere o abordare stratificată, prin care se oferă verbal cele mai importante informații, cu opțiunea de a afla informații suplimentare mai detaliate.
Concluzie
Problemele practice privind asigurarea transparenței în contextul utilizării canalelor de whistleblowing nu au o soluție universal valabilă. Fiecare companie trebuie să analizeze diferite opțiuni viabile și să o aleagă pe cea mai potrivită în funcție de specificul companiei, precum și în funcție de considerente operaționale și logistice. Totuși, companiile pot lua o serie de măsuri generale, precum includerea în politica de whistleblowing sau în sistemul de raportare de prevederi specifice referitoare la prelucrarea datelor cu caracter personal în contextul raportărilor whistleblowing.
Articol scris de Carla Filip (attorney at law), avocat specializat în protecția datelor cu caracter personal în cadrul Schoenherr și Asociații SCA