Într-o analiză realizată de NNDKP în 2021, specialiștii atrageau atenția asupra faptului că există o serie de verificări care trebuie bifate în contextul prelucrării datelor personale ale avertizorilor.
Astfel, dacă angajatorii trebuie să aibă un canal intern, fie că el există deja sau este în curs de implementare, analiza realizată trebuie să răspundă următoarelor chestiuni:
- cum și când vor fi colectate date personale - de exemplu, dacă este posibil prin înregistrări ale convorbirilor, doar prin e-mail sau printr-o platformă dedicată;
- cine sunt sau cine pot fi persoanele ale căror date vor fi colectate: angajați, colaboratori, parteneri de afaceri;
- ce date personale trebuie colectate în ce tip de formular;
- dacă pot apărea cazuri în care se va ajunge la procesarea unor date personale cu caracter special;
- care sunt scopurile specifice pentru fiecare tip de date care vor ajunge să fie prelucrate;
- ce baza legală li se poate aplica acestor date;
- cât timp vor fi stocate acele date personale;
- cine va avea acces la respectivele date, atât la nivel intern, cât și extern, de unde (din ce țară și prin ce modalitate) și în ce circumstanțe;
- când, cum și dacă vor fi persoanele informate despre prelucrarea datelor sale personale.
Specialiștii NNDKP spuneau că, în situația în care angajatorul apelează la o companie care se ocupă în mod specific cu acest tip de sesizări, în locul canalului intern de sesizare, trebuie stabilite o serie de aspecte chiar înainte de semnarea contractului, respectiv în faza de negociere, cum ar fi:
- stabilirea rolurilor și responsabilităților din punctul de vedere al protecției datelor personale;
- verificarea antecedentelor terțului pentru asigurarea că oferă suficiente garanții legate de protecția datelor;
- verificarea în ce țară vor fi stocate datele personale de către terț sau din ce stat vor fi ele accesate;
- agrearea asupra mecanismului de verificare periodică a măsurilor de garantare a protecției datelor;
- identificarea/verificarea/implementarea măsurilor sau a controalelor necesare pentru asigurarea protecției datelor;
- accesul unui număr limitat de oameni la datele personale stocate;
- confidențialitatea, disponibilitatea și integritatea datelor personale încă de la începutul colectării lor până la ștergere;
- restricționarea prelucrării datelor personale, excepția fiind stocarea lor;
- raportarea sau învățarea de pe urma apariției unor incidente de securitate;
- posibilitatea de a genera o copie a datelor cu caracter personal pentru a respecta dreptul de acces și dreptul la portabilitate.
Pentru cei care pentru care obligația de a avea canal intern de raportare, procedură pusă la punct și un responsabil desemnat, termenul din 22 decembrie, de intrare în vigoare a Legii Whistleblower, e un semn de exclamare că lucrurile trebuie puse în mișcare cât mai curând posibil, pentru a nu risca impunerea unor amenzi, mai târziu (care ajung până la 40.000 de lei).
Comentarii articol (0)