GDPR og whistleblowing
Personer, der indgiver en rapport via et whistleblowing-system, kan inkludere personlige oplysninger i deres meddelelse. Organisationer, der ønsker at stille et whistleblowing-system til rådighed for deres medarbejdere, leverandører eller andre parter, er nødt til at tage beskyttelse af personlige oplysninger med i betragtningerne. Hvordan håndterer man f.eks. dataopbevaringsperioder i henhold til GDPR, når det handler om whistleblowing-systemer?
Dataene skal opbevares i kortest mulig tid. Eller som formuleret i artikel 5 (1) (e) i EU-forordning 2016/679 (generel forordning om databeskyttelse eller GDPR): “Personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.”
Så man skal tænke over, hvor længe man kan opbevare personoplysninger – og til hvilket formål.
Artikel 29-gruppen vedrørende databeskyttelse giver yderligere vejledning i sin udtalelse 1/2006: “Personoplysninger, der behandles som led i en ordning for rapportering af uregelmæssigheder, bør slettes hurtigt og normalt inden for to måneder efter afslutningen af undersøgelsen af de påstande, der er indberettet.”
Men i en whistleblowing-sammenhæng skal organisationen træde et par skridt tilbage, før man kan sige, at man sletter og/eller anonymiserer alting efter to måneder.
Hvordan kan man have regler for datalagring, der overholder GDPR, inden for whistleblowing?
Først skal det besluttes, hvornår en efterforskning kan lukkes. Det varierer fra sag til sag. “Non-sager” kan lukkes øjeblikkeligt, mens sager vedrørende alvorlig upassende adfærd kan tage flere år. Nogle efterforskninger ender med retssager. Somme tider kan der være undtagelser, såsom HR-relaterede forpligtelser, der kræver, at visse oplysninger opbevares længere (f.eks. dokumenter ifm. disciplinærsager).
Det er vigtigt at tænke over dette ved etablering af politikker for behandling og lukning af sager. Det er ikke blot et spørgsmål om enten-eller. Når en sag kommer ind, er den relevante opfølgning forskellig fra sag til sag. Dette påvirker dataopbevaringsperioden og tidspunktet for, hvornår den starter.
Det primære formål med alle disse regler for dataopbevaring er at sikre, at organisationer er bevidste om, hvordan de opbevarer data, og at folk informeres korrekt herom. Organisationer kan være gennemsigtige over for registrerede og give ensrettede instruktioner til sagsbehandlere i deres politikker.
Og glem endelig ikke at holde øje med, om folk handler i overensstemmelse med politikken om sagslukning.