Yleinen tietosuoja-asetus (GDPR) ja ilmiannot
Henkilöt, jotka tekevät ilmoituksen väärinkäytöksestä whistleblowing-alustan kautta, saattavat paljastaa viestissään henkilötietoja. Organisaatioiden, jotka haluavat ottaa käyttöön ilmiantojärjestelmän työntekijöilleen, alihankkijoilleen tai muille osapuolille, tulee pohtia asiaan liittyviä tietosuojaseikkoja. Esimerkiksi: kuinka toteuttaa tietojen säilytysajat ilmiantojärjestelmissä yleisen tietosuoja-asetuksen (GDPR) mukaisesti?
Tietoja on säilytettävä vain lyhin mahdollinen aika. Tai kuten asetuksen (EU) 2016/679 (Yleinen tietosuoja-asetus tai GDPR) 5 artiklassa (1) (e) todetaan: ”[henkilötietoja] on säilytettävä […] niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten”.
Sinun tulee siis pohtia, kuinka kauan voit säilyttää henkilötietoja ja mitä tarkoitusta varten säilytät niitä.
29 artiklan mukainen tietosuojatyöryhmä antaa lisäohjeistusta lausunnossaan 1/2006: ”Ilmiantojärjestelmän puitteissa käsiteltävät henkilötiedot tulee poistaa pikaisesti ja yleensä kahden kuukauden kuluessa siitä, kun ilmoituksessa kerrottujen seikkojen tutkinta on päättynyt”.
Ilmiantojen tapauksessa on kuitenkin harkittava huolellisesti ennen kuin voit todeta ”poistamme ja/tai anonymisoimme kaiken kahden kuukauden kuluttua”.
Kuinka ilmiantotapauksissa voidaan noudattaa yleisen tietosuoja-asetuksen (GDPR) mukaisia tietojen säilytyssääntöjä?
Sinun on ensin päätettävä, milloin tutkinta voidaan lopettaa. Tämä vaihtelee tapauksittain. Perättömiksi osoittautuneet ilmoitukset voidaan sulkea välittömästi, kun taas vakavien väärinkäytösten tutkinta voi kestää useita vuosia. Jotkin tutkinnat johtavat oikeuskäsittelyyn. Joskus ilmenee poikkeuksia, kuten henkilöstöhallintoon liittyviä velvoitteita, jotka edellyttävät tiettyjen tietojen säilyttämistä pidempään (esimerkiksi kurinpitotoimia varten).
Tätä seikkaa on tärkeä pohtia silloin, kun määrität tapausten hallintaa ja sulkemista koskevia käytäntöjä. Kysymykseen ei ole yksiselitteistä vastausta. Asianmukaiset jatkotoimet saattavat vaihdella tapauksittain. Tämä vaikuttaa tietojen säilyttämisjakson pituuteen ja siihen, milloin jakson katsotaan alkavan.
Tietojen säilyttämistä koskevien sääntöjen päätarkoitus on saada organisaatiot pohtimaan jatkuvasti ja kriittisesti tietojen säilytyskäytäntöjä sekä kertomaan asianmukaisesti tietojen säilyttämisestä. Voit laatia käytännöt niin, että ne ovat läpinäkyviä rekisteröityjen kannalta, ja antaa yhdenmukaiset ohjeet tapausten käsittelijöille.
Muista lisäksi myös valvoa, että määrittämääsi tapausten käsittelyn lopettamista noudatetaan.
Keskustele asiantuntijoidemme kanssa
Haluatko oppia lisää, keskustella ideoista tai jakaa näkemyksiä?