GDPRと内部告発
内部告発システムを介して通報を行う場合、メッセージに個人データを含める人もいます。従業員、サプライヤー、その他の関係者に向けて内部告発システムの構築を考えている組織では、プライバシーの側面について検討する必要があります。例えば、内部告発システムにおけるデータ保持期間をどのようにGDPRに沿ったものにするかを考慮する必要があります。
データ保持期間は可能な限り短くなければなりません。 EU規則2016/679(一般データ保護規則/GDPR)の第5条 (1) (e) では、「個人データは(…)個人データの処理目的に必要な期間を超えて保持してはならない」とされています。
そのため、個人データの保持期間および保持目的を検討する必要があります。
第29条データ保護作業部会では、意見書1/2006において、「内部告発制度で処理される個人データは、速やかに、通常は通報内容の真相を解明するための調査の完了後2ヶ月以内に削除する必要がある」というガイダンスを示しています。
しかしながら、内部告発に関しては、「2ヶ月後にすべてのデータを削除/匿名化する」と定める前に、慎重に検討を行う必要があります。
内部告発でGDPRを遵守したデータ保持規則を定めるには?
まずどの時点を持って調査を終了することができるか、を決める必要があります。調査の長さはケースバイケースです。「疑似ケース」については、直ちに終了することができますが、深刻な不正行為は調査に数年を要する場合もあります。中には訴訟に発展するケースもあるでしょう。また、人事関連の要件により、例外的に特定データ(懲戒処分記録など)を通常より長く保持することが必要とある場合もあります。
ケースの取り扱いと終了に関する方針を定めるには、この点を考慮することが肝心です。これは容易に白黒つけられる問題ではありません。ケースの通報があった後にとるべきフォローアップはケースにより異なります。そのため、データ保持期間およびその開始時期にも影響が及びます。
すべてのデータ保持規則の主な目的は、組織がデータの保存方法を適切に検討し、関係者に的確に情報を伝えられるようにすることです。社内方針で、データ主体に対する透明性を確保し、ケースを取り扱う人々に一貫した指示をうち出すことができます。
また当然、ケース終了方針に従って各担当者が適切に行動しているかをモニターすることも必要になります。