GDPR og varsling
Folk som rapporterer gjennom et varslingssystem, kan ta med personopplysninger i meldingen. Organisasjoner som ønsker å sette opp et varslingssystem for sine ansatte, leverandører eller andre parter, må ta hensyn til personvernaspektene som spiller inn. For eksempel: Hvordan håndtere datalagringsperioder i tråd med GDPR i varslingssystemer?
Data må lagres så kort tid som mulig. Eller som angitt i artikkel 5 (1) (e) i forordning (EU) 2016/679 (General Data Protection Regulation eller GDPR): «personopplysninger skal ikke oppbevares (..) lenger enn nødvendig for formålet som personopplysningene behandles etter.»
Du må derfor vurdere hvor lenge du kan oppbevare personopplysninger og til hvilket formål du oppbevarer dem.
Artikkel 29-gruppen gir ytterligere veiledning i sin uttalelse 1/2006: «Personopplysninger behandlet etter en varslingsplan skal slettes omgående og vanligvis innen to måneder etter at undersøkelsen av faktaene som er påstått i rapporten, er fullført.»
Men i forbindelse med varsling må du ta noen skritt tilbake før du kan si «vi sletter og/eller anonymiserer alt etter to måneder».
Hvordan ha GDPR-godkjente regler for oppbevaring av data ved varsling?
Du må først bestemme når en undersøkelse kan avsluttes. Dette vil variere fra sak til sak. «Ikke-saker» kan avsluttes umiddelbart, mens alvorlige undersøkelser av kritikkverdige forhold kan ta årevis. Noen undersøkelser ender i rettslige forhandlinger. Noen ganger vil det være unntak, f.eks. HR-relaterte forpliktelser, som krever at du oppbevarer visse opplysninger lenger (f.eks. når det gjelder disiplinærregisteret).
Det er viktig å ta hensyn til dette når du oppretter regler for saksbehandling og saksavslutning. Det er ikke bare et enten/eller-spørsmål. Når en sak kommer inn, vil riktig oppfølging være forskjellig fra sak til sak. Dette påvirker datalagringsperioden og når den begynner å løpe.
Hovedhensikten med alle disse datalagringsreglene er å få organisasjoner til å tenke kritisk over hvordan de lagrer opplysning og at folk blir informert ordentlig. I retningslinjene dine kan du være åpen overfor de registrerte og gi enhetlige instruksjoner til saksbehandlerne.
Og du må selvfølgelig ikke glemme å sjekke om folk følger retningslinjene for å avslutte saker.