GDPR och visselblåsning
Människor som lämnar en rapport genom ett visselblåsningssystem kan inkludera personuppgifter i sitt meddelande. Organisationer som vill använda ett visselblåsningssystem för sina medarbetare, leverantörer eller andra parter måste ta sekretessaspekterna i beaktande. Till exempel: hur hanterar man perioder för kvarhållande av uppgifter i linje med GDPR i visselblåsningssystem?
Uppgifter måste sparas under kortast möjliga tid. Eller som anges i artikel 5 (1) (e) av förordning (EU) 2016/679 (Allmänna dataskyddsförordningen eller GDPR): ”personuppgifter ska sparas (…) inte längre än nödvändigt för syftet för vilket personuppgifterna behandlas”.
Så du behöver tänka på hur länge du kan spara personuppgifter och i vilket syfte du sparar dem.
Artikel 29-gruppen ger ytterligare vägledning i Opinion 1/2006: ”Personuppgifter som behandlas av ett visselblåsningssystem ska raderas snabbt och vanligtvis inom två månader efter slutförandet av utredningen av de uppgifter som presenteras i rapporten”.
Men i en visselblåsningskontext behöver du ta några steg tillbaka innan du kan säga ”vi raderar och/eller anonymiserar allt efter två månader”.
Hur implementerar man regler för kvarhållande av uppgifter som uppfyller GDPR vid visselblåsning?
Du måste först bestämma när en utredning kan avslutas. Detta varierar från fall till fall. ”Icke-fall” kan avslutas omedelbart, medan utredningar av allvarliga oegentligheter kan pågå i flera år. Vissa utredningar leder till rättsliga förfaranden. Ibland finns det undantag, till exempel HR-relaterade skyldigheter som kräver att du sparar uppgifter längre (t.ex. för disciplinära register).
Det är viktigt att tänka på detta när du tar fram dina policyer för ärendehantering och avslut. Ett ärende är inte svart på vitt. När ett ärende kommer in måste det göras en bedömning av vilken uppföljning som är lämplig för det aktuella ärendet. Detta påverkar tidsperioden för kvarhållande av uppgifter och när den börjar.
Huvudsyftet med alla dessa regler för kvarhållande av uppgifter är att få organisationer att tänka kritiskt kring hur de sparar uppgifter och att personer informeras på ett lämpligt sätt. I dina policyer har du möjlighet att vara transparent gentemot registrerade personer och lämna enhetliga anvisningar till ärendehanterare.
Glöm inte heller att hålla koll på att personer följer din policy för avslut av ärenden.