GDPR 与举报
通过举报系统发送报告的人员可能会在其留言中留下个人数据。组织如果想为员工、供应商或其他各方建立举报系统,则必须考虑其中所牵涉到的隐私问题。例如:在举报系统中,如何在符合 GDPR 的情况下确定数据保留期?
必须尽量缩短数据存储时间。 或如第 2016/679 号(欧盟)条例(《通用数据保护条例》或 GDPR)第 5 (1) (e) 条所述:“个人数据的保存时间 (..) 不得超过个人数据处理目的所需的时间。”
所以,您需要考虑可以将个人数据保存多久,以及您保留这些数据的目的是什么。
在第 1/2006 号意见中,第 29 条“数据保护工作组”提供了更多指南:“通过举报机制处理的个人数据应立即删除,且通常应在调查完报告中涉嫌事实之后两个月以内予以删除。”
但针对举报,您需要先采取几个步骤,然后才能说“我们将在两个月后删除和/或匿名处理所有内容”。
如何在举报中遵守 GDPR 数据保留规则?
您首先需要判断调查何时可以结束。这将因案例而异。“非案件”可以立即结案,而调查重大不端行为则可能需要花费数年时间。有些调查最后将转入法律程序。有时会有例外情况,例如,鉴于人力资源的相关义务,您需要将某些数据保存更长时间(例如,纪律处分记录)。
在制定案例处理和结案政策时,必须考虑到这一点。这不是非黑即白的问题。出现案例以后,适当的跟进程序将因案例而异。这会影响数据保留期以及初始保留时间。
所有这些数据保留规则主要在于确保各个组织批判性地思考其数据存储方式,并让相关员工及时了解信息。在贵公司的政策中,您可以对数据主体保持透明,并为案例处理人员提供统一的指示。
当然,不要忘记监督员工是否按照贵公司的结案政策行事。