ΓΚΠΔ και αναφορές παραβιάσεων: τι πρέπει να γνωρίζετε #
Κάθε αναφορά παραβίασης περιέχει προσωπικά δεδομένα. Ο αναφέρων μπορεί να περιλάβει το όνομά του. Η αναφορά θα κατονομάζει συχνά και το πρόσωπο που κατηγορείται για παράβαση. Οι ενέργειες του χειριστή καταγράφονται. Όλα αυτά αποτελούν προσωπικά δεδομένα κατά τον ΓΚΠΔ.
Αυτό δημιουργεί μια πραγματική ένταση που οι υπεύθυνοι συμμόρφωσης αντιμετωπίζουν καθημερινά: η Οδηγία (ΕΕ) 2019/1937 απαιτεί να συλλέγετε και να διατηρείτε αναφορές, ενώ ο ΓΚΠΔ απαιτεί να έχετε νόμιμη βάση, να περιορίζετε τα δεδομένα στο αναγκαίο και να τα διαγράφετε όταν δεν χρειάζονται πλέον.
Ακολουθεί το πώς αλληλεπιδρούν τα δύο πλαίσια και τι σημαίνει αυτό στην πράξη.
Ποια προσωπικά δεδομένα περιέχει μια αναφορά; #
Περισσότερα απ’ όσα συνήθως υποθέτουν οι οργανισμοί:
| Δεδομένα | Πηγή | Κατηγορία κατά ΓΚΠΔ |
|---|---|---|
| Όνομα αναφέροντος, εφόσον δοθεί | Εθελοντικά | Προσωπικά δεδομένα |
| Στοιχεία επικοινωνίας αναφέροντος, εφόσον δοθούν | Εθελοντικά | Προσωπικά δεδομένα |
| Όνομα προσώπου που κατονομάζεται | Περιεχόμενο αναφοράς | Προσωπικά δεδομένα τρίτου |
| Στοιχεία της καταγγελλόμενης παράβασης | Περιεχόμενο αναφοράς | Ενδέχεται να περιλαμβάνουν ειδικές κατηγορίες δεδομένων κατά το άρθρο 9 ή δεδομένα ποινικών αδικημάτων κατά το άρθρο 10 |
| Αρχεία που επισυνάπτονται | Αναφέρων | Ενδέχεται να περιέχουν μεταδεδομένα |
| Ενέργειες και σημειώσεις χειριστή | Διαχείριση υπόθεσης | Προσωπικά δεδομένα |
| Χρονοσφραγίδες και ίχνος ελέγχου | Σύστημα | Προσωπικά δεδομένα |
Αν η αναφορά περιγράφει παρενόχληση, διάκριση ή ζητήματα υγείας, μπορεί να περιέχει ειδικές κατηγορίες δεδομένων κατά το άρθρο 9 του ΓΚΠΔ. Αναφορές που αφορούν ποινικές κατηγορίες εμπίπτουν και στο άρθρο 10.
Ποια είναι η νομική βάση επεξεργασίας; #
Χρειάζεστε έγκυρη νομική βάση βάσει του άρθρου 6 του ΓΚΠΔ για την επεξεργασία προσωπικών δεδομένων σε αναφορές. Οι συνήθεις βάσεις είναι:
Άρθρο 6(1)(c) — νομική υποχρέωση #
Αυτή είναι η βασική βάση επεξεργασίας. Η Οδηγία (ΕΕ) 2019/1937 και οι εθνικοί νόμοι μεταφοράς δημιουργούν νομική υποχρέωση λειτουργίας καναλιού αναφορών. Η επεξεργασία προσωπικών δεδομένων είναι αναγκαία για την εκπλήρωση αυτής της υποχρέωσης.
Καλύπτει:
- τη λήψη της αναφοράς
- την ασφαλή αποθήκευσή της
- τη διερεύνηση των ισχυρισμών
- την επικοινωνία με τον αναφέροντα
- τη διατήρηση ίχνους ελέγχου
Άρθρο 6(1)(f) — έννομο συμφέρον #
Ορισμένοι οργανισμοί χρησιμοποιούν το έννομο συμφέρον ως συμπληρωματική βάση για επεξεργασία που υπερβαίνει τις ελάχιστες απαιτήσεις της Οδηγίας, όπως εσωτερική ανάλυση ή αναφορά τάσεων. Αυτό απαιτεί σχετική αξιολόγηση και στάθμιση συμφερόντων.
Άρθρο 6(1)(e) — καθήκον δημόσιου συμφέροντος #
Οι οργανισμοί του δημόσιου τομέα μπορούν να βασιστούν στο δημόσιο συμφέρον, ιδίως όταν το εθνικό δίκαιο προβλέπει ρητά τέτοια επεξεργασία για την προστασία αναφερόντων.
Τι γίνεται με τη συγκατάθεση; #
Μη βασίζεστε στη συγκατάθεση. Λόγω της ανισορροπίας ισχύος μεταξύ αναφέροντος και εργοδότη, η συγκατάθεση δύσκολα θεωρείται ελεύθερα δοθείσα. Η κατάλληλη βάση είναι η νομική υποχρέωση κατά το άρθρο 6(1)(c).
Ανώνυμες αναφορές και ΓΚΠΔ #
Αυτό είναι ένα από τα συχνότερα ερωτήματα: αν η αναφορά είναι πραγματικά ανώνυμη, εφαρμόζεται το ΓΚΠΔ;
Αν ο αναφέρων δεν μπορεί να ταυτοποιηθεί, το ΓΚΠΔ δεν εφαρμόζεται ως προς αυτόν #
Το ΓΚΠΔ εφαρμόζεται σε δεδομένα που αφορούν ταυτοποιημένο ή ταυτοποιήσιμο πρόσωπο. Αν ο αναφέρων δεν δώσει όνομα, διεύθυνση ηλεκτρονικού ταχυδρομείου ή άλλο αναγνωριστικό και το σύστημα δεν καταγράφει IP ή άλλη ταυτοποιητική πληροφορία, το περιεχόμενο της αναφοράς δεν αποτελεί προσωπικά δεδομένα σε σχέση με τον ίδιο τον αναφέροντα.
Ωστόσο:
- το πρόσωπο που κατονομάζεται στην αναφορά παραμένει ταυτοποιήσιμο και το ΓΚΠΔ εφαρμόζεται πλήρως στα δεδομένα του
- αν το περιεχόμενο επιτρέπει έμμεση αναγνώριση του αναφέροντος, το ΓΚΠΔ μπορεί να εφαρμόζεται και ως προς αυτόν
Τι απαιτεί η ανωνυμία σε τεχνικό επίπεδο #
Για να αντέχει η ανωνυμία και υπό το πρίσμα του ΓΚΠΔ, το εργαλείο πρέπει:
- να μη διατηρεί καταγραφές IP
- να μη ζητά λογαριασμό ή διεύθυνση ηλεκτρονικού ταχυδρομείου
- να αφαιρεί μεταδεδομένα από αρχεία
- να μη χρησιμοποιεί εργαλεία στατιστικών ή cookies παρακολούθησης στην πύλη
Αν το εργαλείο κάνει οποιοδήποτε από τα παραπάνω, επεξεργάζεστε ψευδωνυμοποιημένα και όχι ανώνυμα δεδομένα, και το ΓΚΠΔ εφαρμόζεται πλήρως.
Ελαχιστοποίηση δεδομένων #
Η Οδηγία απαιτεί κανάλι αναφορών. Δεν απαιτεί να συλλέγετε περισσότερα δεδομένα απ’ όσα είναι αναγκαία.
Στην πράξη:
- η ταυτότητα του αναφέροντος πρέπει να είναι προαιρετική
- η φόρμα υποβολής πρέπει να ζητά μόνο τα απολύτως αναγκαία
- οι σημειώσεις του χειριστή πρέπει να σχετίζονται άμεσα με τη διερεύνηση
Τα δικαιώματα του προσώπου που κατονομάζεται #
Εδώ η κατάσταση γίνεται πιο σύνθετη. Το πρόσωπο που αναφέρεται στην καταγγελία έχει δικαιώματα κατά το ΓΚΠΔ — μεταξύ άλλων δικαίωμα ενημέρωσης, πρόσβασης και διαγραφής.
Όμως η άσκηση αυτών των δικαιωμάτων δεν μπορεί να υπονομεύει την εμπιστευτικότητα του αναφέροντος, όπως απαιτεί το άρθρο 16 της Οδηγίας.
Δικαίωμα ενημέρωσης #
Κατά το ΓΚΠΔ, πρέπει να ενημερώνετε το πρόσωπο ότι επεξεργάζεστε τα δεδομένα του. Όμως η προστασία της ταυτότητας του αναφέροντος επιβάλλει περιορισμούς:
- μπορείτε να ενημερώσετε το πρόσωπο ότι έχει υποβληθεί αναφορά μόνο αν αυτό δεν αποκαλύπτει την ταυτότητα του αναφέροντος
- ο χρόνος ενημέρωσης έχει σημασία: σε πολλές χώρες η ενημέρωση μπορεί να αναβληθεί μέχρι να μη διακυβεύεται πλέον η διερεύνηση
Δικαίωμα πρόσβασης #
Το πρόσωπο μπορεί να ζητήσει πρόσβαση στα δεδομένα που το αφορούν. Πρέπει να τα χορηγήσετε, αλλά να αφαιρέσετε κάθε πληροφορία που μπορεί να αποκαλύψει τον αναφέροντα.
Δικαίωμα διαγραφής #
Το πρόσωπο δεν μπορεί να απαιτήσει διαγραφή αναφοράς που αποτελεί μέρος ενεργής διερεύνησης ή που πρέπει να διατηρηθεί λόγω νομικής υποχρέωσης.
Περίοδοι διατήρησης #
Η Οδηγία απαιτεί διατήρηση αρχείων αναφορών, ενώ το ΓΚΠΔ απαιτεί τα δεδομένα να μη φυλάσσονται περισσότερο από όσο είναι αναγκαίο.
Για πόσο χρόνο πρέπει να διατηρούνται οι αναφορές; #
Η Οδηγία δεν προβλέπει συγκεκριμένη περίοδο. Οι εθνικοί νόμοι διαφέρουν:
| Χώρα | Περίοδος διατήρησης | Πηγή |
|---|---|---|
| Γαλλία | 5 έτη μετά το κλείσιμο της υπόθεσης | Decree 2022-1284 |
| Ιταλία | 5 έτη από την ημερομηνία της αναφοράς | D.Lgs. 24/2023, Art. 14 |
| Γερμανία | 3 έτη μετά το κλείσιμο της υπόθεσης | HinSchG §11 |
| Ισπανία | Δεν προβλέπεται ρητά | Law 2/2023 |
Καλή πρακτική #
- ορίστε παραμετροποιήσιμη περίοδο διατήρησης
- διαγράφετε αυτόματα κλειστές υποθέσεις όταν λήγει η περίοδος
- επιτρέψτε χειροκίνητη διαγραφή όταν η διατήρηση δεν είναι πλέον αναγκαία
- τεκμηριώστε την πολιτική σας και να είστε έτοιμοι να την αιτιολογήσετε σε ελεγκτική αρχή
Διεθνείς διαβιβάσεις δεδομένων #
Τα δεδομένα των αναφορών πρέπει να παραμένουν στην ΕΕ, εκτός αν διαθέτετε έγκυρο μηχανισμό διαβίβασης κατά το κεφάλαιο V του ΓΚΠΔ.
Αυτό έχει σημασία κατά την επιλογή πλατφόρμας:
- πλατφόρμες με φιλοξενία στην ΕΕ δεν δημιουργούν πρόσθετο ζήτημα διαβίβασης
- πλατφόρμες με φιλοξενία στις ΗΠΑ ή χρήση αμερικανικών cloud providers απαιτούν πρόσθετη νομική βάση για τη διαβίβαση
Η απλούστερη επιλογή είναι μια πλατφόρμα που φιλοξενεί όλα τα δεδομένα εντός ΕΕ.
Εκτίμηση αντικτύπου για την προστασία δεδομένων #
Το άρθρο 35 του ΓΚΠΔ απαιτεί DPIA όταν η επεξεργασία ενδέχεται να επιφέρει υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων.
Οι αναφορές παραβιάσεων συχνά εμπίπτουν σε αυτή την κατηγορία επειδή:
- περιλαμβάνουν ευαίσθητους ισχυρισμούς για ταυτοποιημένα πρόσωπα
- μπορεί να περιέχουν ειδικές κατηγορίες δεδομένων
- υπάρχει ενδογενής ανισορροπία ισχύος μεταξύ αναφέροντος και οργανισμού
- παραβίαση της εμπιστευτικότητας μπορεί να οδηγήσει σε αντίποινα
Τι πρέπει να κάνει το εργαλείο σας #
Με βάση τα παραπάνω, το λογισμικό παραβιάσεων πρέπει να παρέχει:
| Απαίτηση | Γιατί |
|---|---|
| Προαιρετική ταυτότητα αναφέροντος | Ελαχιστοποίηση δεδομένων |
| Χωρίς καταγραφή IP | Διατήρηση ανωνυμίας |
| Αφαίρεση μεταδεδομένων αρχείων | Αποφυγή ακούσιας ταυτοποίησης |
| Κρυπτογράφηση αποθηκευμένων δεδομένων | Ακεραιότητα και εμπιστευτικότητα |
| Παραμετροποιήσιμες περίοδοι διατήρησης | Περιορισμός διατήρησης |
| Αυτόματη διαγραφή ληγμένων υποθέσεων | Εφαρμογή της πολιτικής διατήρησης |
| Έλεγχο πρόσβασης βάσει ρόλων | Εμπιστευτικότητα |
| Αμετάβλητο audit trail | Λογοδοσία |
| Φιλοξενία εντός ΕΕ | Αποφυγή επιπλοκών διεθνών διαβιβάσεων |
| Ενημέρωση απορρήτου στη φόρμα αναφοράς | Διαφάνεια |
Πώς το EthicsPortal καλύπτει το ΓΚΠΔ #
Το EthicsPortal σχεδιάστηκε εξαρχής ώστε να ανταποκρίνεται ταυτόχρονα στην Οδηγία και στο ΓΚΠΔ:
- νομική βάση: η επεξεργασία βασίζεται στη νομική υποχρέωση του άρθρου 6(1)(c)
- ανωνυμία εξ ορισμού: χωρίς καταγραφή IP, χωρίς λογαριασμούς και χωρίς παρακολούθηση, ενώ τα μεταδεδομένα αρχείων αφαιρούνται αυτόματα
- ελαχιστοποίηση δεδομένων: το όνομα και τα στοιχεία επικοινωνίας του αναφέροντος είναι προαιρετικά
- κρυπτογράφηση: περιγραφές, ονόματα, στοιχεία επικοινωνίας και μηνύματα κρυπτογραφούνται στη βάση δεδομένων
- παραμετροποιήσιμη διατήρηση: οι οργανισμοί επιλέγουν περίοδο διατήρησης και οι ληγμένες κλειστές υποθέσεις διαγράφονται αυτόματα
- φιλοξενία στην ΕΕ: όλα τα δεδομένα αποθηκεύονται σε διακομιστές της Hetzner στη Νυρεμβέργη της Γερμανίας
- έλεγχος πρόσβασης: μόνο διαχειριστές και ορισμένοι χειριστές μπορούν να δουν τις αναφορές
- ίχνος ελέγχου: κάθε ενέργεια καταγράφεται για λογοδοσία και κανονιστικό έλεγχο
- διαθέσιμη DPA: η συμφωνία επεξεργασίας δεδομένων είναι διαθέσιμη για όλους τους πελάτες
Για την πλήρη ανάλυση του πώς το EthicsPortal καλύπτει τις κανονιστικές απαιτήσεις, δείτε τη σελίδα μας για συμμόρφωση .
Τελευταία ενημέρωση: