protectia datelor personale avertizori integritate

Legea Avertizorilor de Integritate a fost adoptată în România cu o oarecare întârziere, intrând în vigoare la data de 22 decembrie și impunând noi obligații pentru marii angajatori în prima fază. Cu toate acestea, ceilalți angajatori cu mai puțin de 250 de angajați nu ar trebui să ignore această lege. În contextul în care unele companii mai au timp să-și pregătească procedurile interne, trebuie efectuate verificări pentru a asigura conformitatea cu regulile de protecție și procesare a datelor personale, indiferent dacă vor avea un canal intern de primire a sesizărilor sau vor apela la un terț. 

Directiva europeană 1937/2019 avea termenul limită pentru transpunerea în legislația română în decembrie 2021, dar un act normativ pe acest subiect a fost emis abia în decembrie anul trecut.

Legea nr. 361/2022 referitoare la protecția avertizorilor în interes public are scopul de a facilita raportarile cu privire la încălcarea legislației în cadrul entităților private, dar și încălcările din cadrul autorităților și instituțiilor publice sau altor persoane juridice de drept public.

Astfel, se impune o obligație pentru companiile private de a crea canale interne de raportare pentru avertizori și proceduri pentru gestionarea raportărilor, dar care se va aplica gradual – începând cu intrarea în vigoare a legii (22 decembrie 2022) pentru cei care au 250 de angajați sau mai mulți și începând din 17 decembrie 2023 pentru cei care au între 50 și 249 de angajați.

Consultantii in protectia datelor personale au atras atenția asupra faptului că există o serie de verificări care trebuie realizate în contextul prelucrării datelor personale ale informatorilor. Astfel, dacă angajatorii trebuie să aibă un canal intern, fie că există deja sau este în proces de implementare, analiza realizată trebuie să răspundă la următoarele probleme:

  • Cum și atunci când sunt colectate date personale – de exemplu, prin înregistrarea convorbirilor, prin e-mail sau prin intermediul unei platforme specializate.
  • Cine pot fi persoanele ale căror informații vor fi procesate? Pot fi angajați, colaboratori, sau parteneri de afaceri, persoane implicate intr-un proces de recrutare.
  • Ce informații personale trebuie să fie colectate într-un anumit formular?
  • Există posibilitatea să apară situații în care vor fi procesate date personale cu caracter special ?
  • Ce anume se urmărește cu fiecare tip de date în momentul în care vor fi procesate?
  • În ce privește aceste date, ce lege poate fi folosită ca si baza legala de procesare?
  • Pentru cât timp vor fi păstrate informațiile personale?
  • Cine va putea să acceseze informațiile respective, atât intern cât și extern, de unde (din ce țară și prin ce mijloc) și în ce situații.

Pentru a realiza o analiză exhaustivă și a lua în considerare toate aspectele menționate anterior, trebuie să acordăm atenție problemelor care țin de protecția datelor personale, interesul legitim și transferul acestora. Dacă angajatorul apelează la o companie specializată în aceste tipuri de raportari, și nu la canalul intern de sesizare, este important să se stabilească unele aspecte înainte de semnarea contractului și în faza de negociere.

  • Determinarea rolurilor și responsabilităților în ceea ce privește protecția datelor personale.
  • Verificarea istoricului terțului pentru a se asigura că oferă suficiente garanții referitoare la protecția datelor.
  • Verificarea în care țară vor fi păstrate informațiile personale, sau in ce stat vor fi ele utilizate;
  • Acordul referitor la procesul de audit a măsurilor de protecție a datelor.
  • Identificarea, verificarea si punerea in practica a masurilor sau a controlului necesar pentru a garanta protectia datelor.
  • Accesul la datele personale stocate este permis doar unui număr restrâns de persoane.
  • Confidențialitatea, accesibilitatea și integritatea datelor personale sunt garantate de la începutul colectării lor până la ștergerea acestora.
  • Limitarea prelucrării datelor personale, cu excepția cazului în care acestea sunt stocate.
  • Învățarea din incidentele de securitate sau raportarea acestora.
  • Posibilitatea de a crea o copie a informațiilor cu caracter personal pentru a respecta drepturile de acces și portabilitate.

Pentru cei care nu au încă un canal intern de raportare, o procedură bine stabilită și un responsabil desemnat, data de 22 decembrie, când intră în vigoare Legea Whistleblower, este un semn de alarmă că trebuie să acționeze rapid pentru a evita aplicarea de amenzi mai târziu (care pot ajunge până la 40.000 de lei).

Intrebari si raspunsuri despre ce inseamna un avertizor de integritate