Cum să fii aliniat la Legea 361/2022 privind avertizarea de integritate
Credibilitatea și încrederea sunt esențiale atunci când vine vorba de avertizarea de integritate. Sistemele de avertizare gestionează adesea informații sensibile referitoare la operațiunile unei persoane sau ale unei companii. În urma implementării Regulamentului general privind protecția datelor (GDPR) și a abrogării Scutului de confidențialitate (mai multe despre aceasta mai jos), protecția avertizorilor este acum în centrul atenției. Sub nicio formă, entitățile externe nu ar trebui să poată solicita sau accesa informațiile în cazurile de avertizare. Din acest motiv, a devenit din ce în ce mai important să alegeți un furnizor european pentru stocarea datelor sistemului de avertizare ales de dvs.
În acest ghid, vom sublinia consecințele invalidării scutului de confidențialitate și ale hotărârii Schrems II pentru companiile europene. De asemenea, vom menționa câteva elemente importante de luat în considerare atunci când alegeți un sistem de avertizare care stochează și gestionează datele personale
Datele cu caracter personal includ toate informațiile despre o persoană identificată sau identificabilă, inclusiv, dar fără a se limita la:
Datele sensibile necesită protecție suplimentară, deoarece divulgarea lor ar putea duce la riscuri semnificative pentru drepturile fundamentale și libertatea individului. Acestea includ informații despre etnie, sexualitate, convingeri politice și religioase, informații despre îngrijirea sănătății, informații genetice și biometrice, precum și condiții sociale și informații referitoare la viața privată a persoanei.
De la implementarea Regulamentului general privind protecția datelor (GDPR), toți cetățenii statelor membre UE se pot bucura de același nivel de protecție a datelor cu caracter personal. Asta înseamnă, de asemenea, că puteți transfera în siguranță date cu caracter personal în zona UE/SEE. Deoarece nu există legi comparabile în afara UE, regulile privind transferurile de date către țări terțe sunt foarte stricte și transferurile de date cu caracter personal sunt permise numai în anumite cazuri specifice.
În acest context, toate țările din afara zonei UE/SEE trebuie considerate „țări terțe”. Ca regulă generală, datele cu caracter personal nu pot fi transferate către țări terțe. Acest lucru se aplică și utilizării unui furnizor extern pentru a procesa sau stoca date, inclusiv stocarea sistemelor de avertizare.
În conformitate cu GDPR, protecția cetățenilor europeni rebuie să se aplice și atunci când se transferă date cu caracter personal în țări din afara UE. Organizația dvs. poate exporta date în țări terțe numai dacă sunt îndeplinite următoarele criterii:
Privacy Shield este o certificare oferită în Statele Unite, prin care companiile americane pot atesta că îndeplinesc anumite cerințe. Anterior, UE a fost de acord că Privacy Shield a asigurat un nivel adecvat de protecție și a oferit o bază validă pentru transferul de date cu caracter personal din UE în Statele Unite.
După o revizuire a acordului de către Curtea Europeană de Justiție (a se vedea Schrems II mai jos), s-a stabilit că Privacy Shield nu a oferit o protecție juridică adecvată împotriva programelor de supraveghere și informații. Legile SUA ar putea permite anumitor autorități americane să solicite acces la datele personale ale cetățenilor UE.
Privacy Shield a permis companiilor europene să utilizeze serviciile cloud americane fără a lua în considerare datele personale care au fost colectate și stocate. Aproximativ 5.000 de companii americane (inclusiv Facebook) au folosit, de asemenea, Privacy Shield pentru a primi date personale de la utilizatorii europeni.
Maximilian Schrems, un activist pentru protecția datelor din Austria, nu a aprobat ca Facebook să-și transfere datele personale în Statele Unite. Acest lucru se datorează faptului că legile americane nu oferă suficientă protecție împotriva activităților serviciilor de informații. Schrems a dus cazul său la autoritatea irlandeză pentru protecția datelor, iar în iulie 2020, Curtea Europeană de Justiție a decis că Acordul UE-SUA privind Privacy Shield nu oferă suficientă protecție. Hotărârea afirmă clar că regulamentul general al UE privind protecția datelor (GDPR) trebuie aplicat și atunci când companiile transferă date cu caracter personal în afara zonei UE/SEE.
Hotărârea Schrems II subliniază că protecția GDPR pentru persoanele fizice trebuie să se aplice transferului de date cu caracter personal. Prin urmare, este interzis transferul de date în țări cu o protecție mai scăzută a datelor cu caracter personal decât garantează UE. Transferurile de date sunt posibile numai atunci când au fost luate suficiente măsuri de protecție.
În iunie 2021, Comisia Europeană a adoptat un nou set de așa-numite „clauze contractuale standard”, pentru a menține același nivel de protecție a libertății personale și a drepturilor fundamentale care se aplică în cadrul UE și pentru a facilita respectarea hotărârii Schrems II. Pentru a îndeplini toate cerințele pentru transferul securizat al datelor cu caracter personal, este posibil ca aceste clauze să fie completate cu măsuri de protecție suplimentare. Acest lucru revine operatorului de date cu caracter personal al organizației să decidă de la caz la caz.
Marile companii americane de servicii cloud, de exemplu Microsoft (Azure și Microsoft 365), și-au asigurat clienții că vor procesa și stoca toate datele în UE, respectând astfel GDPR.
Pe lângă procesul de creare a structurilor paralele, nu există nicio garanție că aceste companii vor putea eluda legislația SUA. FISA – Foreign Intelligence Surveillance Act – este o lege federală care permite autorităților americane să acceseze datele cu caracter personal europene chiar dacă serverele companiei sunt situate fizic pe teritoriul UE.
Maximilian Schrems este fondatorul organizației non-profit „None of Your Business (Noyb)”. Scopul organizației este de a monitoriza conformitatea cu GDPR și alte prelucrări de date care ar putea încălca confidențialitatea. Potrivit acestuia, marile companii americane sunt încă supuse FISA și trebuie să se conformeze autorităților americane dacă li se solicită. Agenția suedeză de protecție a vieții private IMY a deschis și mai multe investigații după ce Noyb a depus plângeri împotriva companiilor suedeze.
În prezent, nu există o soluție unică, ușoară și cuprinzătoare pentru prelucrarea legală a datelor cu caracter personal în SUA sau în orice altă țară din afara UE. Atunci când alege să folosească clauzele contractuale standard, Operatorul de date trebuie să stabilească în continuare, de la caz la caz, dacă sunt necesare orice tip de măsuri suplimentare de siguranță.
Se lucrează încă la crearea unui ecosistem digital european și un cloud de stocare a datelor, însă acest lucru va mai dura. În prezent, cea mai bună soluție pentru companiile europene care prelucrează date cu caracter personal este alegerea unui furnizor european. Făcând acest lucru, puteți garanta că toate datele sunt stocate pe servere din UE/SEE și că toate cerințele conform GDPR sunt îndeplinite. Acest lucru se aplică și în cazul în care transferul este gestionat de un subcontractant.
Este extrem de important ca atât companiile private, cât și organizațiile publice să cunoască tipul de date pe care le colectează și modul în care le gestionează și le stochează. Trebuie să știți în ce mediu se gestionează datele organizației de către furnizorul dvs. de servicii, deoarece este posibil să nu aveți niciun temei legal pentru prelucrarea datelor cu caracter personal în afara UE/SEE. Alegând un furnizor european pentru găzduirea soluției dumneavoastră de avertizare, este posibil să evitați prelucrarea datelor care nu garantează confidențialitatea utilizatorilor. De asemenea, este mult mai ușor să îndepliniți toate cerințele Regulamentului general privind protecția datelor.
Când vine vorba de stocarea datelor soluțiilor noastre de avertizare, Whistlelink are o relație de lungă durată cu GleSYS. GleSYS este o companie scandinavă cu centre de date sigure, de ultimă generație, care respectă toate cerințele legale. Cu o certificare ISO 27001 în sistemele de management al securității informațiilor, GleSYS îndeplinește toate cerințele de securitate în special în ceea ce privește confidențialitatea, acuratețea și disponibilitatea, precum și legile aplicabile.
Viziunea noastră este să oferim tuturor organizațiilor cel mai bun, mai sigur și mai ușor de utilizat sistem de avertizare de pe piață și luăm foarte în serios securitatea datelor. Datorită colaborării noastre îndelungate cu GleSYS, vă putem oferi un serviciu complet de avertizare în care toate datele sensibile sunt stocate pe servere europene (suedeze).
Vrei să afli mai multe despre avertizarea de integritate și canalele sigure? Citește mai multe despre legea avertizorilor de integritate a UE aici și pe EUR-Lex.
Cauți un canal de avertizare de integritate sigur? Citește mai multe aici.
Vrei să discutăm mai multe despre un canal de avertizare de integritate sigur pentru organizația ta?Contactează-ne sau cere un Demo gratis!
Dacă ai vreun comentariu la acest articol sau ai vrea să știi mai multe despre Whistlelink, ne-ar plăcea să ne contactezi.
Whistlelink valorează confidențialitatea. Vă vom contacta doar cu informații legate de soluțiile noastre.Puteți să vă dezabonați oricând. Pentru mai multe informații, citiți Politica de Confidențialitate.
Marți | 09:00 – 09:30
NE BUCURĂM DE CUNOȘTINȚĂ
NE BUCURĂM DE CUNOȘTINȚĂ
Whistlelink valorează confidențialitatea. Vă vom contacta doar cu informații legate de soluțiile noastre. Puteți să vă dezabonați oricând. Pentru mai multe informații, citiți Politica de Confidențialitate.
HAPPY TO MEET YOU!
Whistlelink values your privacy. We will only contact you about our solutions.
You may unsubscribe at any time. For more info, please review our Privacy Policy
