Serviciile de avertizare de integritate din perspectiva amenzii Meta - ce trebuie luat erații care trebuie făcute atunci când se alege un furnizor de servicii de whistleblowing

de Mathilda Kronér și Henrik Almström, Morris Law.

Având în vedere amenda masivă în baza GDPR emisă de Autoritatea irlandeză pentru protecția datelor (după o decizie obligatorie în acest sens din partea Comitetului european pentru protecția datelor) la 22 mai, companiile ar trebui să își analizeze atent protocoalele de conformitate cu GDPR pentru a asigura un management legal în ceea ce privește gestionarea datelor cu caracter personal. Mai ales atunci când vine vorba de transferul de date cu caracter personal către țări terțe precum SUA. Nevoia de a asigura conformitatea în acest sens și transferurile sigure de date cu caracter personal este, din punct de vedere economic, acum mai relevantă ca niciodată.

Amenda de 1,2 miliarde de euro impusă proprietarului Facebook, Meta, este o sumă record și constituie un exemplu clar pentru viitor în ceea ce privește consecințele utilizării abuzive a datelor cu caracter personal ale persoanelor fizice în cazul transferului de date din UE în SUA.

Siguranța înainte de toate – asigurați siguranța avertizării și protecția datelor cu caracter personal

O situație de avertizare de integriatte este, prin natura ei, considerată sensibilă. Procesul implică adesea date cu caracter personal sensibile care fie se încadrează în categoriile stipulate la articolul 9 din RGPD, fie sunt date privind infracțiuni penale stipulate la articolul 10 din RGPD. Având în vedere cele de mai sus, este important să se implementeze proceduri pentru a se asigura că prelucrarea datelor este corectă și sigură. Prin urmare, atunci când alegeți sau furnizați servicii de avertizare, ar trebui să aveți întotdeauna în vedere siguranța.

Furnizorii de whistleblowing cu sediul în America – sunt siguri pentru UE?

Serviciile de whistleblowing implică, de obicei, un transfer al datelor cu caracter personal incluse în sesizare către compania care acționează ca furnizor de servicii. Prin urmare, este important să vă alegeți cu atenție furnizorii, și să vă asigurați de conformitatea acestora cu GDPR, mai ales că transferul poate implica prelucrarea de date cu caracter personal sensibile. Transferurile de date cu caracter personal în cadrul UE/SEE sunt sigure și armonizate temeinic prin intermediul GDPR.

Hotărârea Schrems II, care a declarat invalidă Decizia privind Scutul de confidențialitate al Comisiei Europene (Privacy Shield) ca măsură de securitate în cazul transferului de date către SUA, a condus la cerințe legale stricte în ceea ce privește astfel de transferuri de date către SUA. Garanția pentru transferurile din țări terțe, clauzele contractuale standard (SCC), trebuie, după Schrems II, să fie modificate cu măsuri de securitate suplimentare pentru a asigura legalitatea transferurilor.

În special, aceste cerințe se aplică nu numai furnizorilor de servicii sau serverelor cu sediul în SUA, ci și furnizorilor de servicii și serverelor cu sediul în UE, care pot face obiectul cerințelor dacă funcționează sub controlul unor societăți din SUA. De exemplu, astfel de furnizori de servicii pot fi localizați în UE și pot utiliza servicii de găzduire de la furnizori din SUA, cum ar fi Amazon sau Azure.

Lanțul de avertizare – responsabilitatea dumneavoastră

Deoarece avertizarea este legată de prelucrarea informațiilor sensibile, companiile ar trebui să garanteze siguranâa acesteia. Atât în scopuri de conformitate internă, cât și pentru a proteja confidențialitatea avertizorului. Atunci când se utilizează un serviciu extern de avertizare de integritate, furnizorul va acționa, în majoritatea cazurilor, în calitate de operator de date, iar compania care achiziționează serviciul își va asuma rolul de operator de date. Deoarece compania dvs. acționează probabil în calitate de operator de date cu caracter personal atunci când achiziționați un serviciu de avertizare, compania dvs. are responsabilitatea de a se asigura că sunt aplicate măsuri de securitate adecvate pe parcursul întregului lanț de prelucrare. Acest lucru înseamnă că societatea dumneavoastră va avea responsabilitatea de a se asigura că prelucrarea sigură nu este pusă în pericol, de exemplu, prin lipsa măsurilor de securitate ale unui furnizor.

Cum să asigurați siguranța și conformitatea avertizării?

Pentru început, asumați-vă în mod activ responsabilitatea de operator de date. Atât la angajarea unui nou furnizor, cât și la revizuirea unui furnizor actual, solicitarea de informații cu privire la conformitatea juridică a serviciului este întotdeauna oportună. Acest lucru este reflectat în articolul 28.1 din RGPD, în sensul că „operatorul utilizează numai împuterniciți care oferă garanții suficiente” pentru a asigura o prelucrare conformă cu RGPD. Într-o lume post-Schrems II, acum exagerată și mai mult de amenda Meta, acest lucru înseamnă să solicitați și să primiți informații cu privire la modul în care serviciul furnizat este conform. Un furnizor care nu poate oferi răspunsuri adecvate cel puțin la următoarele întrebări, poate constitui un risc pentru contractare.

Pentru a vă asigura că serviciul dvs. de avertizare de integritate este conform cu GDPR, cel mai bine este să utilizați un furnizor european. Alternativ, atunci când este inevitabil să folosiți un serviciu american, compania dvs. trebuie să se asigure că orice furnizor american poate prezenta documente care să ateste că prelucrarea datelor cu caracter personal este conformă cu GDPR.

1. Datele sunt stocate în UE?
2. Datele sunt stocate doar pe servere care nu se află sub controlul unor entități cu sediul în afara UE?
3. Dacă răspunsul este „Nu” la oricare dintre cele de mai sus, ce măsuri sunt implementate pentru a asigura conformitatea cu GDPR/Schrems II și cum se verifică dacă aceste măsuri sunt valabile și suficiente?

În timp ce primele două întrebări oferă răspunsuri simple, cea de-a doua poate implica o evaluare complexă cu privire la ceea ce este suficient sau nu. În conformitate cu GDPR, riscul unor astfel de evaluări revine operatorului de date, deseori cu posibilități limitate de a transfera contractual riscul către furnizor/persoana împuternicită de operator.

Având în vedere amenda Meta, este relevantă o revizuire generală a expunerii la risc în urma utilizării furnizorilor, iar serviciile de avertizare ar trebui să se afle pe lista de priorități.

Vrei să afli mai multe despre serviciile de avertizare și canalele interne sigure? Citește mai multe despre Directiva UE privind avertizarea de integritate aici și la EUR-Lex.

Vrei să afli mai multe despre un serviciu de avertizare și despre canalele interne sigure pentru raportarea abaterilor? Poți afla mai multe despre soluția all-in-one Whistlelink aici sau poți solicita un Demo gratuit!