GDPR 与举报:您为何无需诉诸于同意

通过举报系统发送报告的人员可能会在其留言中留下个人数据。组织如果想为员工、供应商或其他各方建立举报系统,则必须考虑其中所牵涉到的隐私问题。如何将举报和 GDPR 切实结合起来?

第 2016/679 号(欧盟)条例(《通用数据保护条例》GDPR)第 6 条要求提供“处理的合法性”。“同意”似乎是不错的做法。其实不然。这种做法不适用于举报。

为什么不适用呢?

同意必须是“自愿给予的”,但是雇主和员工之间存在依赖关系。如果老板提出要求,大多数员工就会直接同意。在第 2/2017 号意见 (WP 249) 中,第 29 条“数据保护工作组”阐明:“除非在特殊情况下,雇主必须凭借其他的法律依据,而非同意”。

从更实际的角度来说:同意是不可靠的依据。它可以随时被撤销。如果您正在进行重大调查,而某个员工突然决定撤销同意,您会怎么做?

撇开法律和实际角度不谈,我们姑且假设员工受到了性骚扰。贵公司的举报系统有“同意”选项,举报人必须勾选该选项以后才能举报。该员工最终鼓起勇气准备匿名发声,而面临的首要问题却是:“您是否同意他人处理您的个人数据?” 这样极有可能吓住举报人,他们甚至可能决定公开举报。您不应错过重大案例!

所以,“同意”行不通。既然如此,如何在举报中遵守 GDPR

应以维护合法权益为数据处理依据,这样,您就必须检测可能在早期阶段未检测到的不端行为。最后,不要忘记:数据保护和隐私权非常重要,但我们的最终目标是建立有效的举报机制。人们应该畅所欲言,这样贵组织才能真正检测并处理重大不行为!

咨询我们的专家

想要了解更多、讨论想法或分享观点?

取得联系

Share this page