Orice organizatie care colectează, utilizează și stochează (cunoscute în mod colectiv ca procesare) informații personale este responsabilă și răspunzătoare pentru respectarea regulilor de protecție a datelor personale.

În general, oragnizatiile trebuie să fie transparente și explicite cu privire la modul în care prelucrează informațiile personale legate de procedurile de avertizare Whistleblowing. Ele trebuie să-și documenteze politicile și să îi informeze pe utilizatori. Dreptul la confidențialitate și la protecția datelor există și la locul de muncă și oamenii trebuie să fie informați cu privire la procedură. Organizatia nu poate presupune că personalul trebuie sa știe. (Articolul 14 din regulament).

Cel mai bun mod pentru ca o organizatie să fie responsabila, este ca acesta să ia în considerare implicațiile noilor procese în materie de protecție a datelor personale în etapa de proiectare (privacy by design, articolul 27 din regulament). Operațiunile de prelucrare diferite și tehnologiile diferite necesită garanții diferite. Prin implicarea responsabilului cu protecția datelor (DPO) la începutul procesului, aceștia vor putea oferi sfaturi și îndrumări valoroase.

Întrebările enumerate mai jos subliniază principalele probleme de luat în considerare:

a. Confidențialitate: Cum protejezi persoanele implicate?

b. Precizați scopul: Când să utilizați canalul de avertizare?

c. Evitați sa colectati informații excesive: Ce informații sunt necesare în contextual acuzatiilor facute?

d. Identificați sensul informațiilor personale: Care sunt informațiile personale continute in raportul de avertizare?

e. Informați fiecare categorie de subiecti: Cine este afectat de avertizarea de integritate?

f. Ar trebui să se aplice diferite perioade de pastrare a datelor: Cât timp trebuie să păstrez raportul de avertizare si informatiile colectate?

g. Efectuați o evaluare a riscului de securitate a informațiilor: care sunt potențialele riscuri de securitate pentru informațiile personale conținute în sesizarile de avertizare și cum vei trata aceste riscuri?

Pentru a demonstra responsabilitatea, trebuie intocmite proceduri și implementarea acestora trebuie să fie documentate. Sunt necesare următoarele documente:

a. o politică sau reguli interne, sau o decizie privind avertizarile de integritate;

b. limitări ale anumitor drepturi ale persoanelor vizate, motivele pe care se întemeiază limitările și raționamentul in aplicarea unor astfel de restricții;

c. orice amânare a accesului la informații a subiectilor (în conformitate cu regulile interne);

d. evaluarea riscurilor efectuată pentru această procedură specifica Whistleblowing.