还必须考虑数据保护,特别是有关《吹哨人保护法》。必须遵守举报人、被指控人和公司的数据保护。 GDPR 规定的数据主体(例如被告人)的权利可能与举报人保护相冲突。因此,下面将更详细地解释 GDPR 和 HinSchG 之间的相互作用。
HinSchG 还明确涵盖了适用范围内需要报告或披露的数据保护违规行为(违反 GDPR 的规定),参见 HinSchG 第 2 节第 1 款第 3 项 p)。因此,如果举报人发现公司存在数据泄露,他或她若发布该信息或向外部机构报告则可能受到 HinSchG 的保护。与所有其他报告一样,根据 HinSchG 第 5 节第 1 和第 2 款,此项报告的先决条件始终是:1. 提供信息的人有充分的理由相信传递或披露此信息的内容对于揭露违法行为是必要的,2. 提供信息的人(合理地)假定该信息是正确的,3. 法律的适用范围是开放的,或者提供信息的人(合理地)假定这一点。那么 HinSchG 的保护甚至超越了合同和法定(GeschGehG)保密义务,参见第 5 节第 1 款和第 2 款。
此外,设立的报告机构会处理大量数据,这些数据通常构成 GDPR 第 4 条第 1 款所定义的个人数据,例如有关举报人的信息、案件事实、被告人/(如果适用)。证人,以及从电子邮件、数据库、IT 系统收集的数据。
因此,建立的报告机制需要满足许多 GDPR 要求。
例如,在建立举报人制度之前必须进行数据保护影响评估(GDPR第35条),因为在处理过程中,有关自然人的权利和自由可能会面临高风险。
报告办公室数据收集的法律依据目前是 GDPR 第 6 (1) 条第 1 句 f) 项,即控制者的合法利益。法律依据也可以是劳资协议或集体协议(GDPR 第 88 条与 BDSG 第 26 条第 4 款结合)。随着 HinSchG 的出台,第 10 条为内部报告办公室的处理提供了具体的法律依据。因此,只要处理对于履行《数据保护法》第 13 和 24 条规定的内部报告办公室的任务是必要的,那么该处理就是合法的。
根据《HinSchG》草案第16节第2款,只有负责内部报告办公室或支持该办公室的人员才可以访问报告系统。根据《内部合规法》第 8 条第 1 款第 2 句的规定,只有负责内部报告办公室或后续措施(内部调查合规部门)的人员以及支持这些人员的人员才可以获得有关报告的信息。仅在实施后续措施需要并且得到举报人同意的情况下,才可 乌拉圭号码数据 以披露举报人的身份。
这些保密要求与被告的权利相冲突。如果在被告不知情的情况下通过举报收集了个人数据,则雇主有义务根据《GDPR》第 14 条第 (1) 款和第 (2) 款告知被告有关数据收集和处理的情况,包括信息的目的和来源。事实上,应该向当事人公开举报内容和举报人的身份。在这方面,HinSchG 引用了新 BDSG 第 29 条第 1 款第 1 句的法律依据,根据该条款,如果履行信息提供义务会泄露本质上必须保密的信息,则提供信息的义务就不存在。此外,GDPR 第 14(5)(b) 条规定的例外情况可以适用于此。据此,如果提供信息可能会使处理目的的实现变得不可能或严重损害处理目的,则没有义务提供信息。因此,在对所报告的违规行为进行内部调查时,可以考虑到混淆的风险。然而,如果雇主的保密利益不再占优势,则在程序过程中可能再次出现提供信息的义务。因此,在获得任何证据后(例如通过与被告交谈),雇主应随后尽快履行提供信息的义务。
被告人还可以根据《GDPR》第 15(1)条主张其知情权。这还包括根据 GDPR 第 15 条第 1 款 g) 项的数据来源。但是,根据新 BDSG 第 29 条第 1 款第 2 句的法律依据以及 HinSchG 第 8 条和第 9 条的规定,可以假定 HinSchG 第 8 条和第 9 条的要求授权并有义务举报人对其身份保密,并有权拒绝信息请求而不受处罚。
- Board index
- All times are UTC
- Delete cookies
- Contact us