Atunci când iau în considerare drepturile de acces la datele personale procesate intr-o procedura de avertizare de integritate, ar trebui să ia în considerare statutul solicitantului și etapa anchetei, nivelul și sensibilitatea informațiilor deținute (și orice risc asociat de dezvăluire). Drepturile de acces vor varia în funcție de si dacă cererea este făcută de:
– persoana împotriva căreia s-a făcut o acuzație
– avertizorul de integritate
– un martor
– terți
Inainte de aplicarea unei restricții la dreptul la informare si acces (conform GDPR), într-un caz specific, trebuie să fie un faca un test de necesitate și proporționalitate și organizatia trebuie să documenteze motivele care stau la baza deciziei, pentru a fi tinuta responsabila.
Exemplu: Un denunțător (A) raportează o fraudă suspectată de către un coleg și superior (B). După încheierea anchetei, B solicită accesul la datele sale personale prelucrate în acest scop. Părți din afirmațiile făcute de A se califică drept date personale ale lui B. Organizatia ar putea justifica o restricție în temeiul articolului 25 alineatul (1) litera (h) cu privire la faptul că A a furnizat datele și dacă s-ar putea presupune că A a furnizat aceste informații, A ar putea face obiectul represaliilor din partea B. Acest lucru ar trebui să fie documentat intern. În mod evident, lui B nu ar trebui să i se spună că motivul restricției este că A ar putea suferi represalii, deoarece ar anula efectul restricției în conformitate cu articolul 25 alineatul (8). Prin urmare, informațiile comunicate lui B în temeiul articolului 25 alineatul (6) ar trebui formulate într-un mod mai general.
Atunci când se acordă drept de acces la informațiile personale ale oricărei persoane în cauză, informațiile personale ale terților, cum ar fi informatorii, avertizorii sau martorii, ar trebui eliminate din documente, cu excepția unor circumstanțe excepționale, dacă avertizorul autorizează o astfel de dezvăluire, dacă acest lucru este cerut de vreo procedurila penale ulterioara, sau în cazul în care avertizorul face cu rea vointa o declarație falsă.
Dacă exista un risc de identificare al terților, accesul la date ar trebui amânat. Directiva prevede o obligație de confidențialitate (articolul 16 alineatul (1)) cu obligația statelor membre de a se asigura că identitatea persoanei raportoare (avertizorul de integritate) nu este dezvăluită nimănui în afara membrilor personalului autorizat al organizatiei, fără consimțământul explicit al persoanei respective. Acest lucru este deosebit de important pentru a garanta că persoanele sunt protejate de orice riscuri potențiale implicate în dezvăluirea informațiilor lor personale.
Exemplu: Un angajat al UE acuzat de infracțiuni grave solicită instituției toate informațiile personale deținute despre el în legătură cu acuzațiile. O mare parte din aceste informații sunt incluse în mărturiile date de avertizor. Chiar dacă numele avertizorului este șters din aceste documente, identitatea acestora ar putea fi deconspirata prin referire la evenimentele, situațiile și contextele specifice descrise. Astfel, instituția ar trebui să refuze divulgarea acestor informații, justificat de protecția persoanei vizate (Whistleblower) sau a drepturilor și libertăților altora (articolul 25 alineatul (1) litera (h)).