Sarbanes-Oxley Act del 2002, ha adottato come reazione a scandali societari, ha un impatto significativo sulle imprese europee. Il motivo è semplice: centinaia di aziende con sede europea è doppiamente elencati su due borse, uno in Europa e l'altro negli Stati Uniti. 470 aziende non-US sono elencate sul New York Stock Exchange, con una capitalizzazione di mercato combinata di 3,8 miliardi di dollari, il 30 per cento del valore complessivo di capitalizzazione delle società quotate in borsa.
Direttiva sulla protezione di dati dell'UE
Cosa sono i dati personali (secondo l'UE)? I dati personali possono essere qualsiasi informazione concernente una persona fisica identificata o identificabile (direttamente o indirettamente): nome, numero di telefono, foto. Dati specifici alla sua identità fisica, fisiologica, mentale, economico, culturale o sociale. Che cosa è il trattamento dei dati personali? Qualsiasi operazione effettuata su dati personali se non con mezzi automatici
I titolari del trattamento devono rispettare le seguenti regole: dati devono essere pertinenti e non eccessivi in relazione allo scopo per cui vengono elaborati. Dati devono essere accurati.
I titolari del trattamento sono tenuti a fornire misure ragionevoli per i soggetti di dati di rettificare la cancellazione o il blocco di dati non corretti su di loro. La direttiva vieta il trasferimento di dati personali a paesi di fuori dell'UE, che la mancanza di un'adeguata protezione della privacy.
Sarbanes Oxley
Sezione 301. Comitati di controllo di società pubblica: ciascuna Commissione di revisione contabile deve stabilire procedure per:
(A) la ricevuta, conservazione e trattamento delle denunce ricevute dall'emittente per quanto riguarda i controlli contabili interni, contabilità, o di revisione di materia; e
(B) la presentazione riservata, anonima da dipendenti dell'emittente delle preoccupazioni per quanto riguarda la contabilità discutibile o questioni di controllo
La sfida
Come una società statunitense con sede in tutta l'UE può rispettare i principi di preavviso e scelta delle leggi di protezione dei dati dell'UE mentre simultaneamente conformi ai requisiti whistle blower sotto Sarbanes Oxley?
Come possiamo avere entrambi:
1. Una hotline di Sarbanes Oxley segnalato servizio per i dipendenti di utilizzare in modo anonimo, e
2. Un controllo di protezione dei dati: dati soggetti devono imparare, rettificare, cancellare o bloccare i dati non corretti su di loro.
I problemi
Il 14 giugno 2005 l'autorità francese per la protezione dei dati si rifiutò di autorizzare l'uso di hotline informatore anonimo. Vista dell'autorità francese era che tale Hotline sono "sproporzionata rispetto agli obiettivi perseguiti e i rischi di denunce calunniose e la stigmatizzazione dei dipendenti che sono stati i temi di un avviso di etica."
In una simile decisione un tribunale del lavoro tedesco ha stabilito che le parti di un codice di dipendente di conducono dipendenti invitanti per segnalare il comportamento scorretto una hotline di informatori di violato il diritto del lavoro tedesco.
Prime indicazioni da UK informazioni Commissari Office (ICO) sono che diminuirebbe di seguire l'approccio francese e tedesco. In contrasto con le decisioni di francesi e tedesche, vista di ICO è che l'uso appropriato di tali helpline da organizzazioni non, in linea di principio, solleverebbe problemi di protezione dei dati.
Tuttavia, dove organizzazioni sviamento tali hotline anonime per finalità di raccolta di informazioni inadeguate ci possono essere le implicazioni di protezione dei dati.
Raccomandazioni
Le aziende che sono quotate negli Stati Uniti e hanno anche operazioni nell'Unione europea devono essere molto attente con le disposizioni di informatore degli Stati Uniti Sarbanes-Oxley Act del 2002.
Prima di tutto, prima di implementare Sarbanes Oxley hotline in reporting services, le aziende devono chiedere il permesso da autorità locali per la protezione dei dati.
Reclami devono essere elaborati all'interno dell'Unione europea. Le aziende devono stabilire procedure di inchiesta locale. L'indagato avrebbe avuto la possibilità di esprimersi entro due giorni. Nel caso in cui l'indagine mostra che le accuse erano infondate, i dati devono essere eliminati entro due giorni la chiusura del caso. Se le accuse sono determinate a essere fondate, il file avrebbe mantenuto da uno a cinque anni dopo il caso è stato chiuso (a seconda del livello di gestione).
Può EU davvero proteggere dipendenti dalle disposizioni informatore?
N. Se una società pubblica statunitense elenca sul suo sito sito Web o intranet che ha un telefono numero o indirizzo e-mail dove reclami anonimi possono essere ricevuti, anche se tale sito non è indirizzato a o pubblicizzato nell'UE, un dipendente in Europa può ancora andare al sito e presentare una denuncia anonima.
No comments:
Post a Comment