W ostatnim miesiącu włoski organ nadzorczy nałożył karę w wysokości 40 tyś. euro na szpital oraz dostawcę usług IT. Jest to wynik kontroli dotyczących przetwarzania danych w najczęściej wykorzystywanych przez włoskich pracodawców systemach zgłaszania naruszeń prawa (ang. whisteblowing).
Dlaczego kara za brak zgodności systemu do zgłaszania naruszeń z RODO?
Organ nadzorczy zauważył, że:
- aplikacja umożliwiała śledzenie użytkowników, w tym sygnalistów, ponieważ rejestrowała i przechowywała dane w dziennikach zapory sieciowej,
- nie przekazano pracownikom żadnych informacji dotyczących przetwarzania ich danych osobowych w celu zgłaszania naruszeń,
- nie przeprowadzono oceny skutków dla ochrony danych w tym celu,
- brak w rejestrze czynności przetwarzania danych osobowych wpisu dotyczącego tej czynności przetwarzania,
- niewłaściwie wykorzystano dane dostępowe do systemu zgłaszania naruszeń podczas zmiany na kolejną osobę.
Ponadto organ nadzorczy miał również uwagi do dostawcy IT.
Dostawca usług IT jako podmiot przetwarzający nie podpisał stosownej umowy z dostawcą usług hostingowych.
Komentarz:
Administrator nie ustanowił odpowiednich środków technicznych i administracyjnych w celu zapewnienia odpowiedniego stopnia bezpieczeństwa przy uwzględnieniu określonego ryzyka.
W Polsce, w związku z ustawą dot. ochrony osób zgłaszających naruszenia prawa (o sygnalistach), są do wyboru różne kanały zgłoszeń. Wiele z nich nie spełnia w pełni wymagań w zakresie bezpieczeństwa i poufności.
Wybierając narzędzia umożliwiające przyjmowanie i obsługę zgłoszeń pamiętaj o analizie ryzyka. Nie zawsze najtańsze rozwiązanie jest na tyle bezpieczne, aby odpowiednio zabezpieczyć sygnalistę, a administratorowi dać gwarancję dopełnienia należytej staranności. Nie zapominajmy tutaj również o zasadach RODO, które obowiązują zawsze wtedy, kiedy mamy do czynienia z danymi osobowymi.
PAMIĘTAJ! Nie wszystkie kanały zgłoszeniowe dla sygnalistów są bezpieczne.
Niektóre z nich, mogą, niezgodnie z prawem posiadać nakładki rejestrujące w dziennikach, pochodzenie wiadomości i załączników, miejsce wysłania czy analizować głos, rejestrować za pomocą kamer i co za tym idzie rozpoznawać osoby, nawet wtedy kiedy można zgłaszać naruszenia anonimowo.
Przed podjęciem decyzji proszę zobaczyć porównanie dostępnych kanałów zgłoszeniowych dla sygnalistów i związanych z nim ryzyka wycieku danych.
Źródło:
https://edpb.europa.eu/news/national-news/2022/whistle-blowing-without-privacy-italian-sa-fines-hospital-and-it-service_en
Zapraszamy do współpracy w zakresie RODO i ochrony sygnalisty.