18 marca 2021 w Rzeczpospolitej ukazał się tekst naszego eksperta dra Mirosława Gumularza pt. „Prywatność sygnalisty pod ochroną”.

Poniżej fragmenty tekstu

„Dyrektywa o sygnalistach nie wyklucza stosowania RODO. Wręcz przeciwnie – podkreśla, że rozporządzenie ma zastosowanie do przetwarzania danych zarówno sygnalistów, jak i innych osób, których dotyczy dyrektywa o sygnalistach. Jednocześnie dyrektywa – uszczegóławiając RODO – wskazuje, że dane osobowe, które w sposób oczywisty nie mają znaczenia dla rozpatrywania konkretnego zgłoszenia, nie są powinny być zbierane, a w razie przypadkowego zebrania należy je usunąć bez zbędnej zwłoki”. 

„Niewątpliwie błędem byłoby przyjęcie, że „skoro zgłoszenie ma być / może być anonimowe, to wymogi RODO nie mają zastosowania”. Podmiot projektujący mechanizm zgłaszania naruszeń w swojej organizacji (administrator) powinien ostrożnie przyjąć, że w ramach każdego zgłoszenia może dochodzić do przetwarzania danych osobowych”. 

„Stosowanie RODO oznacza, że w przypadku przetwarzania danych osobowych należy:

– spełnić obowiązek informacyjny wskazujący m.in. jak długo i w jakich celach dane będą przetwarzane,

– ograniczyć zakres i czas przetwarzania przetwarzanych danych do niezbędnego minimum,

– przetwarzać dane wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie przetwarzać dalej w sposób niezgodny z tymi celami, co wymaga kontroli tego, co z informacją dotyczącą sygnalisty się dzieje,

– zapewnić środki bezpieczeństwa dostosowane do poziomu ryzyka naruszenia praw lub wolności osób, których dane będą przetwarzane (nie tylko sygnalisty, ale także osób których dotyczy zgłoszenie); wskazanym środkiem bezpieczeństwa może być m.in. mechanizm dwuskładnikowej (lub wieloskładnikowej) autoryzacji wymagany od osób, które mają dostęp do informacji dotyczącej sygnalisty (np. wewnętrznego systemu obsługującego zgłoszenia),

– przeprowadzić ocenę ryzyka w celu „zmierzenia”, czy planowane lub wdrożone środki ochrony danych są adekwatne do ryzyka dla praw lub wolności osób, których dane są przetwarzane. Biorąc pod uwagę możliwe konsekwencje naruszenia wymogów RODO dla praw lub wolności zarówno sygnalisty, ale także osoby, której zgłoszenie dotyczy (np. jego przełożonego), uwzględniając wagę i prawdopodobieństwo tych konsekwencji (np. dyskryminacja, naruszenie dóbr osobistych, ujawnienie informacji finansowych, itd.) z pewnością ocena ryzyka w wielu sytuacjach wykaże istnienie wysokiego ryzyka, które wymaga wdrożenia odpowiednio wysokich środków”.

Bezpieczne kanały gwarantujące prywatność sygnalisty

Podmioty otrzymujące zgłoszenia mają zdefiniować kanały i procedury na potrzeby dokonywania zgłoszeń i podejmowania działań następczych.  

W kontekście ochrony prywatności należy zwrócić uwagę, że przedstawione procedury muszą zawierać m.in. kanały przyjmowania zgłoszeń zaprojektowane, ustanowione i obsługiwane w bezpieczny sposób zapewniający ochronę poufności tożsamości osoby dokonującej zgłoszenia i osoby trzeciej wymienionej w zgłoszeniu oraz uniemożliwiający uzyskanie do nich dostępu nieupoważnionym członkom personelu.  

Kanały dokonywania zgłoszeń mogą być obsługiwane wewnętrznie przez wyznaczoną do tego celu osobę lub wyznaczony dział lub zapewniane zewnętrznie przez osobę trzecią. Muszą jednak spełnić te same wymogi co do wdrożenia środków bezpieczeństwa”.  

Kategorie: Blog

0 komentarzy

Dodaj komentarz

Avatar placeholder

Twój adres e-mail nie zostanie opublikowany.