Italiensk tilsynsmyndighed for databeskyttelse

Den 10. juni 2021 pålagde den italienske databeskyttelsesmyndighed GARANTE PER LA PROTEZIONE DIE DATI PERSONALI (GPDP) Bologna Airport en bøde på 40.000 euro, jf. 9685922. Den pågældende virksomhed havde bestilt en leverandør eller databehandler til at levere et digitalt whistleblowing-system. Brugerne kunne bruge dette system - også anonymt - til at indberette juridiske uregelmæssigheder. De italienske retlige rammer foreskriver især for den offentlige og private sektor, at whistleblowere, der afslører deres identitet, skal beskyttes mod repressalier og diskriminerende foranstaltninger. 

Idriftsættelse af et digitalt whistleblower-system 

Leverandøren anvendte allerede ikke en sikker netværksprotokol (ikke engang https-protokollen) til dataoverførsel, selv om whistleblower-systemet er tilgængeligt via internettet. De data, der blev lagret i databasen, var heller ikke krypteret. Desuden blev logdata om brugernes navigationsadfærd i whistleblower-systemet lagret via en firewallkonfiguration. Desuden havde den pågældende virksomhed ikke foretaget en konsekvensanalyse vedrørende databeskyttelse i forbindelse med gennemførelsen af whistleblowersystemet. 

Den italienske databeskyttelsesmyndighed anså den pågældende virksomheds adfærd for at være flere overtrædelser af kravene i den generelle forordning om databeskyttelse ("GDPR") og pålagde en bøde på 40 000 EUR:

Manglende kryptering - overtrædelse af art. 32 GDPR

Den italienske databeskyttelsesmyndighed så en overtrædelse af den obligatoriske gennemførelse af tekniske og organisatoriske foranstaltninger i henhold til art. 32, stk. 1, litra a), og art. 5, stk. 1, litra f), i GDPR, idet virksomheden ikke implementerede passende krypteringsmekanismer til transport og opbevaring af meddelelserne. Protokollen http (Hypertext Transfer Protocol) kan ikke garantere fortroligheden såvel som integriteten af dataene i meddelelserne, der udveksles mellem whistleblowerens browser og udbyderens server. Desuden kan whistleblowersystemets websted ikke verificeres af whistlebloweren. Der blev også gjort indsigelse mod, at oplysningerne om tipdene i whistleblower-systemets database blev lagret ukrypteret. 

Den italienske databeskyttelsesmyndighed understregede især også, at arten af de data, der er omfattet af meddelelsen, og de store risici, der kan opstå som følge af misbrug af disse data, kræver en høj krypteringsmekanisme.  

Den pågældende virksomheds argument om, at de mere omfattende datasikkerhedsforanstaltninger ville have medført yderligere omkostninger, ændrede ikke noget ved databeskyttelsesmyndighedens overtrædelse. Desuden er den pågældende virksomhed også ansvarlig for overholdelsen af sådanne foranstaltninger, når der er tale om en databehandler. 

Afvisning af logning - overtrædelse af art. 25 GDPR

Bemærkelsesværdig og ofte ikke taget i betragtning i praksis var klagen fra tilsynsmyndigheden for databeskyttelse om, at logning af navigationsprocesser for whistleblowere på whistleblower-systemets websted udgør en overtrædelse af artikel 6, stk. 5, stk. 1, litra f), art. 25 og art. 32 i GDPR. 

På grund af en firewall-konfiguration blev medarbejdernes adgang til whistleblower-systemets websted med arbejdsstationer eller personlige enheder, der var forbundet med virksomhedens netværk, gemt i logfiler og opbevaret i 90 dage. Disse indeholdt IP-adressen og - på grund af en forbindelse med Active Directory - også brugernavnet. 

Dette udgjorde en overtrædelse af princippet om "databeskyttelse ved udformning" og "databeskyttelse ved standardindstillinger" i henhold til artikel. 25 GDPR. Whistleblower-systemer skal derfor være udformet på en sådan måde, at der ikke lagres logfiler. I modsat fald er fortroligheden og anonymiteten i fare. 

Manglende konsekvensanalyse af databeskyttelse 

Den italienske tilsynsmyndighed for databeskyttelse gjorde også indsigelse mod, at den pågældende virksomhed ikke havde foretaget en konsekvensanalyse af databeskyttelsen i henhold til art. 35 GDPR. Dette skulle imidlertid have været gjort i forbindelse med gennemførelsen af et whistleblower-system. Tipene kan indeholde følsomme oplysninger. De kan indeholde oplysninger om formodede lovovertrædelser og have massive konsekvenser for den anklagede og whistlebloweren. Dette udgør en særlig risiko for de registreredes rettigheder og frihedsrettigheder. 

Gennemfør alle krav med vores Hintbox

Den italienske tilsynsmyndighed for databeskyttelse fremhæver to aspekter i sin afgørelse: For det første kan fortrolighed og anonymitet i princippet kun garanteres af et digitalt whistleblower-system. For det andet kræver et sådant whistleblowersystem, at der gennemføres nogle tekniske foranstaltninger. Vores Hintbox gennemførte alle kravene i databeskyttelseslovgivningen og specifikationerne fra databeskyttelsestilsynsmyndighederne på en lovlig måde. 

End-to-end-kryptering og databasekryptering

Alle oplysninger og al kommunikation mellem whistlebloweren og den ansvarlige for overholdelse af reglerne er krypteret fra ende til ende. Desuden er dataene i databasen krypteret igen. Dataene er hostet i et ISO-27001-certificeret datacenter i Tyskland. 

Ingen sporing af IP-adresser eller andre enhedsdata

Ingen data eller oplysninger, såsom IP-adresse eller andre enhedsdata, gemmes, når du bruger vores whistleblower-system. Dette er den eneste måde at sikre fortrolighed og anonymitet på.

Vi hjælper dig med din konsekvensanalyse af databeskyttelse

Vi hjælper naturligvis din virksomhed gratis med din konsekvensanalyse af databeskyttelsen, så du kan gennemføre alle kravene i art. 35 DSGVO hurtigt og korrekt.