Włoski organ nadzorczy ds. ochrony danych

W dniu 10 czerwca 2021 r. włoski organ ochrony danych GARANTE PER LA PROTEZIONE DIE DATI PERSONALI nałożył grzywnę w wysokości 40 000 euro na Bologna Airport, sygn. 9685922. Wspomniane przedsiębiorstwo zleciło dostawcy lub podmiotowi przetwarzającemu dostarczenie cyfrowego systemu informowania o nieprawidłowościach. Użytkownicy mogli korzystać z tego systemu - również anonimowo - w celu zgłaszania nieprawidłowości prawnych. Włoskie ramy prawne przewidują w szczególności dla sektora publicznego i prywatnego, że osoby zgłaszające nieprawidłowości, które ujawniają swoją tożsamość, mają być chronione przed represjami i środkami dyskryminacyjnymi. 

Zlecenie stworzenia cyfrowego systemu informowania o nieprawidłowościach 

Dostawca nie stosował już bezpiecznego protokołu sieciowego (nawet protokołu https) do przesyłania danych, mimo że system sygnalistów jest dostępny przez Internet. Dane przechowywane w bazie danych również nie były szyfrowane. Ponadto dane z dziennika dotyczące zachowania nawigacyjnego użytkowników systemu whistleblower były przechowywane za pośrednictwem konfiguracji zapory sieciowej. Ponadto zainteresowane przedsiębiorstwo nie przeprowadziło oceny skutków w zakresie ochrony danych przy wdrażaniu systemu informowania o nieprawidłowościach. 

Włoski urząd ochrony danych uznał zachowanie wspomnianej firmy za kilka naruszeń wymogów ogólnego rozporządzenia o ochronie danych ("GDPR") i nałożył grzywnę w wysokości 40 000 euro:

Brak szyfrowania - naruszenie art. 32 GDPR

Włoski organ ochrony danych dostrzegł naruszenie obowiązkowego wdrożenia środków technicznych i organizacyjnych zgodnie z art. 32 (1) (a) i Art. 5 (1) (f) GDPR, ponieważ firma nie wdrożyła odpowiednich mechanizmów szyfrowania do transportu i przechowywania ogłoszeń. Protokół http (Hypertext Transfer Protocol) nie może zagwarantować poufności, jak również integralności danych w zawiadomieniach wymienianych pomiędzy przeglądarką sygnalisty a serwerem dostawcy. Ponadto autentyczność strony internetowej systemu informowania o nieprawidłowościach nie może być zweryfikowana przez informatora. Zastrzeżono również, że dane wskazówek w bazie danych systemu sygnalistów są przechowywane w sposób niezaszyfrowany. 

W szczególności włoski organ ochrony danych podkreślił również, że charakter danych z ogłoszenia oraz wysokie ryzyko, które może wynikać z niewłaściwego wykorzystania tych danych, wymagają zastosowania wysokiego mechanizmu szyfrowania.  

Argument zainteresowanego przedsiębiorstwa, że szersze środki bezpieczeństwa danych spowodowałyby dalsze koszty, nie zmienił niczego w kwestii naruszenia przepisów przez organ ochrony danych. Ponadto zainteresowane przedsiębiorstwo jest również odpowiedzialne za przestrzeganie takich środków, gdy działa podmiot przetwarzający. 

Niedopuszczalność logowania - naruszenie art. 25 GDPR

Godny uwagi, a często nieuwzględniany w praktyce był zarzut organu nadzorczego ds. ochrony danych osobowych, że logowanie procesów nawigacyjnych sygnalistów na stronie internetowej systemu sygnalistów stanowi naruszenie art. 5 ust. 1 lit. f), art. 25 i Art. 32 GDPR. 

Ze względu na konfigurację firewalla, wejścia pracowników na stronę internetową systemu whistleblower za pomocą stacji roboczych lub urządzeń osobistych podłączonych do sieci korporacyjnej były zapisywane w plikach logów i przechowywane przez 90 dni. Zawierały one adres IP oraz - ze względu na połączenie z Active Directory - także nazwę użytkownika. 

Stanowiło to naruszenie zasady "ochrony danych przez projektowanie" i "ochrony danych przez ustawienia domyślne" zgodnie z art. 25 GDPR. Systemy informowania o nieprawidłowościach muszą być zatem zaprojektowane w taki sposób, aby nie były przechowywane pliki dziennika. W przeciwnym razie zagrożona jest poufność i anonimowość. 

Brak oceny skutków dla ochrony danych 

Włoski organ nadzorczy ds. ochrony danych sprzeciwił się również temu, że przedmiotowa spółka nie przeprowadziła oceny skutków w zakresie ochrony danych zgodnie z art. 35 GDPR. Należało to jednak zrobić przy wdrażaniu systemu informowania o nieprawidłowościach. Wskazówki mogą zawierać dane wrażliwe. Mogą zawierać informacje o podejrzeniu naruszenia prawa i mieć masowe konsekwencje dla oskarżonego i sygnalisty. Stwarza to szczególne zagrożenia dla praw i wolności osób, których dane dotyczą. 

Wdrożenie wszystkich wymagań za pomocą naszego Hintboxa

Decyzja włoskiego organu nadzorczego ds. ochrony danych zwraca uwagę na dwa aspekty: Po pierwsze, poufność i anonimowość może zagwarantować w zasadzie tylko cyfrowy system whistleblower. Po drugie, taki system whistleblower wymaga wdrożenia pewnych środków technicznych. Nasz Hintbox wdrożył wszystkie wymagania prawa o ochronie danych oraz specyfikacje organów nadzorujących ochronę danych w sposób zgodny z prawem. 

Szyfrowanie end-to-end i szyfrowanie bazy danych

Wszystkie informacje i komunikacja pomiędzy sygnalistą a pracownikiem ds. zgodności są szyfrowane end-to-end. Ponadto, dane w bazie danych są ponownie szyfrowane. Dane są hostowane w centrum danych z certyfikatem ISO-27001 w Niemczech. 

Brak śledzenia adresów IP lub innych danych z urządzeń

Podczas korzystania z naszego systemu gwizdów nie są przechowywane żadne dane ani informacje, takie jak adres IP lub inne dane urządzenia. Jest to jedyny sposób na zapewnienie poufności i anonimowości.

Wspieramy Cię w przeprowadzeniu oceny skutków dla ochrony danych osobowych

Oczywiście bezpłatnie wspieramy Państwa firmę przy ocenie skutków dla ochrony danych, aby mogli Państwo szybko i prawidłowo wdrożyć wszystkie wymagania Art. 35 DSGVO szybko i prawidłowo.