Bezpieczeństwo informatyczne i ochrona danych w systemach informowania o nieprawidłowościach

W cyfrowych systemach whistleblowerowych należy wdrożyć szereg wymogów dotyczących bezpieczeństwa IT i ochrony danych. Zgłoszenia od sygnalistów dotyczące naruszeń prawa lub polityki korporacyjnej mogą zawierać dane osobowe, z których część może być wrażliwa. W poniższym wpisie na blogu przedstawiamy zarys zasadniczych wymagań. Ponadto pokażemy, że nasz Hintbox spełnia wszystkie te wymagania, zarówno pod względem technicznym i organizacyjnym, jak i prawnym.

Wykorzystanie najnowszych technologii szyfrowania 

Europejskie prawo ochrony danych stanowi, że administratorzy systemów sygnalizacji świetlnej i podmioty przetwarzające muszą wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom ochrony współmierny do ryzyka. Obejmuje to w szczególności szyfrowanie danych osobowych (art. 32 (1) (a) GDPR). 

Bazy danych Hintbox są kompleksowo zabezpieczone przed nieuprawnionym dostępem przy użyciu najnowocześniejszych technologii szyfrowania. Szyfrowanie TLS (Transport Layer Security) zapewnia bezpieczną transmisję danych pomiędzy Tobą a Hintbox i naszą stroną internetową.

Ponadto, obecnie wdrażamy szyfrowanie end-to-end, od wprowadzenia wskazówki przez sygnalistę do jej przechowywania w naszym hosterze, aby zapewnić naszym klientom najwyższy możliwy standard bezpieczeństwa. W rezultacie dane osobowe w naszym systemie informowania o nieprawidłowościach są szyfrowane na wszystkich stacjach transmisyjnych i tylko uprawnione strony (informator, jak również firma/władza lub osoba odpowiedzialna za zgodność/odpowiedzialna) mogą odszyfrować i zobaczyć dane. Szyfrowanie odbywa się wyłącznie w siedzibie sygnalisty lub kierownika ds. zgodności. Oznacza to, że dane docierają na nasze serwery już zaszyfrowane, dzięki czemu ani my, ani kodeks prawny, ani inne strony trzecie nie mogą w żadnym momencie odczytać tych informacji.

Zapewnienie poufności, integralności i dostępności systemów oraz odzyskiwania danych

Nasz system Hintbox zapewnia również poufność, integralność i dostępność systemów i danych (art. 32 ust. 1 lit. b DSGVO). Każdy użytkownik Hintbox może aktywować bezpieczne uwierzytelnianie 2-factor, aby zapewnić poufność danych. Ponadto każdy z naszych klientów Hintbox otrzymuje własną, oddzielną instancję Hintbox, co zapewnia rygorystyczną separację danych. Nieautoryzowany dostęp do danych osób trzecich jest więc wykluczony dzięki odizolowanemu przechowywaniu danych w naszym systemie whistleblower.

Dzięki zastosowaniu najwyższych technologii szyfrowania oraz indeksowaniu wprowadzanych danych i ich zmian, zapewniamy również integralność danych w Hintboxie. Nasz system whistleblower jest również wysoce dostępny. Umożliwiamy także realizację wymagań dotyczących usuwania danych, wymaganych zarówno przez prawo ochrony danych osobowych, jak i unijną dyrektywę whistleblower. Nasz system whistleblower umożliwia również wdrożenie koncepcji autoryzacji, w której dostęp do otrzymanych zgłoszeń mają tylko poszczególne osoby uprawnione (np. compliance officer).

Ponadto dane można łatwo przywrócić dzięki kopiom zapasowym w czasie rzeczywistym (art. 32 (1) (c) GDPR). W ramach naszego wdrożonego systemu zarządzania ochroną danych skuteczność naszych środków technicznych i organizacyjnych jest również regularnie kontrolowana i oceniana (art. 32 (1) (d) GDPR).

Hosting danych w certyfikowanym centrum danych w Niemczech

Wszystkie dane naszego systemu whistleblower są hostowane w Niemczech w centrum danych z certyfikatem ISO/IEC 27001. Nie ma hostingu danych i nie ma transferu danych do krajów trzecich. Oznacza to, że dla naszych klientów nie ma krytycznych kwestii związanych z transferem do krajów trzecich, które są podnoszone przez organy nadzorujące ochronę danych lub sądy (skuteczność standardowych klauzul umownych lub orzeczeń ETS "Schrems I i II").

Zapewnienie anonimowości

W przypadku anonimowego zgłoszenia Hintbox technicznie zapewnia anonimowość osoby zgłaszającej. Nie są przechowywane adresy IP lub MAC, dane lokalizacyjne ani inne informacje pozwalające na wyciągnięcie wniosków na temat osoby, której dane dotyczą. Dane do logowania dla anonimowego sygnalisty są również generowane losowo i automatycznie. Te dane logowania umożliwiają anonimową komunikację między sygnalistą a pracownikiem ds. zgodności lub osobą odpowiedzialną. Umożliwia to uzupełnienie informacji zawartych w zgłoszeniu lub zadanie pytań uzupełniających.

Spełnienie wymagań w zakresie ochrony danych dla systemu whistleblower

Hintbox przestrzega zasad przetwarzania danych osobowych, a tym samym spełnia wymogi ogólnego rozporządzenia o ochronie danych oraz federalnej ustawy o ochronie danych. Przestrzeganie tych wymogów jest również wyraźnym obowiązkiem dyrektywy UE o ochronie danych osobowych. Przetwarzamy dane osobowe wyłącznie według udokumentowanych instrukcji i na zlecenie naszych klientów jako podmiot przetwarzający. W tym celu zawieramy z naszymi klientami umowę o przetwarzanie na zlecenie zgodnie z art. 28 DSGVO. Umowa ta zawiera również wysokie standardy środków technicznych i organizacyjnych, które zapewniamy w naszym systemie hintbox. Dzięki temu nasz Hintbox spełnia również wymogi organów nadzorczych dotyczące systemu whistleblower (Konferencja Niezależnych Organów Ochrony Danych Rządu Federalnego i Krajów Związkowych, Wytyczne organów nadzorczych ds. ochrony danych w sprawie infolinii Whistleblowing: Company Internal Warning Systems and Employee Data Protection z 14 listopada 2018 r.).