Whistleblowing ve světle pokuty společnosti Meta - aneb bezpečnost dat

článek Mathildy Kronér a Henrika Almströma, Morris Law.

Ve světle masivní pokuty podle GDPR, kterou 22. května udělil irský úřad pro ochranu osobních údajů (po závazném rozhodnutí Evropského sboru pro ochranu osobních údajů), by společnosti měly podrobit zkoumání své protokoly o dodržování GDPR, aby zajistily zákonné řízení v souvislosti s nakládáním s osobními údaji. Zejména, pokud jde o předávání osobních údajů do třetích zemí, jako jsou USA. Potřeba zajistit soulad s tímto nařízením a bezpečné předávání osobních údajů je z ekonomického a právního hlediska nyní aktuálnější než kdykoli předtím.

Pokuta ve výši 1,2 miliardy eur uložená vlastníkovi Facebooku, společnosti Meta, je rekordně vysoká a je jasným příkladem pro další vývoj důsledků zneužití osobních údajů fyzických osob při předávání údajů z EU do USA. Což se může stát rizikem i pro data z oznamovacího systému pro whistleblowing.

Bezpečnost na prvním místě – zajistěte bezpečné oznamování a ochranu osobních údajů

Situace whistleblowingu je ze své podstaty považována za citlivou. Tento proces často zahrnuje citlivé osobní údaje, které buď spadají do kategorií stanovených v článku 9 GDPR, nebo údaje týkající se trestných činů stanovených v článku 10 GDPR. Vzhledem k výše uvedenému je důležité zavést postupy, které zajistí správnost a bezpečnost zpracování údajů. Při výběru nebo poskytování služeb whistleblowingu byste proto měli vždy brát ohled především na bezpečnost informací.

Služby whistleblowingu založené v Americe – lze je bezpečně využívat v EU?

Služby whistleblowingu obvykle zahrnují předání osobních údajů zahrnutých do podaných oznámení společnosti, která působí jako poskytovatel služeb. Proto je důležité pečlivě vybírat své dodavatele i subdodavatele a zajistit jejich soulad s GDPR, zejména proto, že přenos může zahrnovat zpracování citlivých osobních údajů. Předávání osobních údajů v rámci EU/EHP je díky GDPR bezpečné a důkladně harmonizované.

Významný rozsudek Schrems II, který prohlásil rozhodnutí Evropské komise o štítu na ochranu soukromí (Privacy Shield) za neplatné bezpečnostní opatření při předávání údajů do USA, vedl k přísným právním požadavkům týkajícím se takového předávání údajů do USA. Zbývající ochranná opatření pro předávání údajů třetím zemím, standardní smluvní doložky (SCC), musí být po rozsudku Schrems II doplněna o další bezpečnostní opatření, aby byla zajištěna zákonnost předávání údajů.

Je potřeba upozornit na fakt, že tyto požadavky se vztahují nejen na poskytovatele služeb se sídlem v USA nebo servery umístěné v USA, ale také na poskytovatele služeb a servery se sídlem v EU, na které se tyto požadavky mohou vztahovat, pokud působí pod kontrolou amerických společností. Takoví poskytovatelé služeb mohou například sídlit v EU a využívat hostingové služby amerických poskytovatelů, jako je Amazon nebo Azure.

Zpracování whistleblowingu – vaše odpovědnost

Vzhledem k tomu, že whistleblowing je spojen se zpracováním citlivých informací, měly by společnosti zajistit, aby bylo bezpečné na ně upozornit. A to jak pro účely interního dodržování předpisů, tak pro ochranu soukromí oznamovatele. Při využívání externí služby whistleblowingu bude poskytovatel služby ve většině případů vystupovat jako zpracovatel údajů a společnost, která službu nakupuje, převezme roli správce údajů.

Vzhledem k tomu, že vaše společnost pravděpodobně při nákupu služby pro oznamovatele vystupuje jako správce údajů, je vaše společnost povinna zajistit, aby byla v celém řetězci zpracování oznámen byla použita vhodná bezpečnostní opatření. To znamená, že vaše společnost bude mít odpovědnost za to, že bezpečné zpracování nebude ohroženo, například v důsledku nedostatečných bezpečnostních opatření ze strany dodavatele.

Jak zajistit bezpečné a vyhovující informování?

Začněte tím, že aktivně převezmete odpovědnost správce údajů. Jak při zapojení nového dodavatele, tak při revizi stávajícího je vždy vhodné vyžádat si informace týkající se souladu služby s právními předpisy. To se odráží v čl. 28 odst. 1 nařízení GDPR v tom, že „správce využívá pouze zpracovatele poskytující dostatečné záruky“ pro zajištění zpracování v souladu s GDPR. Ve světě po Schrems II, nyní ještě umocněném pokutou společnosti Meta, to znamená vyžádat si a obdržet ujišťující informace o tom, jak je poskytovaná služba v souladu s předpisy. Dodavatel, který není schopen poskytnout ujišťující odpovědi alespoň na následující otázky, může představovat riziko pro zapojení (nebo pokračování v zapojení).

Chcete-li zajistit, že vaše služba whistleblowingu je v souladu s GDPR, je nejlepší využít evropského dodavatele nebo subdodavatele. Případně, pokud je nevyhnutelné využít americkou službu, musí vaše společnost zajistit, aby případní američtí dodavatelé a subdodavatelé mohli doložit, že jejich zpracování osobních údajů je v souladu s GDPR.

1. Jsou údaje uloženy v rámci EU?
2. Jsou údaje uloženy pouze na serverech, které nejsou pod kontrolou subjektů se sídlem mimo EU?
3. Pokud je v některém z výše uvedených případů odpověď „Ne“, jaká opatření jsou zavedena k zajištění souladu s GDPR/Schrems II a jak je ověřováno, že jsou tato opatření platná a dostatečná?

Zatímco na první dvě otázky lze odpovědět jednoduše, druhá otázka může zahrnovat složité posouzení toho, co je či není dostatečné. Podle nařízení GDPR leží riziko takových posouzení na správci údajů, přičemž možnosti smluvně přenést riziko na dodavatele/zpracovatele jsou často jen omezené.

Vzhledem k pokutě Meta je na místě obecná revize rizik, díky využívání nezabezpečených dodavatelů a poskytovatelů služeb whistleblowingu, by měly být na seznamu priorit na prvním místě.

Máte zájem dozvědět se více o službě whistleblowingu a bezpečných interních
oznamovacích kanálech? Více informací o směrnici EU o whistleblowingu naleznete zde
a na stránkách EUR-Lex.

Chcete se dozvědět více o službě whistleblowingu a bezpečných interních kanálech pro podávání hlášení? Zde se můžete dozvědět více o komplexním řešení Whistlelink nebo si objednat bezplatnou konzultaci!