Jak zachować zgodność z Ustawą o ochronie sygnalistów?
Wiarygodność jest niezbędna, jeśli chodzi o rozwiązanie whistleblowingowe. Systemy do raportowania spraw sygnalistów często obsługują wrażliwe informacje dotyczące osób lub działalności firmy. Po wdrożeniu ogólnego rozporządzenia o ochronie danych (GDPR, pol. RODO) i uchyleniu Tarczy Prywatności (więcej na ten temat poniżej), ochrona sygnalistów znajduje się teraz w centrum uwagi. W żadnym wypadku podmioty zewnętrzne nie powinny mieć możliwości zażądania lub uzyskania dostępu do informacji w sprawach dotyczących sygnalistów. Z tego powodu coraz ważniejszy staje się wybór europejskiego hostingu rozwiązania whistleblowingowego.
W tym przewodniku przedstawimy konsekwencje unieważnienia Tarczy Prywatności i wyroku Schrems II dla firm europejskich. Wspomnimy również o kilku ważnych kwestiach, które należy wziąć pod uwagę przy wyborze rozwiązania dla sygnalistów, które przechowuje i zarządza danymi osobowymi.
Dane osobowe obejmują wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie, w tym między innymi:
Dane wrażliwe wymagają dodatkowej ochrony, ponieważ ich ujawnienie może skutkować znacznym zagrożeniem dla praw podstawowych i wolności jednostki. Obejmuje to informacje na temat pochodzenia etnicznego, orientacji seksualnej, przekonań politycznych i religijnych, informacje dotyczące opieki zdrowotnej, informacje genetyczne i biometryczne, a także warunki społeczne i informacje dotyczące życia prywatnego danej osoby.
Od czasu wdrożenia ogólnego rozporządzenia o ochronie danych (GDPR) wszyscy obywatele państw członkowskich UE mogą korzystać z takiego samego poziomu ochrony danych osobowych. Oznacza to również, że możesz bezpiecznie przesyłać dane osobowe w ramach obszaru UE/EOG. Ponieważ nie ma porównywalnych przepisów poza UE, przepisy dotyczące przekazywania danych do państw trzecich są bardzo surowe, a przekazywanie danych osobowych jest dozwolone tylko w niektórych szczególnych przypadkach.
W tym kontekście wszystkie kraje spoza obszaru UE/EOG należy uważać za „państwa trzecie”. Co do zasady dane osobowe nie mogą być przekazywane do państw trzecich. Dotyczy to również korzystania z usług zewnętrznego dostawcy do przetwarzania lub przechowywania danych, w tym hostingu rozwiązania whistleblowingowego.
Zgodnie z GDPR ochrona obywateli europejskich musi mieć również zastosowanie przy przekazywaniu danych osobowych do krajów spoza UE. Twoja organizacja może eksportować dane do krajów trzecich tylko wtedy, gdy spełnione są następujące kryteria:
Tarcza Prywatności to samocertyfikacja w Stanach Zjednoczonych, w której firmy amerykańskie mogą zaświadczyć, że spełniają określone wymagania. Wcześniej UE uzgodniła, że ramy Tarczy Prywatności zapewniają odpowiedni poziom ochrony i stanowią ważną podstawę przekazywania danych osobowych z UE do Stanów Zjednoczonych.
Po dokonaniu przeglądu umowy przez Europejski Trybunał Sprawiedliwości (zob. Schrems II poniżej) ustalono, że Tarcza Prywatności nie zapewnia odpowiedniej ochrony prawnej przed programami inwigilacji i wywiadu. Przepisy amerykańskie mogą umożliwić niektórym władzom amerykańskim zażądanie dostępu do danych osobowych obywateli UE.
Tarcza Prywatności umożliwiła europejskim firmom korzystanie z amerykańskich usług w chmurze bez uwzględniania zgromadzonych i przechowywanych danych osobowych. Około 5000 amerykańskich firm (w tym Facebook) również korzystało z Tarczy Prywatności, aby otrzymywać dane osobowe od użytkowników europejskich.
Maximilian Schrems, działacz ochrony danych z Austrii, nie wyraził zgody na przekazanie przez Facebooka jego danych osobowych do Stanów Zjednoczonych. Wynika to z faktu, że amerykańskie przepisy nie zapewniają wystarczającej ochrony przed działaniami wywiadowczymi. Schrems skierował swoją sprawę do irlandzkiego organu ochrony danych, a w lipcu 2020 r. Europejski Trybunał Sprawiedliwości orzekł, że porozumienie w sprawie Tarczy Prywatności UE-USA nie zapewnia wystarczającej ochrony. Wyrok wyraźnie stwierdza, że ogólne rozporządzenie UE o ochronie danych (GDPR) musi być również stosowane, gdy podmioty komercyjne przekazują dane osobowe poza obszar UE/EOG.
W wyroku Schrems II podkreślono, że ochrona osób fizycznych w ramach GDPR musi dotyczyć przekazywania danych osobowych. W związku z tym zabronione jest przekazywanie danych do krajów o niższej ochronie danych osobowych niż gwarantuje UE. Przekazywanie danych jest możliwe tylko wtedy, gdy podjęte zostały wystarczające środki ochronne.
W czerwcu 2021 r. Komisja Europejska przyjęła nowy zestaw tzw. „standardowych klauzul umownych”. Miało to na celu utrzymanie takiego samego poziomu ochrony wolności osobistej i praw podstawowych, jaki ma zastosowanie w UE, oraz ułatwienie przestrzegania wyroku Schrems II. Aby spełnić wszystkie wymagania dotyczące bezpiecznego przesyłania danych osobowych, klauzule te mogą wymagać uzupełnienia o dodatkowe środki ochronne. Decyzję w każdym przypadku podejmuje Administrator Danych Osobowych organizacji.
Duże amerykańskie firmy świadczące usługi w chmurze, na przykład Microsoft (Azure i Microsoft 365), zapewniły swoich klientów, że będą przetwarzać i przechowywać wszystkie dane na terenie UE, przestrzegając w ten sposób GDPR.
Poza procesem tworzenia równoległych struktur nie ma gwarancji, że firmy te będą w stanie ominąć amerykańskie przepisy. FISA – Foreign Intelligence Surveillance Act – to prawo federalne, które umożliwia władzom USA dostęp do europejskich danych osobowych, nawet jeśli serwery firmy znajdują się fizycznie na terytorium UE.
Maximilian Schrems jest założycielem organizacji non-profit „None of Your Business (Noyb)”. Celem organizacji jest monitorowanie zgodności z GDPR i innych potencjalnie naruszających prywatność przetwarzania danych. Według niego, duże firmy amerykańskie nadal podlegają FISA i muszą przestrzegać amerykańskich władz, jeśli zostaną o to poproszone. Szwedzka agencja ochrony prywatności IMY również wszczęła kilka dochodzeń po tym, jak Noyb złożył skargi przeciwko szwedzkim firmom.
Obecnie nie ma jednego, łatwego i kompleksowego rozwiązania do legalnego przetwarzania danych osobowych w USA lub w jakimkolwiek innym kraju poza UE. Decydując się na skorzystanie ze standardowych klauzul umownych, Administrator danych musi nadal indywidualnie określać, czy wymagane są jakiekolwiek dodatkowe środki bezpieczeństwa.
Trwają prace nad stworzeniem europejskiego ekosystemu cyfrowego i chmury do przechowywania danych, jednak zajmie to trochę czasu. Obecnie najlepszym rozwiązaniem dla europejskich firm przetwarzających dane osobowe jest wybór europejskiego dostawcy. W ten sposób możesz zagwarantować, że wszystkie dane są przechowywane na serwerach w UE/EOG i że spełnione są wszystkie wymagania wynikające z GDPR. Dotyczy to również sytuacji, gdy przeniesieniem zarządza podwykonawca.
Niezwykle ważne jest, aby zarówno firmy prywatne, jak i organizacje publiczne były świadome rodzaju gromadzonych danych oraz tego, jak nimi zarządzają i przechowują. Musisz wiedzieć, w jakim środowisku Twój usługodawca zarządza danymi organizacyjnymi, ponieważ możesz nie mieć podstawy prawnej do przetwarzania danych osobowych poza UE/EOG. Czy wybierając europejskiego dostawcę hostingu swojego rozwiązania dla sygnalistów, można uniknąć przetwarzania danych, które nie gwarantuje prywatności użytkowników. Dużo łatwiej jest też spełnić wszystkie wymagania Ogólnego Rozporządzenia o Ochronie Danych.
Jeśli chodzi o hosting naszych rozwiązań whistleblowingowych, Whistlelink od dawna współpracuje z GleSYS. GleSYS to skandynawska firma z bezpiecznymi, nowoczesnymi centrami danych, zgodnymi ze wszystkimi wymogami prawnymi. Dzięki certyfikacji ISO 27001 w systemach zarządzania bezpieczeństwem informacji, GleSYS spełnia wszystkie wymagania bezpieczeństwa, szczególnie w zakresie poufności, dokładności i dostępności, a także zgodnie z obowiązującymi przepisami.
Naszą wizją jest zapewnienie wszystkim organizacjom najlepszego, najbezpieczniejszego i najbardziej przyjaznego dla użytkownika systemu zgłaszania nieprawidłowości na rynku, a bezpieczeństwo danych traktujemy bardzo poważnie. Dzięki naszej długiej współpracy z GleSYS możemy zaoferować Państwu kompletną usługę whistleblowingową, w której wszystkie wrażliwe dane są przechowywane na europejskich (szwedzkich) serwerach.
Chcesz zobaczyć na co zwrócić uwagę wybierając najlepszy system do zarządzania zgłoszeniami sygnalistów dla swojej instytucji, zapoznaj się z naszą listą kontrolną.
Czy chcesz dowiedzieć się więcej o usłudze zgłaszania nieprawidłowości i bezpiecznych kanałach wewnętrznych? Przeczytaj więcej o Dyrektywie UE w zakresie whistleblowing tutaj oraz na stronie Rządowego Centrum Legislacji
Szukasz poufnego kanału do zgłaszania nieprawidłowości? Przeczytaj więcej tutaj.
Czy chciałbyś omówić system whistleblowingu dla swojej firmy? Skontaktuj się z nami lub zarezerwuj bezpłatne demo!
Jeśli masz jakieś przemyślenia na temat tego artykułu lub chciałbyś dowiedzieć się więcej o Whistlelink, skontaktuj się z nami
Whistlelink ceni Twoją prywatność. Skontaktujemy się z Tobą tylko w sprawie naszych rozwiązań. Możesz zrezygnować z subskrypcji w dowolnym momencie. Aby uzyskać więcej informacji, zapoznaj się z naszą Polityką prywatności.
Środa | 10:00 – 10:30
Z PRZYJEMNOŚCIĄ SPOTKAMY SIĘ Z TOBĄ
Z PRZYJEMNOŚCIĄ SPOTKAMY SIĘ Z TOBĄ
Whistlelink ceni Twoją prywatność. Skontaktujemy się z Tobą tylko w sprawie naszych rozwiązań. Możesz zrezygnować z subskrypcji w dowolnym momencie. Aby uzyskać więcej informacji, zapoznaj się z naszą Polityką prywatności (w języku angielskim)
HAPPY TO MEET YOU!
Whistlelink values your privacy. We will only contact you about our solutions.
You may unsubscribe at any time. For more info, please review our Privacy Policy
