Usługi whistleblowingu w świetle grzywny nałożonej na Meta - kwestie, które należy wziąć pod uwagę przy wyborze dostawcy usług whistleblowingu

artykuł autorstwa Mathildy Kronér i Henrika Almströma, Morris Law.

W świetle ogromnej grzywny nałożonej przez irlandzki organ ochrony danych osobowych (po wiążącej decyzji Europejskiej Rady Ochrony Danych) 22 maja, firmy powinny wziąć pod lupę swoje protokoły zgodności z GDPR, aby zapewnić zgodne z prawem zarządzanie w odniesieniu do przetwarzania danych osobowych. Zwłaszcza jeśli chodzi o przekazywanie danych osobowych do krajów trzecich, takich jak USA. Potrzeba zapewnienia zgodności z niniejszym rozporządzeniem i bezpiecznego przekazywania danych osobowych jest obecnie, z perspektywy ekonomicznej, bardziej istotna niż kiedykolwiek.

Grzywna w wysokości 1,2 miliarda euro nałożona na właściciela Facebooka, firmę Meta, jest rekordowo wysoka i stanowi wyraźny przykład konsekwencji niewłaściwego wykorzystywania danych osobowych osób fizycznych podczas przesyłania danych z UE do USA.

Bezpieczeństwo przede wszystkim – zapewnienie bezpiecznego sygnalizowania naruszeń prawa i ochrony danych osobowych

Sytuacja sygnalizowania naruszeń prawa jest z natury uważana za wrażliwą. Proces ten często obejmuje wrażliwe dane osobowe, które wchodzą w zakres kategorii określonych w art. 9 GDPR lub dane dotyczące przestępstw określonych w art. 10 GDPR. Biorąc pod uwagę powyższe, ważne jest wdrożenie procedur zapewniających prawidłowe i bezpieczne przetwarzanie danych. Wybierając lub świadcząc usługi whistleblowingu, należy brać pod uwagę przede wszystkim bezpieczeństwo.

Amerykańskie usługi whistleblowingu – czy można z nich bezpiecznie korzystać w UE?

Usługi whistleblowingu zazwyczaj wiążą się z przekazywaniem danych osobowych zawartych w sprawie sygnalisty do firmy działającej jako usługodawca. Dlatego ważne jest, aby starannie wybierać dostawców i poddostawców oraz zapewnić ich zgodność z GDPR, zwłaszcza że przekazywanie może wiązać się z przetwarzaniem wrażliwych danych osobowych. Przekazywanie danych osobowych w UE/EES jest bezpieczne i dokładnie zharmonizowane przez GDPR.

Głośny wyrok w sprawie Schrems II, w którym uznano decyzję Komisji Europejskiej w sprawie Tarczy Prywatności (Privacy Shield) za nieważną jako środek bezpieczeństwa przy przekazywaniu danych do USA, doprowadził do wprowadzenia surowych wymogów prawnych dotyczących takiego przekazywania danych do USA. Pozostałe zabezpieczenie dla transferów z krajów trzecich, Standardowe Klauzule Umowne (SCC), muszą zostać zmienione po Schrems II o dodatkowe środki bezpieczeństwa w celu zapewnienia zgodności z prawem transferów.

Warto zauważyć, że wymogi te mają zastosowanie nie tylko do dostawców usług lub serwerów z siedzibą w USA, ale także do dostawców usług i serwerów z siedzibą w UE, którzy mogą podlegać tym wymogom, jeśli działają pod kontrolą amerykańskich firm. Na przykład tacy usługodawcy mogą być zlokalizowani w UE i korzystać z usług hostingowych od amerykańskich dostawców, takich jak Amazon lub Azure.

Łańcuch whistleblowingu – odpowiedzialność użytkownika

Ponieważ whistleblowing jest powiązany z przetwarzaniem wrażliwych informacji, firmy powinny zapewnić, że informowanie o nieprawidłowościach jest bezpieczne. Zarówno ze względu na wewnętrzną zgodność z przepisami, jak i w celu ochrony prywatności sygnalisty. W przypadku korzystania z zewnętrznej usługi whistleblowingu, dostawca usługi będzie w większości przypadków działał jako podmiot przetwarzający dane, a firma kupująca usługę przejmie rolę administratora danych. Ponieważ Twoja firma prawdopodobnie działa jako administrator danych przy zakupie usługi whistleblowingu, Twoja firma jest odpowiedzialna za zapewnienie, że odpowiednie środki bezpieczeństwa są stosowane w całym łańcuchu przetwarzania. Oznacza to, że Twoja firma będzie odpowiedzialna za zapewnienie, że bezpieczne przetwarzanie nie jest zagrożone, na przykład przez brak środków bezpieczeństwa ze strony dostawcy.

Jak zapewnić bezpieczny i zgodny z przepisami system whistleblowingowy?

Na początek należy aktywnie przyjąć odpowiedzialność administratora danych. Zarówno w przypadku angażowania nowego dostawcy, jak i przeglądu obecnego, zawsze należy poprosić o informacje dotyczące zgodności usługi z prawem. Znajduje to odzwierciedlenie w art. 28 ust. 1 GDPR, zgodnie z którym „administrator korzysta wyłącznie z usług podmiotów przetwarzających dane, które zapewniają wystarczające gwarancje” w celu zapewnienia przetwarzania zgodnego z GDPR. W świecie po Schrems II, teraz jeszcze bardziej wyolbrzymionym przez grzywnę Meta, oznacza to żądanie i otrzymywanie uspokajających informacji o tym, w jaki sposób świadczona usługa jest zgodna z przepisami. Dostawca, który nie jest w stanie udzielić uspokajających odpowiedzi na co najmniej poniższe pytania, może stanowić ryzyko dla nawiązania (lub utrzymania) współpracy.

Aby upewnić się, że usługa whistleblowingu jest zgodna z GDPR, najlepiej jest skorzystać z usług europejskiego dostawcy lub poddostawcy. Alternatywnie, jeśli nie da się uniknąć korzystania z usług amerykańskich, firma musi upewnić się, że wszyscy amerykańscy dostawcy i poddostawcy mogą przedstawić dokumentację potwierdzającą, że ich przetwarzanie danych osobowych jest zgodne z GDPR.

1. Czy dane są przechowywane w UE?
2. Czy dane są przechowywane wyłącznie na serwerach, które nie znajdują się pod kontrolą podmiotów spoza UE?
3. Jeśli odpowiedź na którekolwiek z powyższych pytań brzmi „nie”, jakie środki są wdrażane w celu zapewnienia zgodności z GDPR/Schrems II i w jaki sposób weryfikowane jest, czy takie środki są ważne i wystarczające?

Podczas gdy na pierwsze dwa pytania można udzielić prostych odpowiedzi, ostatnie może wymagać złożonej oceny tego, co jest wystarczające, a co nie. Zgodnie z GDPR ryzyko takich ocen spoczywa na administratorze danych, często z ograniczonymi możliwościami umownego przeniesienia ryzyka na dostawcę/podmiot przetwarzający.

Biorąc pod uwagę grzywnę Meta, istotny jest ogólny przegląd narażenia na ryzyko związane z korzystaniem z usług dostawców, a usługi whistleblowingu powinny znajdować się wysoko na liście priorytetów.

Czy chcesz dowiedzieć się więcej o usłudze zgłaszania nieprawidłowości i bezpiecznych kanałach wewnętrznych? Przeczytaj więcej o Dyrektywie UE w zakresie whistleblowing tutaj oraz na stronie Rządowego Centrum Legislacji

Szukasz poufnego kanału do zgłaszania nieprawidłowości? Czy chciałbyś omówić system zgłaszania nieprawidłowości dla swojej firmy? Skontaktuj się z nami lub zarezerwuj bezpłatne demo!