10 czerwca 2021 r. włoski organ nadzoru GPDP (Garante Per La Protezione Dei Date Personali), nałożył karę w wysokości 40 tysięcy euro na spółkę zarządzająca portem lotniczym w Bolonii. Powodem nałożenia kary była zdaniem urzędu nienależyta ochrona danych osobowych sygnalistów.
Spółka Aeroporto Guglielmo Marconi di Bologna S.p.a. (AdB) jako podmiot będący spółką skarbu państwa przyjęła model działania, w którym ważną funkcję pełnili sygnaliści. Są to osoby, które będąc w danej organizacji informują o wykrytych przez siebie nieprawidłowościach i działaniach niezgodnych z prawem (ang. Whistleblowing). „AdB” jest w oczywisty sposób Administratorem danych osobowych sygnalistów.
Aby realizować obowiązki ustawowe oraz wewnętrzne w dziedzinie „whistleblowingu”, „AdB” postanowiła skorzystać z aplikacji „WB Confidential” dostarczanej przez firmę „aiComply S.r.l.”
Głównymi zastrzeżeniami organu nadzoru wobec „AdB” jako administratora danych osobowych, było nienależyte zabezpieczenie danych osobowych sygnalistów, które były przetwarzane w aplikacji „WB Confidential”. Sposób działania wspomnianej aplikacji powodował naruszenie zasad poufności i integralności danych, które są jednymi z podstawowych zasad wynikających z RODO. Jak zauważył włoski organ nadzorczy:
„Ramy regulacyjne w dziedzinie „whistleblowingu” przewidują, bardzo ogólnie środki mające na celu ochronę tożsamości sygnalistów. Celem jest przede wszystkim zapobieżenie przyjęciu środków dyskryminujących przeciwko nim samym.”
Jak wynika z powyższego w budowie procedur i narzędzi związanych z sygnalistami kwestią absolutnie podstawową jest ochrona tożsamości sygnalistów. W dalszej konsekwencji chodzi o zapobieżenie dyskryminacji sygnalistów i wyciąganiu wobec nich konsekwencji wobec podjętych przez nich działań. W tym miejscu podkreślić trzeba, że istotą instytucji sygnalisty jest to, by osoby dowiadujące się o nieprawidłowościach lub działaniach niezgodnych z prawem mogły ten fakt zgłosić bez jakichkolwiek obaw. Obecnie w Polsce trwają prace na ustawą regulująca instytucję sygnalisty, ale ta decyzja jest niezmiernie ważna dla wszystkich zaangażowanych w ten proces. Podstawowym wyzwaniem wynikającym z projektu ustawy będzie bowiem m.in. zapewnienie sygnaliście przez pracodawcę warunków do zgłaszania nieprawidłowości w sposób dający komfort psychiczny i zabezpieczający go przed dyskryminacją i działaniami odwetowymi.
Przy okazji decyzji włoskiego organu nadzoru otrzymaliśmy odpowiedź dotyczącą podstawy przetwarzania danych, co spędzało i nadal spędza sen z powiek administratorów danych w Polsce. Organ stwierdził, że „przetwarzanie danych osobowych przez podmioty zobowiązane można uznać za niezbędne do wypełnienia obowiązku prawnego, któremu podlega administrator danych (art. 6 ust. 1 litera c), art. 9 ust. 2 litera b) i art. 10 rozporządzenia[1]).”
Włoski organ nadzoru zauważył ponadto, że:
„Administrator danych jest w każdym przypadku zobowiązany do przestrzegania zasad ochrony danych (art. 5 rozporządzenia), a dane muszą być również przetwarzane w taki sposób, aby zagwarantować odpowiednie bezpieczeństwo w tym ochronę, za pomocą odpowiednich środków technicznych i organizacyjnych, przed nieautoryzowanym lub niezgodnym z prawem przetwarzaniem, przed utratą oraz przed przypadkowym zniszczeniem lub uszkodzeniem”.
Administrator danych, w ramach niezbędnej identyfikacji środków technicznych i organizacyjnych odpowiednich do zagwarantowania poziomu bezpieczeństwa odpowiedniego do szczególnego ryzyka wynikającego z danego przetwarzania (art. 24, 25 i 32 RODO), może zwrócić się do podmiotu przetwarzającego o wykonanie niektórych czynności przetwarzania oraz wydawać mu konkretne instrukcje. Administrator musi określić swój model zarządzania zgodnie z zasadami „ochrony danych w fazie projektowania” i „domyślnej ochrony danych”.
W trakcie dochodzenia włoskiego organu nadzoru okazało się, że dostęp do aplikacji „WB Confidential” do pozyskiwania i zarządzania zgłoszeniami naruszeń prawa odbywał się za pośrednictwem protokołu http (protokół transferu hipertekstu), czyli protokołu sieciowego. Zdaniem organu wykorzystywany protokół nie gwarantuje integralności i poufności danych wymienianych między przeglądarką użytkownika a serwerem, na którym znajduje się dana aplikacja i nie pozwala użytkownikom na weryfikację autentyczności strony internetowej. Biorąc pod uwagę charakter wymienianych danych oraz wysokie ryzyko wynikające z ich ewentualnego uzyskania przez osoby trzecie, organ nadzoru uznał, że metod dostępu do danego wniosku nie można uznać za odpowiednie i gwarantujące odpowiedni poziom bezpieczeństwa.
W trakcie dochodzenia „AdB” twierdziła, że początkowo nie uznała za konieczne przyjęcie bezpiecznego protokołu sieciowego (takiego jak protokół https) w związku z udzielonymi jej zapewnieniami przez dostawcę aplikacji. Ponadto, „AdB” wskazywała na „niewielką przydatność” danych dla osób trzecich uzyskanych za pośrednictwem aplikacji. Tym samym w niniejszej sprawie administrator nie podjął decyzji o wprowadzeniu odpowiednich środków technicznych i organizacyjnych, biorąc pod uwagę stan wiedzy, koszty wdrożenia, charakter, zakres, kontekst, cele i ryzyko związane z przetwarzaniem.
Zdaniem organu nadzoru:
„Argumenty obronne AdB w związku z nieprzyjęciem środków dotyczących szyfrowania danych są niewystarczające do całkowitego wyłączenia odpowiedzialności za niespełnienie obowiązków wynikających z RODO (art. 24 i 32 rozporządzenia). Wynika to również z faktu, że AdB jest podmiotem który decyduje o celach i metodach przetwarzania danych osobowych osób, których dane dotyczą i który ponosi „ogólną odpowiedzialność” za stosowane działania (art. 5 ust. 2, zasada „odpowiedzialności” i art. 24 rozporządzenia). Z tych powodów niestosowanie narzędzi szyfrujących do przesyłania i przechowywania danych nie jest zgodne z przepisami art. 5 ust. 1 lit. f) i art. 32 rozporządzenia.”
Przy podejmowaniu decyzji włoski organ nadzorczy zwrócił także uwagę na brak przeprowadzania procedur „Privacy by desing” i „Privacy by default”, które, to procedury zostały uznane przez „AdB” za zbędne. Organ nie zgodził się także z tym stanowiskiem administratora i uznał, że:
„przetwarzanie danych osobowych za pośrednictwem systemów pozyskiwania i zarządzania zgłoszeniami domniemanych bezprawnych zachowań jest ze względu na szczególną wrażliwość przetwarzanych informacji, a także wysokie ryzyko, pod względem ewentualnych skutków odwetowych i dyskryminujących, wymaga przeprowadzania wspomnianych wyżej procedur”.
Podsumowując, organ nadzorczy przy wydawaniu decyzji zwrócił szczególną uwagę na ochronę danych osobowych sygnalistów doceniając wagę przekazywanych przez nich informacji. Przy ocenie naruszenia zwrócił uwagę na potencjalne negatywne skutki naruszenia poufności danych osobowych. Ważną kwestią było też wskazanie na konieczność przeprowadzenia procedury oceny skutków przetwarzania danych dla praw osób. Jest to w kontekście RODO bardzo ważna procedura, której niestety nie przeprowadza się z należytą regularnością i starannością . Po raz kolejny organ nadzorczy podkreślił, że bezpieczeństwo danych i ich techniczna ochrona są ważne, nawet jeśli bierzemy pod uwagę tylko potencjalne zagrożenia. Wykrywanie potencjalnych zagrożeń i ocena ich wpływu na osobę, której te dane dotyczą stanowią istotę podejścia opartego na ryzyku. Ta ostatnia zasada jest z kolei kwintesencją RODO.
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9685922
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
