Ochrona danych osobowych jest jednym z kluczowych aspektów zbierania zgłoszeń od sygnalistów. Z jednej strony ich zbieranie, przetwarzanie i przechowywanie musi być zgodne z przepisami RODO oraz dyrektywą UE o ochronie sygnalistów. Z drugiej zaś, każda organizacja musi dołożyć wszelkich starań, aby posiadane dane osobowe osób zgłaszających były zabezpieczone przed niepowołanym dostępem osób trzecich, aby te nie zostały ujawnione i wykorzystane w działaniach odwetowych przeciw zgłaszającym nadużycia. Niedotrzymanie tego warunku będzie skutkowało brakiem zaufania do działania firmy, co spowoduje brak zgłoszeń od sygnalistów.
Na początek warto przytoczyć przykład z ostatnich miesięcy, gdy ochrona danych osobowych okazała się nieskuteczna – ujawnienie danych sygnalistów, którzy przekazywali informacje do Głównego Inspektoratu Ochrony Środowiska o potencjalnych źródłach i winnych katastrofy ekologicznej na Odrze. W przytoczonej sytuacji wyciek danych objął ujawnienie imion, nazwisk oraz adresów e-mail. Nie wiemy, czy doszło do przypadkowego, czy celowego działania albo luki w systemie. Czysto teoretycznie przepisy chroniące sygnalistów w Polsce jeszcze nie obowiązują, bo krajowa ustawa implementująca dyrektywę UE w tym zakresie nie została jeszcze wprowadzona do porządku prawnego. Jednak niezależnie od tego każda organizacja powinna posiadać i uruchomić procedury, związane z ochroną danych osobowych, które wskazuje mec. Tomasz Osiej, partner zarządzający z kancelarii Osiej i Partnerzy, która jest partnerem braf.tech przy wdrażaniu aplikacji whiblo.
– Jednym z podstawowych obowiązków administratora danych jest odpowiednie ich zabezpieczenie, które zredukuje lub całkowicie wyeliminuje możliwość wystąpienia naruszeń, choć w praktyce jest to niemal niemożliwe. Jednak każdy administrator danych powinien być przygotowany na takie przypadki, wdrażając odpowiednio wcześniej procedury. Powinny one przede wszystkim określać sposób reakcji w przypadku wystąpienia incydentu, a ponadto opisywać dalsze kroki postępowania. Adresatem informacji o incydencie (który zgodnie z RODO może zostać zakwalifikowany jako naruszenie) bywa zazwyczaj inspektor ochrony danych (IOD) lub osoba odpowiedzialna za bezpieczeństwo danych. Osoby te powinny najszybciej jak to możliwe otrzymać informację o dokładnym czasie wystąpienia naruszenia i jego zwięzły opis. Konieczne jest również przeprowadzenie oceny skutków naruszenia określającej m.in. poziom ryzyka naruszenia praw lub wolności osób, których dane dotyczą. Ocena ryzyka ma z kolei decydujący wpływ na to, czy naruszenie należy zgłosić do Prezesa Urzędu Ochrony Danych Osobowych, czy też podjąć inne działania prawem wymagane (m.in. powiadomienie osób dotkniętych incydentem). Z punktu widzenia całego procesu kluczowy jest czas, ponieważ zgłoszenie do Prezesa UODO powinno nastąpić do 72 godzin od momentu ustalenia, że doszło do naruszenia. Dlatego też tak ważna jest świadomość, którą budujemy poprzez szkolenia i codzienną pracę z osobami mającymi dostęp do danych. Poziom zabezpieczeń prawnych czy organizacyjnych ma z kolei bezpośredni wpływ na wysokość ewentualnej kary przewidzianej przez RODO.
Ważnym aspektem z punktu widzenia ochrony danych są także procedury związane z przyjmowaniem oraz przetwarzania zgłoszeń o nieprawidłowościach od pracowników i osób niepowiązanych z organizacją. Wdrażając je, trzeba dobrze oszacować ryzyko na każdym etapie procesu – od wpłynięcia zgłoszenia do przejścia przez etap wyjaśniający i zamknięcie sprawy. Warto mieć na uwadze, że podobnie jak w przypadkach incydentów związanych z cyberbezpieczeństwem, do większości zdarzeń dochodzi z niedopatrzenia lub winy pracowników. Z tego względu niezwykle ważne jest, aby osoby wyznaczone do odbioru i przetwarzania zgłoszeń od sygnalistów posiadały odpowiednie kompetencje, były odpowiednio przeszkolone i świadome potencjalnych zagrożeń. Tego wymaga oczywiście prawo. Jednak w ramach dobrych praktyk, lepiej zrobić też dwa kroki więcej i dobrze przygotować swoją organizację, bo konsekwencje mogą być poważne.
Technologia wspiera ochronę danych osobowych
Jednym ze sposobów na wyeliminowanie wielu bolączek związanych z ochroną danych osobowych, zwłaszcza w kontekście przyjmowania i przetwarzania zgłoszeń od sygnalistów, są rozwiązania informatyczne, np. specjalne aplikacje do odbioru i przetwarzania zgłoszeń o nieprawidłowościach. Często stosowanym kanałem whistleblowingowym w takich przypadkach jest poczta e-mail, ale jak wskazywaliśmy w jednym z wcześniejszych artykułów, taki kanał ma więcej wad niż zalet i nie gwarantuje odpowiedniego poziomu bezpieczeństwa. Według nas bardzo dobrą alternatywą są specjalnie zaprojektowane aplikacje, takie jak whiblo które zabezpieczą dostęp do danych tylko do osób upoważnionych, np. poprzez procedurę logowania wieloskładnikowego, ale też zagwarantują szyfrowanie zgłoszeń. Dobrze napisany system będzie też odporny na ataki zewnętrzne. W dodatku, jeśli rozwiązanie jest osadzone w chmurze i wszystkie dane są tam przechowywane oraz przetwarzane są dane, to mamy praktycznie 100 proc. gwarancję, że będą bezpieczne.
A może anonimowe zgłoszenia?
Tworząc procedury whistleblowingowe w organizacji warto zastanowić się również, czy nie dopuścić rozpatrywania również zgłoszeń anonimowych. Ostatnia wersja projektu polskiej ustawy o ochronie sygnalistów co prawda nie wymusza na organizacjach konieczności przyjmowania takich zgłoszeń, tj. bez podania przez sygnalistę swoich danych, ale też nie zabrania ich stosowania. Wprowadzenie kanału komunikacji dla zgłaszających, który będzie spełniał wymogi dyrektywy, czyli m.in. zapewniał dwustronną komunikację i utrzymanie kontaktu sygnalisty z osobą odpowiedzialną za przyjmowanie zgłoszeń w firmie, nie musi być wcale trudne. Aplikacja whiblo, dzięki zastosowanym rozwiązaniom, daje takie możliwość. Dopuszczenie zgłoszeń anonimowych może całkowicie wyeliminować kwestie ochrony danych osobowych, ale też jest funkcją oczekiwaną przez pracowników. Jak wynika z badania ARC Rynek i Opinia, przeprowadzonego w 2021 r., 35 proc. respondentów nie zgłasza nieprawidłowości z obawy o brak poufności. Aż 70 proc. badanych oczekuje, że główną cechą kanału whistleblowingowego będzie możliwość dokonywania anonimowych zgłoszeń.