Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


12.05.2022

Odszyfrowanie historii

Z inicjatywy prezesa IPN, dr. Karola Nawrockiego, powstało Biuro Nowych Technologii. Jego...
01.04.2022

Program partnerski

NGAGEFirma NFON, ogólnoeuropejski dostawca komunikacji głosowej w chmurze, ogłosił...
01.04.2022

SI w TFI PZU

Na platformie do inwestowania inPZU działa już nowa metoda identyfikacji tożsamości...
01.04.2022

Kooperacja w chmurze

To oparta na stworzonej przez NetApp technologii ONTAP i w pełni zarządzana przez...
01.04.2022

Nowe laptopy od Dynabook

Dynabook wprowadza do swojej oferty dwa laptopy z procesorami Intel Core 12. generacji,...
01.04.2022

Ryzen do stacji roboczych

AMD przedstawił nową gamę procesorów Ryzen Threadripper PRO 5000 serii WX.
31.03.2022

Serwery dla MŚP

Firma Lenovo wprowadziła nowe rozwiązania w zakresie infrastruktury IT Future Ready,...
31.03.2022

Innowacyjny kontroler SSD

Microchip zaprezentował nowe kontrolery SSD, które umożliwią obsługę napędów o pojemności...
31.03.2022

Wydajny jak Brother

Brother dodał do swojej oferty trzy nowe, atramentowe urządzenia wielofunkcyjne, które...

Wymogi bezpieczeństwa systemów IT w zakresie ochrony sygnalistów

Data publikacji: 31-03-2022 Autor: Tomasz Cygan

Oczekiwanie na implementację do polskiego porządku prawnego dyrektywy o ochronie sygnalistów było nierozłączne z licznymi szkoleniami z tego zakresu, ofertami opracowania dokumentacji wewnątrzorganizacyjnej, a także rozwiązań informatycznych mających za zadanie umożliwiać realizację zadań związanych z obsługą zgłoszeń naruszeń prawa oraz ochroną sygnalistów.

 

Pobieżna lektura dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii, zwanej w dalszej części dyrektywą o ochronie sygnalistów, oraz projektu ustawy o ochronie osób zgłaszających naruszenia prawa (wg stanu na dzień 14 października 2021 r.) prowadzi do wniosku, że zarówno prawodawca unijny, jak i polski projektodawca, niezbyt często posługują się pojęciami wiążącymi się z wykorzystaniem systemów informatycznych. Jest to jednak wrażenie, które zmienia się po dokładniejszej analizie obydwu tekstów – realizacja celów regulacji o ochronie sygnalistów musi spełniać określone kryteria, a zatem system informatyczny zapewniający obsługę zgłoszeń naruszeń prawa także musi je spełniać. Jako przykład wskazać można motyw 3. dyrektywy o ochronie sygnalistów, który stanowi między innymi: „(…) należy poprawić egzekwowanie prawa poprzez wprowadzenie skutecznych, poufnych i bezpiecznych kanałów dokonywania zgłoszeń i poprzez zapewnienie sygnalistom skutecznej ochrony przed działaniami odwetowymi”. Co prawda nie odnosząc się wprost do systemów informatycznych, ale ogólnie do kanałów dokonywania zgłoszeń, dyrektywa wskazuje na konieczność wprowadzenia ich w formie zapewniającej poufność i bezpieczeństwo. Z kolei możliwe kanały dokonywania zgłoszeń dyrektywa o ochronie sygnalistów wskazuje między innymi w motywie 53. – „Z zastrzeżeniem zapewnienia poufności tożsamości osoby dokonującej zgłoszenia każdy podmiot prawny w sektorze prywatnym i publicznym sam określa, jakiego rodzaju kanały dokonywania zgłoszeń ustanowi. W szczególności kanały dokonywania zgłoszeń powinny umożliwiać osobom dokonywanie zgłoszeń na piśmie oraz przekazywanie zgłoszeń drogą pocztową, za pośrednictwem fizycznych skrzynek na skargi lub na platformie online, intra- lub internetowej, bądź dokonywanie zgłoszeń ustnie, za pośrednictwem gorącej linii lub innego systemu komunikacji głosowej. Na wniosek osoby dokonującej zgłoszenia kanały takie powinny również umożliwiać dokonywanie zgłoszeń za pośrednictwem bezpośrednich spotkań, w rozsądnym terminie”. Innymi słowy, wybór kanału przekazywania zgłoszeń został pozostawiony podmiotom prawnym w sektorze publicznym i prywatnym (według polskiego projektu pracodawcom), a te w przypadku wyboru systemu informatycznego powinny zapewniać jego zgodność z parametrami określonymi w przepisach (przede wszystkim poufnością, ale także bezpieczeństwem kanału dokonywania zgłoszeń), co oznacza także realizację doskonale znanych w świecie IT zasad rozliczalności dostępu, integralności danych, ich dostępności i niezaprzeczalności.


> Przede wszystkim poufność


Poufność w tym przypadku to oczywiście właściwość polegająca na zapewnieniu, że dostęp do danych mają wyłącznie osoby upoważnione. Przepisy dyrektywy o ochronie sygnalistów kładą na nią bardzo duży nacisk (wspomniany powyżej motyw 53. zawiera przecież między innymi wskazanie: „Z zastrzeżeniem zapewnienia poufności tożsamości osoby dokonującej zgłoszenia”), wskazując między innymi:

 

  • w motywie 54. – „Do przyjmowania zgłoszeń naruszeń w imieniu podmiotów prawnych w sektorze prywatnym i publicznym mogą również zostać upoważnione osoby trzecie, pod warunkiem że zapewniają należyte gwarancje poszanowania niezależności, poufności, ochrony danych i zachowania tajemnicy. Takimi osobami trzecimi mogą być dostawcy platform na potrzeby zgłoszeń zewnętrznych, zewnętrzni doradcy, audytorzy, przedstawiciele związków zawodowych lub przedstawiciele pracowników”;
  • w motywie 55. – „Wewnętrzne procedury dokonywania zgłoszeń powinny umożliwiać podmiotom prawnym w sektorze prywatnym przyjmowanie zgłoszeń (…) i badanie tych zgłoszeń z zachowaniem pełnej poufności”;
  • w motywie 60.  – „Skuteczne wykrywanie naruszeń prawa Unii i zapobieganie tym naruszeniom wymaga zapewnienia, aby potencjalni sygnaliści mogli łatwo i z zachowaniem pełnej poufności przekazywać posiadane przez siebie informacje odpowiednim właściwym organom, które mogą przeprowadzić postępowanie wyjaśniające i rozwiązać problem, w miarę możliwości”.


Projektowany art. 30 ustawy o ochronie osób zgłaszających naruszenia prawa rozwija powyższe w następujący sposób: „Organizacja przyjmowania i weryfikacji zgłoszeń, podejmowania działań następczych oraz związanego z tym przetwarzania danych osobowych uniemożliwia uzyskanie dostępu do informacji objętej zgłoszeniem nieupoważnionym osobom oraz zapewnia ochronę poufności tożsamości osoby dokonującej zgłoszenia i osoby, której dotyczy zgłoszenie. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób. Do przyjmowania i weryfikacji zgłoszeń, podejmowania działań następczych oraz przetwarzania danych osobowych osób, o których mowa w ust. 1, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie pracodawcy. Osoby upoważnione są obowiązane do zachowania tajemnicy. Pracodawca stosuje rozwiązania techniczne i organizacyjne zapewniające przechowywanie danych osobowych zgłaszającego oddzielnie od dokumentu lub innego nośnika informacji obejmujących zgłoszenie, włączając w to, w odpowiednim przypadku, usunięcie z treści dokumentu lub innego nośnika informacji niezwłocznie po ich otrzymaniu wszystkich danych osobowych zgłaszającego”.


Z jednej strony poufność to ograniczenie dostępu do danych zgłaszającego, ale przez pryzmat poufności należy oceniać również wszelkie kwestie wiążące się z dostępem do danych zgromadzonych w formie elektronicznej w toku działań następczych, tj. dokumentów (notatek, protokołów, sprawozdań) stworzonych w toku tych działań czy zapisów rejestru zgłoszeń. W pewnym sensie potwierdza to, ale przede wszystkim wzmacnia, projektowany art. 34 polskiej ustawy, który w ust. 4 wskazuje na zawartość rejestru zgłoszeń i nie nakazuje, aby umieszczać w nim informacje o osobie dokonującej zgłoszenia.


Poufność powinna dotyczyć w szczególności wszelkich działań związanych z obsługą zgłoszeń, prowadzeniem działań następczych oraz archiwizacją działań i dokumentów, dokonywanych przez osoby obsługujące system. Należy zacząć od spraw tak prozaicznych jak dostęp do elektronicznego kalendarza takich pracowników, w którym przecież mogą znaleźć się informacje o osobie dokonującej zgłoszenia. Oczywiście jest to ujęcie znacznie szersze niż ograniczenie się wyłącznie do poufności samego systemu informatycznego służącego do obsługi zgłoszeń naruszeń prawa i ochrony sygnalistów, ale przecież – jak wynika z dyrektywy o ochronie sygnalistów oraz polskiego projektu – poufność osoby dokonującej zgłoszenia jest wartością nadrzędną, która ma zapewniać funkcjonowanie całego systemu dokonywania zgłoszeń. Wszelkie odstępstwa od tej zasady mogą być dokonywane wyłącznie za zgodą osoby dokonującej zgłoszenia. Należy mieć to na względzie zwłaszcza w kontekście integracji różnych rozwiązań informatycznych oraz możliwości monitorowania sposobu korzystania z udostępnionych narzędzi informatycznych. Musimy pamiętać o tym, że wśród wymagań prawnych należy także uwzględniać zapisy Kodeksu pracy dotyczące monitorowania użytkowników systemów informatycznych, w tym także poczty elektronicznej, zwłaszcza adresu przeznaczonego do dokonywania zgłoszeń (art. 223 kp).


> Wymagania dotyczące ochrony danych osobowych


Warto zauważyć, że duże znaczenie dla oceny wymagań bezpieczeństwa dla systemów informatycznych do obsługi sygnalistów ma także art. 17 dyrektywy o ochronie sygnalistów, który stanowi, że „przetwarzania danych osobowych zgodnie z niniejszą dyrektywą, w tym wymiany lub przekazywania danych osobowych przez właściwe organy, dokonuje się zgodnie z rozporządzeniem (UE) 2016/679 i dyrektywą (UE) 2016/680. Wymiany i przekazywania informacji przez instytucje, organy lub jednostki organizacyjne Unii dokonuje się zgodnie z rozporządzeniem (UE) 2018/1725. Dane osobowe, które w sposób oczywisty nie mają znaczenia dla rozpatrywania konkretnego zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania, są usuwane bez zbędnej zwłoki”. Oznacza to między innymi, że systemy informatyczne do obsługi sygnalisty muszą spełniać zasady przetwarzania danych osobowych określone w art. 5 rodo (między innymi poufność i integralność danych, ich minimalizację oraz ograniczenie przetwarzania) oraz inne wymagania określone w rodo, w szczególności:

 

  • w art. 24 ust. 1 rodo – „Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”;•w
  • art. 25 ust. 1 rodo – „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą”;
  • w art. 25 ust. 2 rodo – „Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych”.

 

[...]

 

Autor jest adwokatem, inspektorem ochrony danych, wykładowcą i publicystą. Posiada certyfikat Approved Whistleblowing Officer.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"