Prywatność sygnalisty pod ochroną

„Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii wprowadza szeroką ochronę sygnalistów (dalej: dyrektywa). Jak wskazuje w swoich motywach, osoby pracujące dla organizacji publicznej lub prywatnej lub utrzymujące kontakt z taką organizacją w związku ze swoją działalnością zawodową niejednokrotnie jako pierwsze dowiadują się o zagrożeniach lub szkodach dla interesu publicznego, do jakich dochodzi w tym kontekście. osoby takie, zgłaszając naruszenia prawa, działają jako „sygnaliści” i tym samym odgrywają kluczową rolę w ujawnianiu naruszeń i zapobieganiu im oraz w ochronie dobra społecznego. Potencjalni sygnaliści często jednak rezygnują ze zgłaszania zastrzeżeń lub podejrzeń z obawy przed działaniami odwetowymi. W związku z tym w coraz większym stopniu uznaje się – zarówno na poziomie unijnym, jak i międzynarodowym – znaczenie zapewnienia zrównoważonej i skutecznej ochrony sygnalistów (motyw 1)”.

„Podmioty otrzymujące zgłoszenia mają zdefiniować kanały i procedury na potrzeby dokonywania zgłoszeń i podejmowania działań następczych. Wskazane wymogi stosuje się do podmiotów prawnych w sektorze prywatnym, które zatrudniają co najmniej 50 pracowników. Państwo członkowskie może obniżyć ten próg.

W kontekście ochrony prywatności należy zwrócić uwagę, że przedstawione procedury muszą zawierać m.in. kanały przyjmowania zgłoszeń zaprojektowane, ustanowione i obsługiwane w bezpieczny sposób zapewniający ochronę poufności tożsamości osoby dokonującej zgłoszenia i osoby trzeciej wymienionej w zgłoszeniu oraz uniemożliwiający uzyskanie do nich dostępu nieupoważnionym członkom personelu.

Naruszeniem wskazanego wymogu dyrektywy – ale jednocześnie incydentem na gruncie RODO – może być:

• uzyskanie dostępu do w/w informacji przez nieupoważnione osoby z personelu podmiotu przyjmującego zgłoszenie (np. osoby z działu IT),
• niewdrożenie odpowiednich mechanizmów bezpieczeństwa w zakresie autoryzacji osób upoważnionych do dostępu do treści zgłoszenia (np. brak dwuskładnikowej autoryzacji), co może doprowadzić np. do przełamania zabezpieczeń systemu do przyjmowania zgłoszeń,
• niewdrożenie mechanizmów ograniczających ryzyko „wyśledzenia” tożsamości sygnalisty poprzez: systemy monitorujące stacje robocze (gdy zgłoszenie zostało dokonane na komputerze służbowym czego wykluczyć nie można), analizę logów zdarzeń, ruchu na stronie www (gdy do zgłoszenia dokonano przez stronę www).

Kanały dokonywania zgłoszeń mogą być obsługiwane wewnętrznie przez wyznaczoną do tego celu osobę lub wyznaczony dział lub zapewniane zewnętrznie przez osobę trzecią. Muszą jednak spełnić te same wymogi co do wdrożenia środków bezpieczeństwa”.

więcej na: https://archiwum.rp.pl/artykul/1447311-Prywatnosc-sygnalisty-pod-ochrona.html