Kinga Sitko

19 listopada 2021

Nałożenie kary pieniężnej na lotnisko we Włoszech wskutek nieprzestrzegania wymogów RODO w związku ze wdrożeniem tzw. Dyrektywy o ochronie sygnalistów.

W dniu 2 sierpnia bieżącego roku została opublikowana decyzja włoskiego organu ochrony danych, który nałożył karę w wysokości 40 tysięcy EURO na lotnisko w Bolonii za niezapewnienie odpowiednich środków technicznych i organizacyjnych wymaganych przez RODO dla wykorzystywanego tam systemu dla obsługi zgłoszeń od sygnalistów.


Włoskie lotnisko, działające jako administrator danych osobowych, wykorzystywało system whistleblowing’owy „WB confidential” do otrzymywania i zarządzania zgłoszeniami dotyczącymi bezprawnego postępowania przez swoich pracowników i inne osoby. Aplikacja była obsługiwana przez dostawcę w formule SaaS, który działał jako podmiot przetwarzający dla administratora zgodnie z art. 28 RODO.

 

Dostarczone zgłoszenia mogły zawierać dane identyfikacyjne sygnalisty, informacje dotyczące zdarzenia stanowiącego naruszenie oraz załączoną dokumentację.

 

Jednak ze względu na ograniczoną liczbę zgłoszeń i przetwarzanych danych administrator postanowił nie przeprowadzać oceny skutków przetwarzania w zakresie danych osobowych (DPIA). Podobnie, ze względu na niewielką zdaniem administratora możliwość wykorzystania danych przez osoby trzecie oraz niskie prawdopodobieństwo zagrożeń administrator postanowił nie szyfrować danych osobowych przechowywanych w jego bazie danych i przesyłanych przez sieć publiczną.

 

W uzasadnieniu swojej decyzji administrator uznał, że zastosowanie środka szyfrowania ma zastosowanie i jest adekwatne tylko w przypadku dużej ilości przetwarzanych danych w określonych obszarach. Wdrożenie takiego systemu wymagałoby zakupu dodatkowego komponentu o nieproporcjonalnych kosztach wdrożenia. Ponadto dostęp do danych był zastrzeżony wyłącznie dla procesora, którego celem nie miało być przekazywanie ani rozpowszechnianie tych danych.

 

Włoski organ ochrony danych stwierdził, że administrator jest zobowiązany do przestrzegania zasady integralności i poufności z art. 5 ust. 1 lit. f) RODO.

 

W związku z tym dane muszą być przetwarzane w sposób gwarantujący odpowiednie bezpieczeństwo, w tym ochronę przed nieuprawnionym przetwarzaniem, zniszczeniem lub uszkodzeniem.

 

Organ uznał charakter danych i możliwość ich ewentualnego pozyskania przez osoby trzecie za wysoce ryzykowne.

 

W związku z tym nieszyfrowany dostęp do systemu nie gwarantuje odpowiedniego poziomu bezpieczeństwa.

 

Administrator danych musi wdrożyć odpowiednie środki techniczne i organizacyjne uwzględniające aktualny stan wiedzy, charakter, cele i zagrożenia związane z przetwarzaniem.

 

Do czasu podjęcia tych środków przetwarzanie odbywa się z naruszeniem art. 5 ust. 1 lit. f RODO, art. 25 ust. 1 RODO, art. 32 RODO i art. 35 RODO.

 

W ocenie organu administrator nie może wyłączyć swojej odpowiedzialności poprzez przerzucenie jej na podmiot przetwarzający, ale zachowuje „ogólną odpowiedzialność” za określenie własnych środków w celu przestrzegania zasad ochrony danych.

 

Ten przykład jest przestrogą dla przedsiębiorców, którzy będą tworzyć własne kanały zgłaszania naruszeń i staną się administratorami danych objętych zgłoszeniem.

 

To właśnie na administratorze danych spoczywają szczególne obowiązki związane z ochroną danych osobowych, zatem wybór odpowiedniego dostawcy platformy do obsługi zgłoszeń od sygnalistów bądź też właściwego podmiotu do prowadzenia wewnętrznych postępowań wyjaśniających w ramach outsourcingu to już odpowiedzialność każdego podmiotu obowiązanego do wdrożenia rozwiązań Dyrektywy o ochronie sygnalistów.