RODO a ochrona sygnalistów – wskazówki ekspertów po seminarium UODO
Prezes Urzędu Ochrony Danych Osobowych zorganizował seminarium dotyczące ochrony sygnalistów, a konkretnie ich danych osobowych. Podczas seminarium sformułowano istotne wskazówki dotyczące stosowania RODO wobec sygnalistów.
Opracowanie: Michał Kowalski
Jakie dane mogą służyć do identyfikacji sygnalisty
Podczas seminarium sformułowano liczne wskazówki dotyczące ochrony danych osobowych sygnalistów. Odnosząc się do definicji danych osobowych wg RODO, wskazano, że do identyfikacji sygnalisty mogą służyć nie tylko jego wszelkie dane, na podstawie których można byłoby go pośrednio zidentyfikować np. miejsce pracy. Ochrona poufności sygnalisty powinna obejmować także te dane.
Okres przechowywania danych osobowych sygnalisty – jak liczyć
Pewne wątpliwości mogą wzbudzać zasady naliczania okresu przechowywania danych osobowych sygnalisty, zwłaszcza w przypadku kilku zgłoszeń naruszenia prawa. Przyjęto jednak, że okres 3-letni okres retencji danych osobowych należy liczyć zawsze od daty przyjęcia zgłoszenia. Dotyczy to także danych osobowych w rejestrze zgłoszeń wewnętrznych.
Nie tylko korporacyjne kanały zgłoszeń naruszeń prawa
Ważnym aspektem ochrony danych osobowych sygnalistów są kanały zgłoszeń regulowane w procedurze zgłoszeń wewnętrznych. W tym temacie poruszono wątek grup kapitałowych, zwracając uwagę na ryzyko ograniczania się jedynie do korporacyjnych kanałów zgłoszeń.
Ochrona sygnalistów a zasada privacy by design i privacy by default
Ważnym aspektem są także środki bezpieczeństwa danych osobowych sygnalistów m.in. w ramach kanałów zgłoszeń (kontrowersje wśród uczestników seminarium wzbudził zwłaszcza kanał ustny). Podkreślono konieczność uwzględnienia reguł privacy by design i privacy by default w projektowanych procesach przetwarzania danych. Jednocześnie należy zadbać o integralność i dostępność danych.
Będą kolejne interpretacje UODO
Prezes UODO zapowiedział publikację kolejnych wskazówek dotyczących ochrony danych osobowych sygnalistów. Kolejne interpretacje mają ukazywać się systematycznie. Będą one dotyczyły także roli kancelarii prawnych w rozpatrywaniu zgłoszeń naruszeń prawa od sygnalistów. Pojawi się wątek zawierania z takimi kancelariami umów powierzenia przyjmowania zgłoszeń wewnętrznych zgodnie z art. 28 ust. 1 ustawy o ochronie sygnalistów.
O kolejnych wyjaśnieniach UODO będziemy informować na bieżąco w Portalu PoradyODO. Zachęcamy także do lektury artykułu: Ustawa o ochronie sygnalistów - obowiązki administratorów danych osobowych
-
Uodo.gov.pl
- Czy inspektor ochrony danych może obsługiwać zgłoszenia naruszenia prawa od sygnalistów
- Jak przygotować procedury cyberbezpieczeństwa w placówce medycznej
- Ochrona sygnalistów – każdy administrator musi zapewnić ochronę danych osobowych sygnalisty
- "Ubezpieczenie od RODO" – czy ratuje przed karą UODO za naruszenie ochrony danych osobowych
- Ujawnienie danych autora skargi administracyjnej - czy jest dopuszczalne
- Usunięcie danych kandydata do pracy – kiedy wymaga tego RODO
Bezpieczne przechowywanie danych w chmurze
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
