Ochrona danych osobowych oraz ochrona tzw. sygnalistów są niewątpliwie ściśle ze sobą związane. 10 czerwca 2021 r. włoski organ nadzorczy w zakresie ochrony danych osobowych (odpowiednik polskiego UODO), nałożył karę w wysokości 40 tysięcy euro na spółkę zarządzająca portem lotniczym w Bolonii. Powodem nałożenia kary była nienależyta ochrona danych osobowych sygnalistów.
Zdarzenie
Aeroporto Guglielmo Marconi di Bologna S.p.a. (AdB) – podmiot będący spółką skarbu państwa – wdrażając wewnętrzny system ochrony sygnalistów zdecydował się na wykorzystanie zewnętrznej aplikacji „WB Confidential”. Według organu nadzoru przetwarzane w aplikacji dane osobowe sygnalistów były nieprawidłowo zabezpieczone, gdyż zastosowany był nieszyfrowany protokół sieciowy http. Okazało się również, że brakuje potwierdzenia na przeprowadzone procedury „Privacy by desing” i „Privacy by default”, gdyż zostały uznane przez „AdB” jako niepotrzebne.
Rekomendacja
Ochrona danych osobowych sygnalistów to nowy problem, przed którymi stają organizacje w związku z wejściem w życie dyrektywy unijnej o ochronie sygnalistów.
Dane sygnalistów oraz innych osób, które pojawiają się w zgłoszeniach powinny być chronione z dużą starannością. Zachowanie pełnej anonimowości danych osobowych sygnalistów, czyli osób decydujących się na zgłoszenie nieprawidłowości lub działań niezgodnych z prawem, pozwala na zmniejszenie ryzyka ich dyskryminacji i zapobiega wyciąganiu negatywnych konsekwencji ze względu na podjęte przez takie osoby działania.
Opisywana sprawa pokazuje również, że z punktu widzenia ochrony danych osobowych istotny jest sposób transferu danych. Nieszyfrowany protokół http budzi obawy co do stopnia poufności wymiany danych między przeglądarką użytkownika i serwerem, a ingerencja osób trzecich stanowi zbyt duże ryzyko.
