Ocena skutków dla ochrony danych osobowych

Art. 35 RODO ust. 1 RODO wskazuje, że jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków dla ochrony danych (DPIA). Prezes Orange Polska S.A. w Komunikacie z dnia 24.05.2018 r. wskazał rodzaje operacji przetwarzania wymagających oceny skutków, gdzie w przypadku sygnalistów jest to pkt. 9 tabeli. Zgodnie z tym punktem organizacja, która wykorzystuje systemy służące do zgłaszania nieprawidłowości (związanych np. z mobbingiem, korupcją) - w szczególności, gdy przetwarzane są w nim dane pracowników, musi przeprowadzić ocenę skutków dla ochrony danych osobowych. Grupami docelowymi są osoby dokonujące zgłoszenia, osoby, których zgłoszenie dotyczy a także osoby pomagające w dokonaniu zgłoszenia oraz świadkowie.

I. Opis przetwarzania

Tabela nr 1

Lp. Dane do identyfikacji procesu Opis przetwarzania

Opis czynności przetwarzania Przetwarzanie danych w ramach systemu zgłaszania naruszeń przez sygnalistów

Cel czynności przetwarzania Prawidłowa kwalifikacja zgłoszenia oraz ochrona osób zgłaszających naruszenie

Podstawa prawna przetwarzania Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937

Administrator danych Orange Polska S.A.

Podmioty przetwarzające Deloitte Sp. z o.o.

Umowy powierzenia przetwarzania danych osobowych Zawarta

Systemy wspierające przetwarzanie Zgłoszenia24

Planowane przepływy danych Pomiędzy administratorem a podmiotem przetwarzającym

Charakter przetwarzania • W jaki sposób dane będą gromadzone, wykorzystywane, przechowywane i usuwane? • Jakie jest źródło danych? • Czy dane będą komuś udostępniane?

Zakres przetwarzania: • Jakie dane są przetwarzane (zwykłe, szczególnej kategorii)? • Ile danych będzie gromadzonych i wykorzystywanych? • Jak często? • Ilu osób dotyczy przetwarzanie? • Określenie retencji danych • Określenie obszar przetwarzania danych np. ul. Twarda 18, 00-105 Warszawa

Kontekst przetwarzania: • Kontekst wewnętrzny – obejmujący czynniki wewnętrzne podmiotu, firmy, jej organizacji • Kontekst zewnętrzny – obejmujący czynniki zewnętrzne, w których działa podmiot, firma • Kontekst powinien definiować elementy związane ze środowiskiem prawnym, geograficznym, politycznym oraz społecznym, w jakim funkcjonuje firma i przetwarzane są dane osobowe. Należy określić takie elementy jak: lokalne lub branżowe regulacje prawne na podstawie, których działa firma, zakres terytorialny przetwarzania danych (Polska lub poza Polską), inwentaryzacja aktywów dla dokładności oraz skuteczności procesu szacowania ryzyka.

II. Opis procesu konsultacji wewnętrznych i zewnętrznych

Tabela nr 2

Opinie wewnętrzne np.: Anna Kowalska, Jan Nowak, Maria Wiśniewska, Piotr Zieliński

Opinie podmiotów zewnętrznych Rzecznik Praw Obywatelskich

III. Określenie niezbędności oraz proporcjonalności danych art. 35 ust. 7 lit b RODO

Tabela nr 3

Środki, których podjęcie jest planowane w celu zapewnienia przestrzegania RODO Pytanie Odpowiedź

Czy cele przetwarzania są Tak, zgodnie z Dyrektywą.

konkretne, wyraźne i prawnie uzasadnione (art. 5 ust. 1 lit. b)?

Jaka jest podstawa prawna Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937

przetwarzania danych?

Czy Administrator zbiera dane Administrator zbiera dane niezbędne do prowadzenia wyłącznie w zakresie niezbędnym rejestru zgłoszeń oraz możliwości otrzymania przed do określonego celu (minimalizacja sygnalistę informacji zwrotnych na temat danych) (art. 5 ust. 1 lit. c)? planowanych lub podjętych działań następczych.

Czy dane są przechowywane Tak, po czasie, gdy dane są zbędne- dane wyłącznie przez czas niezbędny do będą usunięte.

ich przetwarzania (art. 5 ust. 1 lit. e)

W jaki sposób Administrator Administrator weryfikuje dane przede wszystkim weryfikuje prawidłowość danych i je poprzez analizę dostarczonych dokumentów oraz uaktualnia (art. 5 ust. 1 lit. d)? porównanie ich z informacjami zawartymi w bazach danych. Dodatkowo, mogą być przeprowadzane wywiady z osobami zainteresowanymi lub dokonywane inspekcje w siedzibie firmy w celu potwierdzenia podanych informacji.

Czy Administrator weryfikuje Tak, poprzez listy weryfikacyjne

podmiot przetwarzający w sposób zapewniający, że procesor będzie przetwarzał powierzone dane zgodnie z przepisami RODO?

Czy dane będą przekazywane poza Nie, zarówno Administrator jak i podmiot Europejski Obszar Gospodarczy, przetwarzający nie przekazują danych poza Polskę.

jeśli tak to, w jaki sposób dane zostaną zabezpieczone?

Tabela nr 4

Środki przyczyniające się do zachowania praw osób, których dane dotyczą Pytanie Odpowiedź

Czy Administrator realizuje • Zgodnie z art. 14 ust. 3 RODO Administrator musi obowiązki informacyjne z art. 13 i poinformować osobę, której dotyczy zgłoszenie 14 RODO? (świadka, ofiarę lub sprawcę) w ciągu miesiąca po uzyskaniu danych osobowych - najpóźniej w ciągu 3 miesięcy od uzyskania zgłoszenia. Nie trzeba realizować obowiązku informacyjnego z art. 14 RODO, gdy unieważni lub znacznie utrudni on realizację celów przetwarzania (np. istnieje możliwość zniszczenia dowodów). Zaleca się żeby w takiej sytuacji klauzulę informacyjną dostarczyć po uniknięciu ryzyka, należy też udokumentować przyczyny braku realizacji obowiązku informacyjnego. • Informowanie o źródłach pochodzenia zgłoszenia nie powinno ujawniać danych osobowych sygnalisty lub osób trzecich. • W sytuacji zgłaszania w związku z art 14 ust 5 RODO, gdy przepis prawa jest podstawą uzyskania danych nie realizuje się obowiązku informacyjnego. Z drugiej strony- dla bezpieczeństwa postępowania (tj. niezacierania dowodów nieprawidłowości w tym mobbingu)- obowiązek informacyjny z art 14 nie jest realizowany.

Czy obowiązek informacyjny jest W sytuacji realizacji art 13 RODO- obowiązek jest przekazywany w zwięzłej, realizowany w łatwo dostępnej formie.

przejrzystej łatwo dostępnej formie oraz napisany jest prostym językiem? (art. 12 ust. 1 RODO)

W jaki sposób osoba fizyczna może Poprzez kontakt z Inspektorem Ochrony Danych. realizować prawo dostępu do danych Istotnym jest, aby skonsultować się z prawnikiem, aby w osobowych? (art. 15 ust. 1 RODO) przypadku wątpliwości- osoba podejrzana o nieprawidłowości dowiedziała się o tym dopiero w późniejszym terminie, aby uniknąć zacierania dowodów.

Jakie środki podejmuje Możliwość wygenerowania przez Inspektora Ochrony Danych, z Administrator, aby zapewnić osobie zastrzeżeniem- osoba podejrzana o nieprawidłowości fizycznej prawo realizacji uzyskania dowiedziała się o tym dopiero w późniejszym terminie, kopii danych? aby uniknąć zacierania dowodów.

(art. 15 ust. 3 RODO)

W jaki sposób osoba fizyczna może Poprzez kontakt z Inspektorem Ochrony Danych sprostować swoje dane? (art. 16 (który konsultuje się z prawnikiem)

RODO)

Czy osobie fizycznej przysługuje Poprzez kontakt z Inspektorem Ochrony Danych prawo do usunięcia danych? (art. 17 (który konsultuje się z prawnikiem)

RODO)

W jaki sposób osoby fizyczne mogą Poprzez kontakt z Inspektorem Ochrony Danych wyegzekwować prawo do (który konsultuje się z prawnikiem)

ograniczenia przetwarzania i prawo do sprzeciwu? (art. 18 i art. 21 RODO)

Czy Administrator informuje o Tak, realizowane są wszystkie prawa.

sprostowaniu lub usunięciu lub ograniczeniu przetwarzania każdego odbiorcy, któremu ujawniono dane osobowe? (art. 19 RODO)

Czy osobie fizycznej przysługuje W ograniczonym zakresie do innych miejsc. Gdy jest prawo do przenoszenia danych? (art. to technicznie możliwe- to jak najbardziej.

20 RODO)

IV. Identyfikacja i ocena ryzyka

Poziom ryzyka wyznaczono według wzoru: R = P x S gdzie: R –poziom ryzyka P – wartość przypisana prawdopodobieństwu materializacji zagrożenia S – wartość skutków

METODA OCENY RYZYKA POTENCJALNEGO ORAZ SZCZĄTKOWEGO PRAWDOPODOBIEŃSTWO WYSTĄPIENIA ISTOTNOŚĆ ZAGROŻENIA (WAGA) pomijalne niskie średnie wysokie krytyczne ZAGROŻENIA (1) (2) (3) (4) (5) pomijalna (1) 1 2 3 4 5 niska (2) 2 4 6 8 10 średnia (3) 3 6 9 12 15 wysoka (4) 4 8 12 16 20 krytyczna (5) 5 10 15 20 25

STOPIEŃ wysoki (15- niski (1-7) średni (8-14) RYZYKA 25)

Tabela nr 5

Analiza ryzyka Źródło ryzyka Prawdopodobień Skutek - dotkliwość Poziom Identyfikacja Wpływ zdarzenia Wpływ na osobę stwo dla osób fizycznych ryzyka negatywnych skutków na atrybuty fizyczną zdarzenia bezpieczeństwa informacji

Brak ochrony 3 5 15 • Ujawnienie tożsamości w Utrata zaufania • Poufność – Utrata reputacji tożsamości Warszawie do systemu • Integralność sygnalisty przez • Ujawnienie nazwiska Utrata pracy przez sygnalistę osoby upoważnione • Ujawnienie adresu Utrata wiarygodności • Dostępność do przyjmowania sygnalisty możliwości zgłoszeń (należy • Brak dostępu do systemu Ograniczenie wykorzystania u brać także pod • Ujawnienie danych osobowych Utrata anonimowości innych uwagę, że • Ujawnienie informacji Utrata bezpieczeństwa tożsamość informacji sygnalisty • Utrata danych dokonującego np. adresu zamieszkania anonimowego sygnalisty zgłoszenia może • Utrata danych zostać ujawniona na osobowych podstawie sygnalisty informacji, które