Ocena skutków dla ochrony danych (DPIA) dla systemu sygnalistów #
Ostatnia aktualizacja: 2026-06-20.
Uruchomienie wewnętrznego kanału zgłoszeń jest dla większości organizacji pierwszym przypadkiem rutynowego przetwarzania szczególnie wrażliwych danych osobowych o wysokim ryzyku. Zgodnie z art. 35 RODO przetwarzanie, które może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych, wymaga przeprowadzenia oceny skutków dla ochrony danych (DPIA) przed jego rozpoczęciem. Kanały zgłoszeń sygnalistów należą wprost do tej kategorii, a większość krajowych organów nadzorczych umieszcza je na wykazach przetwarzania obowiązkowo objętego DPIA.
Niniejsza strona to wstępnie wypełniona DPIA, którą można dostosować do własnego wdrożenia EthicsPortal. Jest zgodna ze strukturą art. 35 ust. 7 RODO oraz z szablonem DPIA Europejskiej Rady Ochrony Danych (EROD) i zawiera środki techniczne i organizacyjne, które EthicsPortal zapewnia jako podmiot przetwarzający.
To materiał wyjściowy, a nie gotowa ocena. Administrator — czyli Państwa organizacja — jest właścicielem DPIA i ją podpisuje. EthicsPortal jest podmiotem przetwarzającym i dostarcza poniższe informacje w celu wsparcia, zgodnie z art. 28 ust. 3 lit. f RODO oraz §6.7 naszej Umowy powierzenia (DPA) . Nie stanowi to porady prawnej. Przed wykorzystaniem powinien ją zweryfikować i dostosować Państwa inspektor ochrony danych lub radca prawny.
Podział ról #
| Rola | Strona | Odpowiedzialność za DPIA |
|---|---|---|
| Administrator | Państwa organizacja | Jest właścicielem DPIA, wypełnia ją i podpisuje. Określa cele, retencję i osoby obsługujące zgłoszenia. |
| Podmiot przetwarzający | EthicsPortal | Dostarcza opis przetwarzania oraz poniższe środki techniczne i organizacyjne, a na żądanie uczestniczy w ocenie. |
| Oceniający | Państwa IOD (lub osoba znająca przetwarzanie, najlepiej inna niż osoba za nie odpowiedzialna) | Przeprowadza ocenę i ją zatwierdza. |
Jak korzystać z tego szablonu #
- Skopiuj poniższe sekcje do własnego rejestru DPIA (lub do szablonu EROD ).
- Dostosuj wiersze dotyczące zakresu, retencji i odbiorców do swojej konfiguracji w EthicsPortal.
- Dodaj ryzyka właściwe dla Państwa organizacji (np. regulacje branżowe lub obowiązki wobec rady pracowników).
- Poproś IOD o odnotowanie decyzji o ryzyku szczątkowym i zatwierdzenie.
- Aby zachować kopię, użyj funkcji przeglądarki Drukuj → Zapisz jako PDF.
Część A — Opis przetwarzania #
(art. 35 ust. 7 lit. a RODO — charakter, zakres, kontekst i cel)
| Pozycja | Opis |
|---|---|
| Cel | Przyjmowanie, obsługa i działania następcze wobec zgłoszeń naruszeń, zgodnie z Dyrektywą UE 2019/1937, jej krajową transpozycją oraz wewnętrznymi standardami etycznymi. |
| Podstawa prawna | Wypełnienie obowiązku prawnego (art. 6 ust. 1 lit. c RODO) wynikającego z krajowej transpozycji Dyrektywy 2019/1937; dla danych szczególnych kategorii — art. 9 ust. 2 lit. g RODO (ważny interes publiczny). |
| Charakter przetwarzania | Zbieranie, przechowywanie, bezpieczna dwustronna komunikacja, zarządzanie sprawami oraz usuwanie danych zgłoszeń po wyznaczonym terminie. |
| Kategorie danych osobowych | Opcjonalna tożsamość sygnalisty (imię i nazwisko, e-mail, telefon — nigdy obowiązkowe); treść zgłoszenia; wiadomości między sygnalistą a prowadzącym; załączniki; dane kont prowadzących i administratorów; jednokierunkowo zahaszowane kody dostępu. Zob. §3 DPA . |
| Dane szczególnych kategorii / wrażliwe | Mogą incydentalnie pojawić się w polach tekstowych zgłoszeń (np. zdrowie, przynależność związkowa, zarzuty karne). Nie da się ich z góry przewidzieć; ograniczane przez kontrolę dostępu, szyfrowanie i minimalizację. |
| Osoby, których dane dotyczą | Sygnaliści (mogą być anonimowi), osoby wskazane w zgłoszeniu, prowadzący sprawy, administratorzy. Zob. §4 DPA . |
| Odbiorcy | Wyznaczeni prowadzący sprawy; opcjonalnie zewnętrzny prowadzący postępowanie (np. kancelaria) dodany przez Administratora. Brak innych odbiorców. |
| Retencja | Konfigurowana przez Administratora: 12, 24, 36, 48 lub 60 miesięcy po zamknięciu sprawy, następnie automatyczne trwałe usunięcie. Zob. §5 DPA . |
| Lokalizacja danych / transfery | Hosting w całości w UE (Hetzner, Norymberga, Niemcy). Żadne dane zgłoszeń nie opuszczają UE. Zob. podwykonawcy . |
| Zautomatyzowane decyzje / AI | Brak. Treść zgłoszeń nigdy nie jest przekazywana do żadnej usługi AI/LLM; brak profilowania i decyzji automatycznych. Zob. §6.10 DPA . |
Część B — Niezbędność i proporcjonalność #
(art. 35 ust. 7 lit. b RODO)
Przetwarzanie jest niezbędne, ponieważ prowadzenie wewnętrznego kanału zgłoszeń jest obowiązkiem prawnym objętych nim organizacji na mocy krajowej transpozycji Dyrektywy 2019/1937. Jest proporcjonalne, ponieważ EthicsPortal został zaprojektowany tak, aby zbierać minimum danych i wzmacniać prawa osób, których dane dotyczą:
- Minimalizacja danych — żadne pole kontaktowe sygnalisty nie jest obowiązkowe; w pełni anonimowe zgłoszenie jest ścieżką domyślną.
- Ochrona tożsamości — adresy IP sygnalistów nie są przechowywane; metadane plików (EXIF, GPS, autor) są usuwane; nagrania głosowe w portalu są nieodwracalnie zmieniane wysokością tonu.
- Ograniczenie przechowywania — retencja jest konfigurowalna i egzekwowana przez automatyczne usuwanie (art. 5 ust. 1 lit. e RODO).
- Prawa osób — dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie i sprzeciw są obsługiwane w produkcie; Administrator może wyeksportować pełny zbiór danych. Zob. §6.5 DPA .
- Przejrzystość — na formularzu zgłoszeniowym wyświetlana jest klauzula informacyjna.
- Zabezpieczenia podmiotu przetwarzającego — opublikowana DPA , imienna lista podwykonawców (wszyscy w UE) oraz poniższe środki bezpieczeństwa.
Część C — Ryzyka i środki #
(art. 35 ust. 7 lit. c RODO — ryzyka dla praw i wolności osób oraz środki je adresujące)
Prawdopodobieństwo i dotkliwość ocenia się przed zastosowaniem środków; ostatnia kolumna to ryzyko szczątkowe po zastosowaniu środków zapewnianych przez EthicsPortal. Dostosuj je do własnej konfiguracji.
| # | Czynność przetwarzania | Ryzyko dla osób | Prawdopodob. | Dotkliwość | Środki w EthicsPortal | Ryzyko szczątkowe |
|---|---|---|---|---|---|---|
| 1 | Złożenie zgłoszenia | Sygnalista chcący zachować anonimowość zostaje zidentyfikowany | Średnie | Wysoka | Brak obowiązkowych pól kontaktowych; adres IP nigdy nieprzechowywany; metadane plików usuwane; nagrania głosowe nieodwracalnie anonimizowane, a oryginał usuwany | Zredukowane |
| 2 | Przyjęcie zgłoszenia | Zgłoszone zostają nadmiarowe lub błędne dane osób trzecich | Średnie | Średnia | Wskazówki minimalizacji na formularzu; dostęp tylko dla wyznaczonych prowadzących; konfigurowalna retencja z autousuwaniem | Zredukowane |
| 3 | Kontakt zwrotny z sygnalistą | Wiadomości w sprawie odczytuje ktoś inny niż sygnalista | Niskie | Wysoka | Dostęp powrotny wymaga dwóch składników — numeru sprawy i wybranego przez sygnalistę 6-cyfrowego kodu PIN przechowywanego wyłącznie jako skrót; skrzynka chroniona sesją | Zredukowane |
| 4 | Przypisanie do prowadzącego | Do sprawy uzyskuje dostęp osoba inna niż wyznaczony prowadzący | Niskie | Wysoka | Kontrola dostępu oparta na rolach; przypisanie per zgłoszenie; uwierzytelnianie dwuskładnikowe kont prowadzących/administratorów; pełny dziennik audytu; automatyczne wygaszanie sesji | Zredukowane |
| 5 | Włączenie strony zewnętrznej (np. kancelarii) | Zewnętrzny prowadzący postępowanie uzyskuje nadmierny dostęp | Niskie | Wysoka | Rola audytora tylko do odczytu; jawne nadawanie dostępu per konto przez administratora; cały dostęp rejestrowany w dzienniku | Zredukowane |
| 6 | Notatki i dane sprawy w spoczynku | Przechowywana treść zgłoszenia zostaje ujawniona w wyniku naruszenia | Niskie | Wysoka | Niedeterministyczne szyfrowanie w spoczynku treści, tożsamości i wiadomości; hosting wyłącznie w UE na infrastrukturze ISO/IEC 27001 | Zredukowane |
| 7 | Konflikt interesów | Osoba wskazana w zgłoszeniu jest jednocześnie prowadzącym/administratorem i może je zatuszować | Średnie | Wysoka | Przypisanie wielu prowadzących; dziennik audytu tylko-do-dopisywania; rola audytora do nadzoru; wskazówki wdrożeniowe, aby dostęp miała więcej niż jedna osoba | Zredukowane |
| 8 | Załączniki | Do systemu trafia złośliwe oprogramowanie lub ukryte metadane | Średnie | Średnia | Skanowanie antywirusowe (ClamAV) każdego przesłanego pliku z aktualizacją sygnatur; automatyczne usuwanie EXIF/GPS/autora | Zredukowane |
| 9 | Retencja i usuwanie | Dane przechowywane dłużej niż zgodnie z prawem | Średnie | Średnia | Retencja ustawiana przez Administratora (12–60 mies.) z automatycznym trwałym usunięciem po zamknięciu; nieaktywne sprawy zamykają się automatycznie, by uruchomić bieg terminu | Zredukowane |
| 10 | Hosting i podwykonawcy | Transfer danych poza UE lub do nieujawnionej strony | Niskie | Wysoka | Wszystkie dane zgłoszeń w UE; imienna lista podwykonawców; 30-dniowe wyprzedzenie i prawo sprzeciwu wobec zmian (§6.4 DPA ); brak podwykonawcy AI | Zredukowane |
| 11 | Naruszenie | Naruszenie nie zostaje zgłoszone Administratorowi | Niskie | Wysoka | Umowne zgłoszenie naruszenia bez zbędnej zwłoki i w ciągu 72 godzin (§6.6 DPA ) | Zredukowane |
Część D — Wynik i zatwierdzenie #
Dla standardowego wdrożenia z zastosowaniem powyższych środków ryzyko szczątkowe dla każdej czynności jest zredukowane do poziomu akceptowalnego, a uprzednia konsultacja z organem nadzorczym na podstawie art. 36 RODO co do zasady nie jest wymagana. Jeżeli po zastosowaniu tych środków Państwa własna ocena nadal wskazuje wysokie ryzyko szczątkowe — np. z powodu dodanego przetwarzania właściwego dla Państwa branży — przed rozpoczęciem przetwarzania należy skonsultować się z organem nadzorczym.
| Pole | Wpis |
|---|---|
| Ocenę przeprowadził(a) | _________________________ |
| Rola | _________________________ |
| Data | _________________________ |
| Opinia IOD | _________________________ |
| Decyzja o ryzyku szczątkowym | ☐ Zaakceptowane ☐ Dalej zredukowane ☐ Wymagana uprzednia konsultacja |
| Data przeglądu | _________________________ |
Szablony referencyjne #
- Szablon DPIA EROD (2026) — oficjalny szablon ogólnounijny.
- Państwa krajowy organ nadzorczy może publikować własny szablon; jeśli tak, należy traktować go jako formę nadrzędną.
Powiązane #
- Umowa powierzenia przetwarzania danych
- Środki bezpieczeństwa
- Podwykonawcy
- Mapa zgodności z Dyrektywą 2019/1937
Ostatnia aktualizacja: