Co w sytuacji, gdy incydent bezpieczeństwa dotyczy zgłoszenia, a incydenty rozpatrują inni pracownicy niż komisja?
ODPOWIEDŹ
Ciekawe i niełatwe pytanie. Szansa, że do takiej sytuacji dojdzie (w szczególności, że skala zgłoszeń sygnalistów raczej nie będzie znaczna) jest nikła, ale teoretycznie możliwa. Rozwiązanie widzę w maksymalnym ograniczeniu liczby osób rozpatrujących incydent bezpieczeństwa, a dodatkowo przed dostępem do danych sygnalistów proponowałabym odebrać od nich oświadczenia, że są świadomi wagi danych, do których mają dostęp, a także jaka odpowiedzialność grozi im za ujawnienie danych sygnalistów albo osób, których zgłoszenie dotyczyło.
Owszem, odebranie oświadczenia nie załatwia sprawy, ale ważne jest uświadomienie osobom obsługującym incydent bezpieczeństwa, że nie mają do czynienia ze zwykłym incydentem, a także wówczas my jako administrator zyskujemy dowód, że podjęliśmy wszelkie możliwe kroki, aby chronić dane sygnalistów/osób, których dotyczyło zgłoszenie. Niemniej jednak, incydent bezpieczeństwa musi zostać obsłużony, co również jest w interesie osób, których dane zostały skompromitowane na skutek incydentu.