Wymiana informacji o przeprowadzonych badaniach na obecność koronawirusa

UODO – w odpowiedzi na wpływające od służb sanitarnych pytania - udzielił wskazówek dotyczących wyboru zabezpieczeń, jakie muszą być zastosowane, gdy w systemie informatycznym są lub mają być przetwarzane dane osób, u których przeprowadzono badania na obecność koronawirusa.

Co istotne, systemy takie mogą być tworzone i wykorzystywane jedynie przez podmioty, które na podstawie obowiązujących przepisów są uprawnione do przeprowadzania takich badań lub poznania ich wyników, a więc m.in. laboratoria, szpitale czy stacje sanitarno-epidemiologiczne. Ważne też, by dostęp poszczególnych podmiotów do danych był ograniczony do tych, które są im niezbędne do realizacji ich określonych przepisami zadań i kompetencji.

Organ ds. ochrony danych osobowych podkreślił, że zgodnie z RODO, każdy administrator ma dużą swobodę w doborze technicznych i organizacyjnych środków zabezpieczenia. W art. 24 ust. 1 RODO określone zostały podstawowe obowiązki administratora, zaś art. 32 RODO zawiera uszczegółowienie wymogów dotyczących zabezpieczenia przetwarzanych danych. Z przepisów tych, a także z zawartych w motywach RODO wskazówek interpretacyjnych wynika, że unijny prawodawca nacisk położył na podejście oparte na ocenie ryzyka.

RODO nie definiuje czym dokładnie jest ryzyko, a jedynie motyw 75 ogólnego rozporządzenia wymienia przykłady ryzyk stanowiąc, że jest zagrożenie mogące prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, etc.

Zasada ta oznacza, że administratorom i podmiotom przetwarzającym nie wskazuje się ściśle określonych środków i procedur w zakresie bezpieczeństwa, np. kontroli dostępu, szyfrowania, rozliczalności czy sposobu monitorowania procesów przetwarzania. Zamiast tego zobowiązuje się ich do samodzielnego przeprowadzania szczegółowej analizy prowadzonych procesów przetwarzania danych i dokonywania samodzielnej oceny ryzyka, na jakie przetwarzanie danych w konkretnym przypadku jest narażone.

Innymi słowy, środki ochrony przetwarzania danych osobowych muszą być dostosowane do skali ryzyka. Ocenia się je pod kątem utraty poufności, integralności i dostępności danych, biorąc przy tym pod uwagę ich zakres, szczególne znaczenie (wrażliwość) oraz kontekst i cele przetwarzania, a tym samym także kwestie zapewniania bezpieczeństwa usług przetwarzania (niezawodność, integralność i dostępność systemu przetwarzania) oraz zapewniania autentyczności i rozliczalności danych i podmiotów uczestniczących w przetwarzaniu.

Administrator, mając dużą swobodę w doborze technicznych i organizacyjnych środków zabezpieczenia, jest jednocześnie zobowiązany do zapewnienia, że wdrożone rozwiązania będą wystarczające i skuteczne.

Jednocześnie musi wprowadzić takie środki i procedury, by zapewnić pełną przejrzystość operacji przetwarzania danych oraz móc to wykazać.

Pod uwagę musi też brać szczególne przepisy krajowe dotyczące zabezpieczenia danych.

W zakresie nieuregulowanym przepisami szczególnymi, dokonując wyboru środków technicznych i organizacyjnych administrator powinien uwzględniać: stan wiedzy technicznej, koszt wdrożenia wymaganych zabezpieczeń, charakter, zakres, kontekst i cel przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych.

W opinii UODO, istotnym wsparciem w zakresie doboru odpowiednich do charakteru ryzyka środków i rozwiązań powinien być dysponujący wiedzą fachową inspektor ochrony danych.

Pomocne powinny być też wskazówki zawarte w przygotowanym przez ekspertów UODO dwuczęściowym poradniku:

  •     Jak rozumieć podejście oparte na ryzyku według RODO?
  •     Jak stosować podejście oparte na ryzyku?

Źródło: https://uodo.gov.pl/pl/138/1500




 

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zdalnie
zbada Twoje potrzeby i uruchomi dostęp:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Zasady przetwarzania danych osobowych