reklama
| INFORLEX | GAZETA PRAWNA | KONFERENCJE | INFORORGANIZER | APLIKACJE | KARIERA | SKLEP
reklama
reklama
Jesteś tutaj: STRONA GŁÓWNA > Sektor publiczny > Organizacja > RODO 2018 > Ochrona danych osób badanych na obecność koronawirusa

Ochrona danych osób badanych na obecność koronawirusa

Jak powinien być zabezpieczony system informatyczny w którym przetwarzane są dane osób badanych na obecność koronawirusa? Przedstawiamy wskazówki UODO.

Tworząc system informatyczny, w którym przetwarzane będą dane osób, u których przeprowadzono badania na obecność koronawirusa, środki ochrony przetwarzania danych osobowych muszą być dostosowane do skali ryzyka.

UODO – w odpowiedzi na wpływające od służb sanitarnych pytania - udzielił wskazówek dotyczących wyboru zabezpieczeń, jakie muszą być zastosowane, gdy w systemie informatycznym są lub mają być przetwarzane dane osób, u których przeprowadzono badania na obecność koronawirusa.

Co istotne, systemy takie mogą być tworzone i wykorzystywane jedynie przez podmioty, które na podstawie obowiązujących przepisów są uprawnione do przeprowadzania takich badań lub poznania ich wyników, a więc m.in. laboratoria, szpitale czy stacje sanitarno-epidemiologiczne. Ważne też, by dostęp poszczególnych podmiotów do danych był ograniczony do tych, które są im niezbędne do realizacji ich określonych przepisami zadań i kompetencji.

Polecamy: Tarcza antykryzysowa – Samorząd i administracja. Pakiet e-booków

Organ ds. ochrony danych osobowych podkreślił, że zgodnie z RODO, każdy administrator ma dużą swobodę w doborze technicznych i organizacyjnych środków zabezpieczenia. W art. 24 ust. 1 RODO określone zostały podstawowe obowiązki administratora, zaś art. 32 RODO zawiera uszczegółowienie wymogów dotyczących zabezpieczenia przetwarzanych danych. Z przepisów tych, a także z zawartych w motywach RODO wskazówek interpretacyjnych wynika, że unijny prawodawca nacisk położył na podejście oparte na ocenie ryzyka.

RODO nie definiuje czym dokładnie jest ryzyko, a jedynie motyw 75 ogólnego rozporządzenia wymienia przykłady ryzyk stanowiąc, że jest zagrożenie mogące prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, etc.

Zasada ta oznacza, że administratorom i podmiotom przetwarzającym nie wskazuje się ściśle określonych środków i procedur w zakresie bezpieczeństwa, np. kontroli dostępu, szyfrowania, rozliczalności czy sposobu monitorowania procesów przetwarzania. Zamiast tego zobowiązuje się ich do samodzielnego przeprowadzania szczegółowej analizy prowadzonych procesów przetwarzania danych i dokonywania samodzielnej oceny ryzyka, na jakie przetwarzanie danych w konkretnym przypadku jest narażone.

Innymi słowy, środki ochrony przetwarzania danych osobowych muszą być dostosowane do skali ryzyka. Ocenia się je pod kątem utraty poufności, integralności i dostępności danych, biorąc przy tym pod uwagę ich zakres, szczególne znaczenie (wrażliwość) oraz kontekst i cele przetwarzania, a tym samym także kwestie zapewniania bezpieczeństwa usług przetwarzania (niezawodność, integralność i dostępność systemu przetwarzania) oraz zapewniania autentyczności i rozliczalności danych i podmiotów uczestniczących w przetwarzaniu.

Administrator, mając dużą swobodę w doborze technicznych i organizacyjnych środków zabezpieczenia, jest jednocześnie zobowiązany do zapewnienia, że wdrożone rozwiązania będą wystarczające i skuteczne.

Jednocześnie musi wprowadzić takie środki i procedury, by zapewnić pełną przejrzystość operacji przetwarzania danych oraz móc to wykazać.

Pod uwagę musi też brać szczególne przepisy krajowe dotyczące zabezpieczenia danych.

W zakresie nieuregulowanym przepisami szczególnymi, dokonując wyboru środków technicznych i organizacyjnych administrator powinien uwzględniać: stan wiedzy technicznej, koszt wdrożenia wymaganych zabezpieczeń, charakter, zakres, kontekst i cel przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych.

W opinii UODO, istotnym wsparciem w zakresie doboru odpowiednich do charakteru ryzyka środków i rozwiązań powinien być dysponujący wiedzą fachową inspektor ochrony danych.

reklama

Czytaj także

Narzędzia księgowego

reklama
reklama

POLECANE

reklama
reklama

Ostatnio na forum

reklama

Compliance 2020

reklama

Eksperci portalu infor.pl

Daniela Wybrańczyk

Prawnik

Zostań ekspertem portalu Infor.pl »
reklama
reklama
reklama