UODO: Wymiana informacji o przeprowadzonych badaniach na obecność koronawirusa (komunikat)
22.04.2020, 11:30aktualizacja: 22.04.2020, 11:30
Pobierz materiał i Publikuj za darmo
- UODO informuje:
Tworząc system informatyczny, w którym przetwarzane będą dane osób, u których przeprowadzono badania na obecność koronawirusa, środki ochrony przetwarzania danych osobowych muszą być dostosowane do skali ryzyka.
UODO – w odpowiedzi na wpływające od służb sanitarnych pytania - udzielił wskazówek dotyczących wyboru zabezpieczeń, jakie muszą być zastosowane, gdy w systemie informatycznym są lub mają być przetwarzane dane osób, u których przeprowadzono badania na obecność koronawirusa.
Co istotne, systemy takie mogą być tworzone i wykorzystywane jedynie przez podmioty, które na podstawie obowiązujących przepisów są uprawnione do przeprowadzania takich badań lub poznania ich wyników, a więc m.in. laboratoria, szpitale czy stacje sanitarno-epidemiologiczne. Ważne też, by dostęp poszczególnych podmiotów do danych był ograniczony do tych, które są im niezbędne do realizacji ich określonych przepisami zadań i kompetencji.
Organ ds. ochrony danych osobowych podkreślił, że zgodnie z RODO, każdy administrator ma dużą swobodę w doborze technicznych i organizacyjnych środków zabezpieczenia. W art. 24 ust. 1 RODO określone zostały podstawowe obowiązki administratora, zaś art. 32 RODO zawiera uszczegółowienie wymogów dotyczących zabezpieczenia przetwarzanych danych. Z przepisów tych, a także z zawartych w motywach RODO wskazówek interpretacyjnych wynika, że unijny prawodawca nacisk położył na podejście oparte na ocenie ryzyka.
RODO nie definiuje czym dokładnie jest ryzyko, a jedynie motyw 75 ogólnego rozporządzenia wymienia przykłady ryzyk stanowiąc, że jest zagrożenie mogące prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, etc.
Zasada ta oznacza, że administratorom i podmiotom przetwarzającym nie wskazuje się ściśle określonych środków i procedur w zakresie bezpieczeństwa, np. kontroli dostępu, szyfrowania, rozliczalności czy sposobu monitorowania procesów przetwarzania. Zamiast tego zobowiązuje się ich do samodzielnego przeprowadzania szczegółowej analizy prowadzonych procesów przetwarzania danych i dokonywania samodzielnej oceny ryzyka, na jakie przetwarzanie danych w konkretnym przypadku jest narażone.
Innymi słowy, środki ochrony przetwarzania danych osobowych muszą być dostosowane do skali ryzyka. Ocenia się je pod kątem utraty poufności, integralności i dostępności danych, biorąc przy tym pod uwagę ich zakres, szczególne znaczenie (wrażliwość) oraz kontekst i cele przetwarzania, a tym samym także kwestie zapewniania bezpieczeństwa usług przetwarzania (niezawodność, integralność i dostępność systemu przetwarzania) oraz zapewniania autentyczności i rozliczalności danych i podmiotów uczestniczących w przetwarzaniu.
Administrator, mając dużą swobodę w doborze technicznych i organizacyjnych środków zabezpieczenia, jest jednocześnie zobowiązany do zapewnienia, że wdrożone rozwiązania będą wystarczające i skuteczne.
Jednocześnie musi wprowadzić takie środki i procedury, by zapewnić pełną przejrzystość operacji przetwarzania danych oraz móc to wykazać.
Pod uwagę musi też brać szczególne przepisy krajowe dotyczące zabezpieczenia danych.
W zakresie nieuregulowanym przepisami szczególnymi, dokonując wyboru środków technicznych i organizacyjnych administrator powinien uwzględniać: stan wiedzy technicznej, koszt wdrożenia wymaganych zabezpieczeń, charakter, zakres, kontekst i cel przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych.
W opinii UODO, istotnym wsparciem w zakresie doboru odpowiednich do charakteru ryzyka środków i rozwiązań powinien być dysponujący wiedzą fachową inspektor ochrony danych.
Pomocne powinny być też wskazówki zawarte w przygotowanym przez ekspertów UODO dwuczęściowym poradniku:
- Jak rozumieć podejście oparte na ryzyku według RODO?
- Jak stosować podejście oparte na ryzyku?
Opracowania dostępnie są tutaj: https://uodo.gov.pl/pl/126/208
UWAGA: komunikaty publikowane są w serwisie PAP bez wprowadzania przez PAP SA jakichkolwiek zmian w ich treści, w formie dostarczonej przez nadawcę. Nadawca komunikatu ponosi odpowiedzialność za jego treść – z zastrzeżeniem postanowień art. 42 ust. 2 ustawy prawo prasowe.(PAP)
kom/ jml/
Pobierz materiał i Publikuj za darmo
bezpośredni link do materiału
| Data publikacji | 22.04.2020, 11:30 |
| Źródło informacji | UODO |
| Zastrzeżenie | Za materiał opublikowany w serwisie PAP MediaRoom odpowiedzialność ponosi – z zastrzeżeniem postanowień art. 42 ust. 2 ustawy prawo prasowe – jego nadawca, wskazany każdorazowo jako „źródło informacji”. Informacje podpisane źródłem „PAP MediaRoom” są opracowywane przez dziennikarzy PAP we współpracy z firmami lub instytucjami – w ramach umów na obsługę medialną. Wszystkie materiały opublikowane w serwisie PAP MediaRoom mogą być bezpłatnie wykorzystywane przez media. |
