Kalendarz Google – czy dane osobowe są w nim bezpieczne

Agnieszka Sztuwe

Autor: Agnieszka Sztuwe

Dodano: 13 grudnia 2019
  • Drukuj
  • A-AA+
4195ee16aff682a685597a3d875d2a06d4dbc627-large
Pytanie:  Firma stworzyła w Google stworzony został kalendarz zabiegów pacjentów. Wpisuje tam dane pacjentów i daty zabiegów. Na pierwszy rzut oka w kalendarzu widać tylko inicjały pacjenta, ale po wejściu osoby uprawnionej w dany dzień widać już wszystkie dane pacjenta. Kalendarz jest udostępniany każdej osobie uprawnionej i zainteresowanej przez login i hasło. Czy bezpieczne jest zamieszczanie w kalendarzu Google takich danych?
Odpowiedź: 

Kalendarz Google nie generalnie przeznaczony do przetwarzania danych osobowych. Korzystając z niego, należy w pierwszej kolejności przeprowadzić analizę ryzyka i ocenę skutków dla ochrony danych.

Dochodzi do powierzenia danych firmie Google

Korzystanie z kalendarza Google jest powierzeniem danych osobowych firmie Google, gdyż ta przetwarza je na swoich serwerach w chmurze. RODO nie zakazuje stosowania określonych metod czy technik służących do przetwarzania danych. Niemniej jednak zobowiązuje administratora do stosowania bezpiecznych środków oraz uprzedniej oceny ryzyka

Uwaga

Jeżeli administrator chce używać kalendarza Google do przetwarzania danych, wówczas powinien zawrzeć umowę powierzenia z Google w najnowszej wersji - dostępnej w panelu użytkownika - link do treści (tylko w języku angielskim) https://gsuite.google.com/terms/dpa_terms.html

Nie obędzie się bez analizy ryzyka i DPIA

Jeżeli administrator zdecydował się na przetwarzanie danych w kalendarzu Google, to przede wszystkim powinien dokonać analizy ryzyka zgodnie z wytycznymi UODO. Ponadto skoro mamy do czynienia z danymi pacjentów, to należy też przeprowadzić ocenę skutków dla ochrony danych. Przeprowadzenie tych dwóch analiz powinno dać odpowiedź, czy rozwiązanie jest to bezpieczne.

Uwaga

Jednak wadą przechowywania danych w chmurze Google jest to, że korzystają oni z podwykonawców i przechowując u nich dane jednocześnie zgadzamy się na przekazanie tych danych innym podmiotom, bliżej nieznanym.

Zauważmy, że w opisanej sytuacji w kalendarzu publikowane będą dane szczególnej kategorii tj. o zdrowiu (art. 9 RODO). Ryzyko korzystanie z kalendarza Google może być niestety obciążającym czynnikiem. W ocenia autora jest to raczej narzędzie dla wpisywania informacji biznesowych, np. spotkania z Banku czy do użytku domowego. 

Podstawa prawna: 
Agnieszka Sztuwe

Autor: Agnieszka Sztuwe

Radca prawny w Kancelarii Adwokatów Naworska Marszałek sp.k. w Toruniu. W praktyce zawodowej zajmuje się obsługą przedsiębiorców, przede wszystkim w zakresie ochrony danych osobowych (z uwzględnieniem RODO). Interesuje się ponadto prawem autorskim, prawem własności przemysłowej. Obsługuje Rolnicze Grupy Producenckie przed organami administracji państwowej. Jest absolwentką Wydziału Prawa i Administracji Uniwersytetu Mikołaja Kopernika w Toruniu (2013). Podczas studiów odbywała praktyki w renomowanych, międzynarodowych kancelariach w Warszawie.

WIDEOSZKOLENIA »

Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych

Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych

Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.

08.12.2022 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 

Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

© Portal Poradyodo.pl

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x