Bazy danych osób badanych na obecność COVID-19 – co na to UODO?

Dodano: 23 kwietnia 2020
AdobeStock_329048194

Utworzenie przez służby sanitarne bazy danych osób, u których przeprowadzono badania na obecność koronawirusa, nie jest wykluczone. Należy jednak zastosować adekwatne środki bezpieczeństwa przetwarzania tych danych.

 

Prezes UODO wskazał na możliwość tworzenia i korzystania z takich systemów, ale jedynie przez takie podmioty, które na podstawie obowiązujących przepisów są uprawnione do przeprowadzania badań na obecność COVID-19 i poznania ich wyników. Chodzi tu w szczególności o:

  • laboratoria,
  • szpitale,
  • stacje sanitarno-epidemiologiczne.

Należy przy tym pamiętać o zasadzie minimalizacji – podmioty te powinny mieć dostęp tylko do takich danych osobowych, które są im niezbędne do realizacji ich określonych przepisami zadań i kompetencji.

Konieczne wdrożenie środków bezpieczeństwa

Podmioty te powinny zabezpieczyć utworzone bazy danych. Wybór rozwiązań zależy oczywiście od poszczególnych administratorów. Należy go poprzedzić analizą ryzyka.

Uwaga

Ryzyko według RODO to zagrożenie mogące prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, itp. (motyw 75).

Najpierw analiza ryzyka

Analiza ta powinna dać odpowiedź, jakie rozwiązania w zakresie bezpieczeństwa danych powinny być wdrożone. Muszą one bowiem być dostosowane do skali ryzyka. Rozwiązania te należy oceniać w aspekcie utraty poufności, integralności i dostępności danych. Administrator powinien brać pod uwagę:

  • zakres tych rozwiązań,
  • szczególne znaczenie (wrażliwość – uwaga na dane dotyczące zdrowia),
  • kontekst i cele przetwarzania,
  • kwestie zapewniania bezpieczeństwa usług przetwarzania (niezawodność, integralność i dostępność systemu przetwarzania) oraz zapewniania autentyczności i rozliczalności danych i podmiotów uczestniczących w przetwarzaniu.
Uwaga

Wprowadzone rozwiązania muszą jednocześnie zagwarantować pełną przejrzystość operacji przetwarzania danych.

UODO zaleca również korzystanie w tym zakresie ze wsparcia inspektora ochrony danych, jeżeli taki został wyznaczony.

Warto skorzystać z opracowań organu nadzorczego dotyczących podejścia opartego na ryzyku.

Źródło:

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

x
wiper-pixel