Administrator danych osobowych musi zapewnić ciągłość działania wyrażającą się m.in. w możliwości szybkiego odzyskania dostępu do danych osobowych w razie incydentu. W tym pomóc może mu wzór planu ciągłości działania.
Dobrą praktyką jest opracowanie – przed rozpoczęciem audytu KRI – listy kontrolnej, która pozwoli na zweryfikowanie wszystkich wymogów interoperacyjności i bezpieczeństwa danych. Skorzystać z listy kontrolnej, która pozwoli na sprawdzenie najważniejszych aspektów bezpieczeństwa informacji w organizacji.
Na podstawie art. 34 RODO naruszenie ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, wymaga od administratora danych osobowych dokonania - bez zbędnej zwłoki - zawiadomienia osób, których dane dotyczą, o takim naruszeniu. Takie zawiadomienie powinno nie tylko odpowiadać wymogom sformułowanym w art. 34 RODO, ale również musi zachować zgodność z zasadą przejrzystości. Oznacza to w praktyce sformułowanie go w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, z użyciem jasnego i prostego języka.
Z artykułu 32 ust. 1 pkt d RODO wynika obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Tego obowiązku nie wykonamy bez cyklicznego sprawdzania aktualności naszej dokumentacji dotyczącej danych osobowych. Jak zatem zapanować nad wszelkimi aktualizacjami?
RODO wymaga, aby dane osobowe zbierać jedynie w konkretnych, wyraźnych i prawnie uzasadnionych celach. Ponadto, dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których je przetwarzamy. Z zasad tych wynika zatem konieczność usunięcia tzw. niechcianych danych osobowych.
Jeżeli naruszenie ochrony danych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator niezwłocznie zawiadamia podmioty danych o zdarzeniu. W przypadku obywateli Ukrainy komunikat ten powinien być sporządzony w zrozumiałym dla nich języku.
O wyciek dokumentacji medycznej z placówki nie jest trudno. Co oczywiste, dokumentacja ta zawiera dane osobowe, w tym dane wrażliwe o stanie zdrowia pacjentów. Dlatego kierownictwo placówki medycznej musi wdrożyć rozwiązania mające na celu minimalizację ryzyka wystąpienia tego typu incydentów. Wszak to placówka medyczna jako administrator, niezależnie od odpowiedzialności zawodowej jej personelu, odpowiada za ochronę danych osobowych pacjentów. Duża w tym rola personelu placówki medycznej. Sprawdź, jakie środki bezpieczeństwa wdrożyć względem personelu placówki medycznej, by zabezpieczyć dokumentację medyczną przed wyciekiem.
08.12.2022
© Portal Poradyodo.pl