103 Ochrona danych pacjenta (RODO w praktyce gabinetu lekarskiego) WAŻNE! Aby dane zdarzenie zakwalifikować jako naruszenie ochrony danych osobowych, należy stwierdzić jednoczesne: • naruszenie bezpieczeństwa; • naruszenie dotyczące przesyłanych, przechowywanych lub w inny sposób przetwarzanych danych osobowych osoby fizycznej; • skutki naruszenia w postaci przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych danych osobowych. Elementarnym działaniem administratora jest analiza każdego incydentu czy zdarzenia związanego z danymi osobowymi. W zależności od wyników tej oceny konieczne może okazać się podjęcie dalszych kroków, w tym w szczególności zgłoszenie naruszenia organowi nadzorczemu oraz zawiadomienie podmiotów danych, których dotyczy naruszenie. Te obowiązki w pewnych wypadkach mają charakter obligatoryjny. Niezależnie od charakteru zdarzenia administrator powinien dokładnie wyjaśnić przyczyny zaistniałego naruszenia, ustalić, czy stanowiło ono przypadek losowy, czy miało charakter systemowy, czy związane było ze stosowanymi narzędziami itd. Każde zdarzenie należy ponadto odnotować w rejestrze naruszeń ochrony danych. Efektem analiz powinien być także przegląd stosowanych procedur oraz wdrożenie rozwiązań, które pozwolą zapobiegać występowaniu naruszeń określonego rodzaju w przyszłości. Zdolność administratora do niezwłocznego stwierdzania naruszenia ochrony danych osobowych i szybkiego poinformowania organu nadzorczego oraz osób, których dane dotyczą, należy do odpowiednich środków technicznych i organizacyjnych, do wdrożenia których administrator jest zobowiązany na mocy art. 24 ust. 1 RODO. Ze względu na znaczenie dla praktyki zagadnienia związane z naruszeniem ochrony danych osobowych są przedmiotem szczególnego zainteresowania ze strony Europejskiej Rady Ochrony Danych (a wcześniej Grupy Roboczej art. 29). Zróżnicowany charakter naruszeń, wątpliwości interpretacyjne dotyczące sformułowań użytych przez unijnego prawodawcę zwłaszcza w art. 33 i 34 RODO, a także
RkJQdWJsaXNoZXIy MTMwMjc0Nw==