Komunikat Urzędu Ochrony Danych Osobowych to odpowiedź na wpływające od służb sanitarnych pytania o zabezpieczenia, jakie muszą być zastosowane, gdy w systemie informatycznym są lub mają być przetwarzane dane osób, u których przeprowadzono badania na obecność koronawirusa.

Według UODO istotną zasadą przy tworzeniu takiego systemu informatycznego jest dostosowanie środków ochrony do skali ryzyka.

"Co istotne, systemy takie mogą być tworzone i wykorzystywane jedynie przez podmioty, które na podstawie obowiązujących przepisów są uprawnione do przeprowadzania takich badań lub poznania ich wyników, a więc m.in. laboratoria, szpitale czy stacje sanitarno-epidemiologiczne. Ważne też, by dostęp poszczególnych podmiotów do danych był ograniczony do tych, które są im niezbędne do realizacji ich określonych przepisami zadań i kompetencji" - wskazał Urząd.

UODO podkreślił też, że zgodnie z RODO każdy administrator ma dużą swobodę w doborze technicznych i organizacyjnych środków zabezpieczenia. RODO nie definiuje, czym dokładnie jest ryzyko, a jedynie wymienia przykłady ryzyk, stanowiąc, że jest zagrożenie mogące prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności: jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, etc.

Jak wskazuje Urząd, zasada ta oznacza, że administratorom i podmiotom przetwarzającym nie wskazuje się ściśle określonych środków i procedur w zakresie bezpieczeństwa, np. kontroli dostępu, szyfrowania, rozliczalności czy sposobu monitorowania procesów przetwarzania. Zamiast tego zobowiązuje się ich do samodzielnego przeprowadzania szczegółowej analizy prowadzonych procesów przetwarzania danych i dokonywania samodzielnej oceny ryzyka, na jakie przetwarzanie danych w konkretnym przypadku jest narażone.

Zdaniem Urzędu administrator danych, mając dużą swobodę w doborze technicznych i organizacyjnych środków zabezpieczenia, jest jednocześnie zobowiązany do zapewnienia, że wdrożone rozwiązania będą wystarczające i skuteczne. Jednocześnie musi wprowadzić takie środki i procedury, by zapewnić pełną przejrzystość operacji przetwarzania danych oraz móc to wykazać.

Urząd odsyła też do ogólnych poradników dotyczących podejścia opartego na ryzyku, jakie przygotowali eksperci UODO. Są one dostępne na stronie Urzędu.