Urząd Ochrony Danych Osobowych przygotował wskazówki na temat zabezpieczeń, jakie należy zastosować w systemie informatycznym aby chronić dane osób, u których przeprowadzano testy na obecność wirusa COVID-19.

Systemy takie mogą być tworzone i wykorzystywane jedynie przez podmioty, które na podstawie obowiązujących przepisów są uprawnione do przeprowadzania badań na Koronawirusa lub poznania ich wyników. Dostęp poszczególnych podmiotów do danych powinien zostać ograniczony do tych, które są niezbędne do realizacji określonych przepisami zadań i kompetencji.

Każdy administrator ma dużą swobodę w doborze technicznych i organizacyjnych środków zabezpieczenia. Administratorom i podmiotom przetwarzającym nie wskazuje się ściśle określonych środków i procedur w zakresie bezpieczeństwa, np. kontroli dostępu, szyfrowania, rozliczalności czy sposobu monitorowania procesów przetwarzania. Zamiast tego zobowiązuje się ich do samodzielnego przeprowadzania szczegółowej analizy prowadzonych procesów przetwarzania danych i dokonywania samodzielnej oceny ryzyka, na jakie przetwarzanie danych w konkretnym przypadku jest narażone. Środki ochrony przetwarzania danych osobowych muszą być dostosowane do skali ryzyka.

Administrator, mając dużą swobodę w doborze technicznych i organizacyjnych środków zabezpieczenia, jest jednocześnie zobowiązany do zapewnienia, że wdrożone rozwiązania będą wystarczające i skuteczne. Jednocześnie musi wprowadzić takie środki i procedury, by zapewnić pełną przejrzystość operacji przetwarzania danych oraz móc to wykazać.

Źródło: UODO