Proste to RODO w medycynie w oświacie w firmie

Wdrożenie RODO w firmie / w szkole / w podmiocie medycznym

Wdrożenie RODO Inspektor Ochrony Danych Częstochowa
Sklep RODO
Wdrożenia RODO
Zewnętrzny IOD

Wdrożenie RODO w firmie / w oświacie / w medycynie

Dokumentacja RODO dla firmy, dla podmiotów medycznych, przychodni, szpitali, lekarzy, dla placówek oświatowych. Usługa zewnętrznego Inspektora Ochrony Danych w firmach, w podmiotach medycznych, w szkołach. Szkolenia z zakresu ochrony danych oraz cyberbezpieczeństwa. Audyt Bezpieczeństwa Informacji KRI. Dofinansowania dla samorządów, dla podmiotów medycznych na cyberbezpieczeństwo.

Menu
Komunikat MZ - naruszenie poufności danych IKP

Komunikat MZ – utrata poufności danych w IKP

przez

Komunikat MZ - utrata poufności danych w IKP

Komunikat MZ – utrata poufności danych w IKP – dnia 7 maja 2025r., opublikowany został Komunikat Ministerstwa Zdrowia informujący o wystąpieniu zdarzenia zakwalifikowanego jako naruszenie ochrony danych osobowych. Poniżej prezentujemy jego fragmenty wraz z komentarzem i pytaniami.

Dlaczego komunikat, a nie zawiadomienie osób, których dane dotyczą.

Zgodnie z art. 3 ust. 1 RODO jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

Zawiadomienie, o którym mowa w art. 34 ust. 1 RODO , nie jest wymagane, w przypadku, gdy wymagałoby ono niewspółmiernie dużego wysiłku. W takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.

Zdarzenie, dotyczyło czterech osób.

Komunikat MZ wskazuje, iż zdarzenie dotyczyło czterech osób, których tożsamość nie została ujawniona przez zgłaszającego.

Można snuć rozważania na temat tego, czy aby faktycznie, systemy obsługujące zgłoszenia dostępu do danych i ich przekazywanie, nie posiadają funkcjonalności, które pozwalałaby bez dokładania niewspółmiernie dużego wysiłku na ustalenie tożsamości ww. osób bądź czy, aby nie jest tak, iż owa niewspółmierność nie dotyczy innego aspektu, jakim jest weryfikacja tego, czy aby zdarzenie nie dotyczy, może dotyczyć, szerszego grona osób, z których ww. cztery są jedynie potwierdzone.  

Faktem, niestety dla czytelników jest, to, iż brak możliwości dokonania ustalenia tożsamości osób, których dotyczy zdarzenie skutkuje tym, iż każdy hipotetycznie może być jedną z ww. czterech osób, której dotyczyło zdarzenie. Prowadzi to do wniosku, iż każdy powinien zatem przyjąć jako dobrą praktykę, zastosowanie się do przedstawionych w Komunikacie MZ działań naprawczych oraz przyjąć do wiadomości możliwość wystąpienia opisanych w nim konsekwencji.

Integracja a dokumentacja integracyjna.

Zaprezentowany opis zdarzenia, prowadzi do pytania o to, czy zasadnym jest dokonywanie walidacji poprawności wykonanych już integracji z systemem, pod kątem co najmniej realizacji funkcjonalności opisanych w dokumentacji integracyjnej? Bez wątpienia wielu z użytkowników pozostaje bowiem w przekonaniu, iż zakończenie powodzeniem procesu integracji, automatycznie skutkuje tym, iż mają oni podstawy przypuszczać, iż wykonana została ona zgodnie z ww. wymogami opisanymi w dokumentacji integracyjnej, co w świetle przedstawionego opisu zdarzenia, zdaje się być założeniem mogącym budzić wątpliwości.  

Zakres informacji i przygotowanie poprawek przez dostawcę

Należy postawić sobie w tym miejscu pytanie o to, czy aby przekazanie w treści Komunikatu MZ informacji pozwalającej na dokonanie ustalenia dostawcy rozwiązań integracyjnych, albo określenia informacji pozwalających na przeprowadzenie wewnętrznych testów poprawności funkcjonowania mechanizmu weryfikacji użytkownika korzystającego z systemu, nie byłoby trafnym posunięciem?

Należy zadać sobie także pytanie o to, czy dostawca, o jakim mowa w Komunikacie MZ, informował będzie wszystkie podmioty medyczne, o tym iż przygotowane przez niego poprawki musza one zastosować, czy też sam przeprowadzi proces wdrożeniowy w tym zakresie? W treści Komunikatu MZ mowa jest o tym, iż ww. poprawki przygotowane zostały do systemów repozytorium w podmiotach leczniczych (liczba mnoga)?

Administrator Danych Osobowych a naruszenie ochrony danych osobowych.

Rodzi się jednak pytanie, o to czy aby odrębny administrator danych, wdrażający funkcjonalności w obszarze repozytorium wewnętrznego, który znalazłby się w takiej sytuacji, nie powinien dokonać analizy zdarzenia pod kątem możliwości wystąpienia naruszenia ochrony danych osobowych we własnym również zakresie?

Brakujący nagłówek, czy tylko błąd w numeracji.

Bez znaczenia dla powagi i rangi informacji pozostaje błąd w formatowaniu wyliczenia.

Dane podmiotu wykonującego działalność leczniczą.

Powstaje pytanie o to, czy aby wskazanie w Komunikacie MZ danych podmiotu leczniczego, którego pacjentów dotyczyło zdarzenie, nie ograniczyłoby istotnie kręgu odbiorców treści, jakie zostały przekazane w Komunikacie MZ?

Autor: mgr Dominik Spałek

Autor: mgr Magdalena Waszak

mgr Magdalena Waszak Proste to RODO

Materiały źródłowe

Komunikat Ministerstwa Zdrowia z dnia 7 maja 2025r.  [Dostęp: 09.05.2025r., godz.: 9:54]

Wybierz interesujący tematycznie dział Sklepu RODO

Podmioty medyczne

Dokumentacja RODO
dla podmiotów medycznych

Wejdź do sklepu >>>
Placówki Oświatowe

Dokumentacja RODO
dla podmiotów oświatowych

Wejdź do sklepu >>>
Przedsiębiorcy i firmy

Dokumentacja RODO
dla firm i przedsiębiorstw

Wejdź do sklepu >>>
Stanowiska IOD

Stanowiska IOD
Zalecenia i sanowiska

Wejdź do sklepu >>>
Oferta usług informatycnzych

Oferta
usług informatycznych

Wejdź do sklepu >>>
Niszczarki do dokumentów

Oferta
niszczarki do dokumentów

Wejdź do sklepu >>>