Úřad pro ochranu osobních údajů


International


Vyhledávání

 

Základní odkazy


Cesta: Titulní stránka > Hlavní menu > Dozorová a rozhodovací činnost > Ukončené kontroly > Kontroly za rok 2019 > Kontrolní činnost v oblasti ochrany osobních údajů - 1. pololetí > Zaměstnavatelé, personalistika > Kontrola zpracování osobních údajů o členství v odborové organizaci zaměstnavatelem (společnost Dopravní podnik města Olomouce, a.s.)

 

Tisková zpráva: Ohlašování případů porušení zabezpečení v oblasti zdravotnictví

24. 2. 2020 – Úřad pro ochranu osobních údajů na základě poznatků zjištěných v rámci dozoru upozorňuje na povinnosti spojené s ohlašováním případů porušení zabezpečení osobních údajů v oblasti zdravotnictví.
 

 
 
Ohlašování je třeba provádět v případech, kdy dojde ke znepřístupnění (ztrátě dostupnosti, zašifrování) osobních údajů pacientů, a to napadením informačního systému škodlivým programem či jiným kybernetickým útokem. Jedná se také o případy dočasného znepřístupnění osobních údajů, kdy jsou tyto následně obnoveny ze zálohy.

Úřadu musí být dle čl. 33 GDPR ohlášeno jakékoli porušení zabezpečení osobních údajů správce. Výjimkou jsou jen případy, kdy je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Zdravotnická zařízení zpracovávají zvláštní kategorie osobních údajů ve smyslu čl. 9 GDPR, a to vždy minimálně v rozsahu údajů o zdravotním stavu. S ohledem na zvláštní režim ochrany, který GDPR těmto údajům přiznává, a s přihlédnutím k dosavadním poznatkům, můžeme konstatovat, že výše uvedená výjimka – možnost neohlásit incident Úřadu – nebude aplikovatelná.

V rámci provozu zdravotnického zařízení totiž nelze předpokládat, že incident s osobními údaji nebude mít za následek riziko pro práva a svobody fyzických osob. Úřad v této souvislosti připomíná, že ohlášení porušení zabezpečení musí být provedeno pokud možno do 72 hodin od okamžiku, kdy se o něm správce dozvěděl. Proto též předpokládané následky musí být vyhodnocovány bezprostředně po zjištěném znepřístupnění osobních údajů.

Ohlášení porušení zabezpečení osobních údajů musí obsahovat 
  • povahu daného případu, 
  • pokud je to možné, tak kategorie a přibližný počet dotčených subjektů údajů,
  • kategorie a přibližné množství dotčených záznamů osobních údajů, 
  • jméno a kontaktní údaje pověřence pro ochranu osobních údajů (příp. jiného kontaktního místa k poskytnutí bližších informací), 
  • popis pravděpodobných důsledků porušení zabezpečení osobních údajů, 
  • popis opatření, která správce přijal nebo navrhl s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
Není-li možné poskytnout výše uvedené informace současně, mohou být Úřadu poskytnuty postupně bez dalšího zbytečného odkladu. I přesto však musí být původní, i kdyby neúplné, ohlášení provedeno ve stanovené lhůtě. Využít lze formulář Ohlášení porušení zabezpečení osobních údajů dle GDPR.

Úřad též připomíná povinnost správce dle čl. 34 GDPR oznámit případ porušení zabezpečení osobních údajů subjektům údajů, pokud je pravděpodobné, že tento případ bude mít za následek vysoké riziko pro práva a svobody fyzických osob. Takové ohlášení může následně nařídit též Úřad, na základě vlastního posouzení případu.
 
Zodpovídá: Mgr. Vojtěch Marcín
Vytvořeno / změněno: 24.2.2020 / 24.2.2020

 
 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém