Vyhľadávanie v online časopise
Online časopis
Porušenie ochrany osobných údajov v podmienkach poskytovateľov zdravotnej starostlivosti
Dátum: Rubrika: Právo
Porušenie ochrany osobných údajov a rovnako aj následný postup pri odstraňovaní jeho následkov upravuje nariadenie Európskeho parlamentu a R ady 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46ES (všeobecné nariadenie o ochrane údajov), ďalej v texte budeme používať označenie „nariadenie“ alebo „GDPR “.
Porušenie ochrany osobných údajov definuje nariadenie ako porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú, alebo neoprávnený prístup k nim. Každé porušenie ochrany osobných údajov je formou bezpečnostného incidentu, avšak nie každý bezpečnostný incident je automaticky porušením ochrany osobných údajov. O porušenie ochrany osobných údajov pôjde len vtedy, ak prevádzkovateľ nebude schopný zabezpečiť dodržiavanie zásad v súvislosti so spracovaním osobných údajov (podľa čl. 5 GDPR).
Pojem zničenie osobných údajov nie je potrebné osobitne vysvetľovať, keďže ide o význam všeobecne jasný. V prípade straty osobných údajov môže ísť o situáciu, keď prevádzkovateľ stratil kontrolu nad týmito údajmi alebo akýkoľvek prístup k nim (to znamená, že osobné údaje na rozdiel od zničenia stále existujú). Neoprávnený prístup k osobným údajom znamená ich nezákonné alebo neoprávnené spracúvanie subjektom, ktorý na to nemá povolenie.
Kto je prevádzkovateľom?
V nadväznosti na bezpečnostný incident si pripomeňme, kto je prevádzkovateľom v zmysle GDPR, pretože na tento subjekt sú naviazané všetky povinnosti súvisiace s porušením ochrany osobných údajov. Prevádzkovateľom je každá fyzická alebo právnická osoba, ktorá sama (alebo spoločne s inými) určí účely a prostriedky spracúvania osobných údajov, v prípade, že sa účely a prostriedky tohto spracúvania ustanovujú v práve EÚ alebo v práve členského štátu, možno prevádzkovateľa alebo konkrétne kritériá na jeho určenie určiť v práve EÚ alebo v práve členského štátu. Skrátene, prevádzkovateľom v zmysle GDPR je aj poskytovateľ zdravotnej starostlivosti - lekár (ambulancia), nemocnica či lekáreň, a to bez ohľadu na právnu formu, prostredníctvom ktorej túto činnosť vykonáva.
Typovo môžeme porušenie ochrany osobných údajov rozdeliť do troch kategórií. Prvou je porušenie dôvernosti. Ide o situáciu, keď dôjde k neoprávnenému alebo náhodnému poskytnutiu osobných údajov alebo neoprávnenému alebo náhodnému prístupu k nim. V druhom prípade pôjde o porušenie integrity, ktoré sa vyznačuje neoprávnenou alebo náhodnou zmenou osobných údajov. Poslednou kategóriou porušenia je porušenie dostupnosti osobných údajov, keď dochádza k náhodnej alebo neoprávnenej strate prístupu alebo k zničeniu osobných údajov. Samozrejme v závislosti od konkrétnych okolností prípadu môže ísť aj o kumuláciu všetkých uvedených kategórií, alebo akúkoľvek ich kombináciu.
V súvislosti s porušením dostupnosti osobných údajov je potrebné zdôrazniť, že v sebe zahŕňa aj dočasnú stratu dostupnosti osobných údajov, keďže nedostatočný prístup k osobným údajom môže mať podstatný vplyv na práva a slobody dotknutých osôb. V kontexte poskytovania zdravotnej starostlivosti môže ísť v praxi o situáciu, keď v nemocnici nebudú (hoci len dočasne) prístupné osobné údaje týkajúce sa zdravotného stavu pacientov, čo spôsobí zrušenie plánovaných operácií, a tým ohrozenie životov pacientov (vysoké riziko pre práva a slobody fyzickej osoby). Iná by bola situácia, ak by osobné údaje neboli dočasne prístupné v marketingovej spoločnosti, a táto by nemohla zaslať svojim klientom aktuálny "newsletter". Riziko pre práva a slobody dotknutej osoby je v tomto prípade nízke, až žiadne. Od tejto situácie je ale potrebné odlíšiť dočasnú nedostupnosť osobných údajov spôsobenú vykonávaním plánovanej údržby systému. V tomto prípade nepôjde o porušenie ochrany osobných údajov.
Povinnosti pri bezpečnostnom incidente
V súvislosti s porušením ochrany osobných údajov vzniká prevádzkovateľovi viacero povinností. Prevádzkovateľ je povinný bez zbytočného dokladu a podľa možnosti, avšak najneskôr do 72 hodín po tom, čo sa o porušení dozvedel, oznámiť porušenie ochrany osobných údajov dozornému orgánu. Z tejto povinnosti existuje výnimka, a to v prípade, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb. Ak oznámenie nebolo dozornému orgánu predložené do 72 hodín, je k nemu potrebné pripojiť aj zdôvodnenie omeškania. Dozorným orgánom je Úrad na ochranu osobných údajov Slovenskej republiky.
Kedy sa prevádzkovateľ dozvie o porušení?
Ako sme spomenuli v predchádzajúcom odseku rozhodujúcim momentom pre splnenie povinnosti oznámiť poru
Pre zobrazenie článku nemáte dostatočné oprávnenia.
Odomknite si prístup k odbornému obsahu na portáli.
Prístup k obsahu portálu majú len registrovaní používatelia portálu. Pokiaľ ste už zaregistrovaný, stačí sa prihlásiť.
Ak ešte nemáte prístup k obsahu portálu, využite 10-dňovú demo licenciu zdarma (stačí sa zaregistrovať).
Bezplatný odpovedný servis pre predplatiteľov
Vaše otázky môžete zadať na www.otazkyodpovede.sk.
