V predchádzajúcom článku: Čo robiť pri porušení ochrany osobných údajov? sme si povedali čo rozumieme pod pojmom bezpečnostný incident. Je ním každé porušenie bezpečnosti, ktoré vedie k náhodnému alebo nezákonnému zničeniu, strate, zmene, neoprávnenému poskytnutiu osobných údajov, ktoré sa prenášajú, uchovávajú alebo inak spracúvajú. Bezpečnostným incidentom je aj neoprávnený prístup k osobným údajom.

Povinnosť oznámenia dotknutej osobe

Okrem povinnosti zadokumentovania každého bezpečnostného incidentu, v prípade že incident pravdepodobne povedie k riziku pre práva a slobody fyzických osôb máte povinnosť oznámiť bezpečnostný incident aj Úradu na ochranu osobných údajov v lehote 72 hodín. V prípade bezpečnostné incidentu, ktorý pravdepodobne povedie k vysokému riziku pre práva a slobody fyzickej osoby, v tomto prípade najčastejšie pacienta, ste povinní ako prevádzkovateľ oznámiť túto skutočnosť dotknutej osobe.

Čo sa považuje za vysoké riziko

To, či v danom prípade pôjde o vysoké riziko pre práva a slobody fyzických osôb, je možné zhodnotiť podľa viacerých kritérií. Sú nimi najmä:

1. Objem osobných údajov, ktoré sú spracúvané,

2. Počet dotknutých osôb, o ktorých sa spracúvajú osobné údaje,

3. Typ a počet príjemcov osobných údajov,

4. Rozsah potenciálnej majetkovej alebo nemajetkovej ujmy,

5. Typ spracúvaných osobných údajov (ak pôjde o osobitný typ osobných údajov, napr. údaje o zdravotnom stave, biometrické údaje a pod.),

6. Obdobie, počas ktorého spracúvate a uchovávate osobné údaje.

V uzamknutej časti, ktorá je dostupná iba pre predplatiteľov služby mediPRÁVNIK lekáreň a mediPRÁVNIK ambulancia sa dozviete aké údaje je v oznámení potrebné uviesť, kedy nie je potrebné bezpečnostný incident oznamovať pacientovi a aká sankcia vám hrozí v prípade nesplnenia povinnosti.