Czy stosowanie przez placówkę medyczną niekomercyjnego programu antywirusowego jest zgodne z RODO?
ODPOWIEDŹ
RODO nie wskazuje w żadnym przepisie prawa jakie rozwiązania techniczne lub organizacyjne ma obowiązek wdrożyć administrator danych. Art. 24 ust. 1 RODO wskazuje jedynie na określenie, że powinny to być "odpowiednie środki techniczne i organizacyjne". Powyższe również potwierdza treść art. 32 RODO. Każdy zatem z administratorów sam / indywidualnie podejmuje decyzję o tym jakie środki wedle niego będą odpowiednie.
W kwestii stosowania niekomercyjnego programu antywirusowego przez administratora danych jakim jest placówka medyczna, takie rozwiązanie nie jest niedopuszczalne/zabronione przez przepisy RODO, bo przepisy tego nie regulują. Wskazać jednak należy, że będzie to bardzo ryzykowne rozwiązanie i nie jest rekomendowane stosowanie takich programów, albowiem administrator danych jakim jest placówka medyczna przetwarza w głównej mierze dane osobowe szczególnej kategorii - dane dot. zdrowia. Ryzyko zatem jakie wiąże się z zastosowaniem programów niekomercyjnych może spowodować, że w przypadku kontroli ze strony organu nadzorczego, organ ten uzna, że środki techniczne w tym wypadku nie zostały odpowiednio dostosowane przez administratora do "wagi" przetwarzanych danych osobowych. Co do zasady zatem odradza się stosowanie niekomercyjnych programów antywirusowych, albowiem w przypadku placówki medycznej oraz tego jakie dane co do zasady podmiot taki przetwarza (dane szczególnej kategorii) takie działanie może zostać ocenione przez organ nadzorczy za niespełniające odpowiedniego stopnia bezpieczeństwa.