Czy w opisanej sytuacji należy zawrzeć umowę powierzenia przetwarzania danych?

Pytania i odpowiedzi
Status:  Aktualne
Autor odpowiedzi: Łokaj Maciej
Odpowiedzi udzielono: 2 marca 2021 r., stan prawny dotychczas nie uległ zmianie

PYTANIE

Przychodnia PWDL ma zamiar skorzystać z rozwiązania IT pozwalającego na przechowywanie kopii dokumentacji medycznej elektronicznej w tzw. "chmurze" - jednak - moduł szyfruje i zapisuje kopie bezpieczeństwa bazy danych na serwerach zlokalizowanych w Polsce. Dane przed wysłaniem na wyżej wymienione serwery są realizowane algorytmem AES-256. Klucz szyfrujący przechowywany jest po stronie tylko użytkownika, czyli PWDL, komunikacja między modułem a serwerami jest z wykorzystaniem protokołu SSL 128-bitów, zapis danych jest realizowany na redundantne przestrzenie dyskowe, serwery posiadają normę (certyfikat) ISO 27001 - norma międzynarodowa standaryzująca systemy zarządzania bezpieczeństwem informacji.

Czy w takiej sytuacji naruszenie ochrony danych po stronie operatora serwera skutkuje incydentem zgłaszalnym po stronie PWDL?

Czy należy z dostawcą zawrzeć umowę powierzenia przetwarzania, jeśli zachodzą wyżej opisane warunki - tj. dane są składowane i przesyłane jako zaszyfrowane do serwera?

ODPOWIEDŹ

Pełna treść dostępna po zalogowaniu do LEX