Obowiązek informacyjny rodo

KOMPAS FORSAFE 2022/24

Kraj:

Francja

Data wydania decyzji:

15.04.2022 r.

Podmiot kontrolowany:

DEDALUS BIOLOGIE

Wysokość kary (EUR):

1.500.000

Podstawa prawna naruszenia

Art. 28, art. 29, art. 32 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych wynikało z niewystarczających środków bezpieczeństwa stosowanych przez firmę odpowiedzialną za przetwarzanie danych pacjentów – DEDALUS BIOLOGIE. Brakowało odpowiednich procedur migracji danych, szyfrowania danych przechowywanych na serwerze FTP oraz mechanizmów autoryzacji dostępu do tych danych.

 

Opis wydarzeń

  1. Publikacja artykułu: 23 lutego 2021 roku w gazecie Libération opublikowano artykuł informujący o wycieku danych medycznych 500 000 pacjentów.
  2. Kontrola CNIL: W odpowiedzi na artykuł, francuski organ nadzorczy (CNIL) przeprowadził kontrolę online, która potwierdziła obecność danych osobowych na serwerze FTP firmy.
  3. Zakres danych: Dane obejmowały numery ubezpieczenia społecznego, imiona, nazwiska, adresy, numery telefonów, adresy e-mail, daty urodzenia, informacje o stanie zdrowia, dane lekarzy i dane dotyczące ubezpieczeń zdrowotnych.
  4. Działania CNIL: CNIL przeprowadziła kontrole w siedzibach firmy oraz w laboratoriach korzystających z jej usług, co potwierdziło liczne naruszenia przepisów dotyczących ochrony danych osobowych.
  5. Naruszenia: CNIL dopatrzył się następujących naruszeń:
    • umowy zawarte między DEDALUS BIOLOGIE a jego klientami nie zawierały zapisów o ochronie danych osobowych spełniających wymogi określone w art. 28 RODO,
    • DEDALUS BIOLOGIE w związku z migracją danych między systemami pozyskiwał większą ilość danych niż było to wymagane współpracą z laboratoriami,
    • DEDALUS BIOLOGIE nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa danych osobowych, gdyż:
      • nie wdrożono procedury dla operacji migracji danych,
      • dane osobowe przechowywane na serwerze FTP MEGABUS nie były zaszyfrowane,
      • dane osobowe po migracji do innego oprogramowania nie były automatycznie usuwane,
      • nie zastosowano uwierzytelnienia wymaganego do dostępu przez Internet do strefy publicznej serwera FTP MEGABUS,
      • kilku pracowników korzystało ze współdzielonych kont użytkowników w odniesieniu do strefy prywatnej serwera FTP MEGABUS,
      • nie zastosowano nadzoru i raportowania alertów bezpieczeństwa na serwerze.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie procedur bezpieczeństwa: Zaleca się opracowanie i wdrożenie szczegółowych procedur dotyczących migracji danych, które będą obejmować szyfrowanie danych oraz autoryzację dostępu.
  2. Szyfrowanie danych: Wszystkie dane przechowywane na serwerach powinny być szyfrowane, aby zapobiec ich nieautoryzowanemu odczytowi.
  3. Autoryzacja dostępu: Należy wprowadzić mechanizmy autoryzacji dostępu do danych, aby tylko uprawnione osoby mogły mieć do nich dostęp.
  4. Monitorowanie i alerty: Wdrożenie systemów monitorowania i alertów bezpieczeństwa, które będą informować o podejrzanych aktywnościach na serwerach.
  5. Szkolenia dla pracowników: Regularne szkolenia dla pracowników z zakresu ochrony danych osobowych i bezpieczeństwa informacji.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO