Obowiązek informacyjny rodo

KOMPAS FORSAFE 2023/15

Kraj:

Irlandia

Data wydania decyzji:

23.01.2023 r.

Podmiot kontrolowany:

Centric Health Ltd.

Wysokość kary (EUR):

460.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 32 ust. 1, art. 32 ust. 2 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie danych osobowych w Centric Health Ltd. było wynikiem ataku ransomware, który doprowadził do nieautoryzowanego dostępu, zmiany i zniszczenia danych pacjentów. Atak ten spowodował trwałe usunięcie części danych osobowych.

 

Opis wydarzeń

  1. Zgłoszenie naruszenia: 5 grudnia 2019 roku Centric zgłosiło naruszenie danych osobowych do irlandzkiego organu nadzorczego (DPC). Naruszenie dotyczyło danych pacjentów z siedmiu klinik w hrabstwach Kildare i Dublin.
  2. Atak ransomware: 3 grudnia 2019 roku pracownicy zgłosili brak dostępu do systemu administracji pacjentów. Sprawdzenie wykazało obecność złośliwego oprogramowania, które zaszyfrowało dane pacjentów oraz w wyniku jego działania zażądano okupu za ich odzyskanie.
  3. Zakres naruszenia: Naruszenie dotyczyło danych około 70,000 pacjentów, w tym imion, dat urodzenia, numerów PPSN i danych kontaktowych. Dane około 2,500 pacjentów zostały trwale usunięte.
  4. Działania naprawcze: Centric podjęło próby odzyskania danych z kopii zapasowych, jednak niektóre z nich również zostały zainfekowane. Firma skontaktowała się z pacjentami, umieściła ogłoszenia w klinikach i powiadomiła odpowiednie organy.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wzmocnienie zabezpieczeń IT: Zaleca się regularne aktualizowanie systemów operacyjnych i oprogramowania antywirusowego oraz wdrożenie silniejszych polityk haseł.
  2. Kopie zapasowe: Kopie zapasowe danych powinny być przechowywane poza głównym serwerem i regularnie testowane pod kątem możliwości ich przywrócenia.
  3. Szkolenia dla pracowników: Pracownicy powinni być regularnie szkoleni w zakresie bezpieczeństwa danych i procedur postępowania w przypadku naruszeń.
  4. Ocena ryzyka: Należy przeprowadzać regularne oceny ryzyka i testy penetracyjne, aby zidentyfikować i zminimalizować potencjalne zagrożenia.
  5. Dokumentacja: Wszystkie działania związane z zarządzaniem bezpieczeństwem danych powinny być dokładnie dokumentowane, aby móc wykazać zgodność z przepisami.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO