Obowiązek informacyjny rodo

KOMPAS FORSAFE 2024/37

Kraj:

Polska

Data wydania decyzji:

13.06.2024 r.

Podmiot kontrolowany:

Samodzielny Publiczny Zespół Opieki Zdrowotnej

Wysokość kary (EUR):

9.117

Podstawa prawna naruszenia

Art. 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1, 2, art. 34 ust. 1 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie ochrony danych osobowych w Samodzielnym Publicznym Zespole Opieki Zdrowotnej (SPZOZ) w P. miało miejsce z powodu ataku ransomware, który zaszyfrował dane przechowywane na serwerach oraz maszynach wirtualnych. Administrator nie przeprowadził analizy ryzyka oraz nie wdrożył odpowiednich środków technicznych i organizacyjnych, co przyczyniło się do naruszenia.

Opis wydarzeń

  1. Data naruszenia: 10 lutego 2022 r.
  2. Zgłoszenie naruszenia: Administrator dokonał zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych w dn. 16 lutego 2022 r.
  3. Zakres danych: Imiona, nazwiska, daty urodzenia, numery PESEL, adresy zamieszkania, numery telefonów, dane dotyczące zdrowia, numery rachunków bankowych, dane dotyczące zarobków, serie i numery dowodów osobistych.
  4. Liczba osób dotkniętych: 30 331 pacjentów oraz 1 129 pracowników, zleceniobiorców i współpracowników.
  5. Niezgodności wykryte podczas kontroli:
    • Brak wdrożenia środków zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka.
    • Brak regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych.
    • Brak funkcjonującej procedury aktualizowania systemów i oprogramowania urządzeń teleinformatycznych przed wystąpieniem naruszenia ochrony danych osobowych.
    • Brak regularnego wykonywania kopii zapasowych baz danych z serwerów oraz brak możliwości szybkiego przywrócenia dostępności danych osobowych w razie incydentu fizycznego lub technicznego.
    • Brak przeprowadzenia analizy ryzyka dla operacji przetwarzania danych osobowych przed wystąpieniem naruszenia ochrony danych osobowych.
  1. Działania podjęte przez Administratora:
    • Zgłoszenie naruszenia do Prezesa Urzędu Ochrony Danych Osobowych oraz Policji.
    • Przeprowadzenie ekspertyzy przez podmiot zewnętrzny, która potwierdziła użycie ransomware.
    • Przeprowadzenie audytu bezpieczeństwa IT.
    • Zakup i konfiguracja nowych środków technicznych.
    • Szkolenia z zakresu cyberbezpieczeństwa.
  1. Decyzja Prezesa Urzędu Ochrony Danych Osobowych: Nałożenie administracyjnej kary pieniężnej w wysokości 40 000 zł oraz nakazanie zawiadomienia osób, których dane zostały zaszyfrowane, o naruszeniu ochrony ich danych osobowych w terminie 30 dni.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie odpowiednich środków technicznych i organizacyjnych: Należy przeprowadzić analizę ryzyka i wdrożyć środki zapewniające bezpieczeństwo przetwarzania danych, w tym regularne testowanie, mierzenie i ocenianie skuteczności tych środków.
  2. Dokumentowanie działań: Wszystkie działania związane z przetwarzaniem danych osobowych powinny być odpowiednio dokumentowane, aby móc wykazać zgodność z przepisami rozporządzenia 2016/679.
  3. Szkolenia dla pracowników: Regularne szkolenia z zakresu ochrony danych osobowych i cyberbezpieczeństwa powinny być przeprowadzane dla wszystkich pracowników.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO