Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/1

Kraj:

Polska

Data wydania decyzji:

15.11.2025 r.

Podmiot kontrolowany:

Państwowy Powiatowy Inspektor Sanitarny w M.

Wysokość kary (EUR):

4.300

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 5 ust. 2, art. 25 ust. 1, art. 32 ust. 1, 2 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Na początku 2023 r. były pracownik powiatowej stacji sanitarnej zgubił prywatny pendrive zawierający dane osobowe ponad 4 200 osób, w tym pacjentów chorych na COVID‑19, ich opiekunów i uczestników postępowań administracyjnych. Nośnik nie był zabezpieczony hasłem ani szyfrowaniem. Państwowy Powiatowy Inspektorat Sanitarny w M. nie miał odrębnych regulacji dotyczących zarządzania zewnętrznymi nośnikami danych i ocenił ryzyko korzystania z takich nośników jako niskie. Analizę ryzyka oraz blokadę portów USB wprowadzono dopiero po zgłoszeniu incydentu.

 

Opis wydarzeń

  1. Zgłoszenie incydentu: 31 października 2023 r. Państwowy Powiatowy Inspektorat Sanitarny w M. zgłosił naruszenie ochrony danych do Prezesa UODO. Dzień wcześniej osoba trzecia przekazała znaleziony prywatny pendrive byłego pracownika, a analiza wykazała, że zawierał on dokumenty z okresu jego zatrudnienia.

  2. Zakres ujawnionych danych: Na zagubionym nośniku znajdowały się niezaszyfrowane dane osobowe ponad 4 200 osób, w tym klientów podmiotów publicznych, pacjentów (również dzieci), ich opiekunów oraz uczestników postępowań administracyjnych. Dane obejmowały m.in. imiona, nazwiska, adresy, numery PESEL, numery dokumentów tożsamości, adresy e‑mail, numery telefonów oraz informacje o stanie zdrowia.

  3. Czas i charakter nieprawidłowości: Pendrive był prywatną własnością byłego pracownika i przechowywał dane z lat 2015–2021. Nie zastosowano szyfrowania ani hasła. Do momentu zgłoszenia Państwowy Powiatowy Inspektorat Sanitarny w M. nie prowadził odrębnej regulacji korzystania z zewnętrznych nośników danych i nie testował regularnie przyjętych zabezpieczeń.

  4. Reakcja Administratora: Po incydencie Państwowy Powiatowy Inspektorat Sanitarny w M. przeprowadził ponowną analizę ryzyka. Na początku lutego 2024 r. wprowadzono nowe procedury bezpieczeństwa informacji – zablokowano porty USB i dopuszczono d0 korzystania jedynie urządzenia szyfrowane i autoryzowane przez dział IT. Mimo tych działań, stan niezgodności utrzymywał się od maja 2018 r. do lutego 2024 r., co Prezes UODO uznał za okoliczność obciążającą.

  5. Ustalenia organu nadzorczego: Prezes UODO stwierdził, że brak odpowiednich środków technicznych i organizacyjnych oraz brak regularnego testowania doprowadziły do naruszenia zasady poufności i integralności danych oraz zasady rozliczalności. Naruszenie miało poważny charakter, ponieważ dotyczyło danych szczególnych kategorii, w tym informacji o zdrowiu. Nie można było wykluczyć, że osoby nieuprawnione zapoznały się z ujawnionymi danymi, a obawa przed utratą kontroli nad danymi sama w sobie stanowi szkodę niemajątkową.

  6. Decyzja i kara: Za stwierdzone naruszenia Prezes UODO nałożył na Państwowego Powiatowego Inspektora Sanitarnego w M. administracyjną karę pieniężną w wysokości 20 000 zł. Celem kary było nie tylko ukaranie, ale także prewencja – wskazanie innym administratorom, że brak realnych zabezpieczeń i testowania procedur niezgodnych z RODO prowadzi do poważnych konsekwencji

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie polityki zarządzania nośnikami danych: Organizacje powinny wprowadzić jednoznaczne regulacje dotyczące korzystania z zewnętrznych nośników danych. Używanie prywatnych pendrive’ów powinno być zabronione lub ograniczone do korzystania jedynie z szyfrowanych nośników autoryzowanych przez dział IT. Systemy informatyczne powinny blokować nieautoryzowane urządzenia.

  2. Szyfrowanie i ochrona hasłem: Przenośne nośniki danych muszą być szyfrowane i chronione hasłem. Dane szczególnej kategorii (np. dotyczące zdrowia) nie powinny być przechowywane na urządzeniach niespełniających wymogów bezpieczeństwa.

  3. Regularne testy i audyty bezpieczeństwa: Administratorzy danych powinni prowadzić cykliczne testy skuteczności zastosowanych środków ochrony (audyt, testy podatności) i dokumentować ich wyniki. Testy pozwalają wykryć słabości polityk lub procesów i wprowadzić korekty.

  4. Kompleksowa analiza ryzyka: Analiza ryzyka powinna obejmować wszystkie operacje przetwarzania danych i uwzględniać możliwość utraty danych przez pracowników korzystających z prywatnych nośników. Oceny należy aktualizować przy każdej zmianie w procesach lub infrastrukturze i dokumentować w rejestrach.

  5. Szkolenia i budowanie świadomości: Pracownicy powinni być regularnie szkoleni w zakresie ochrony danych, zasad korzystania z nośników i reagowania na incydenty. Świadomość pracowników zmniejsza ryzyko niestosowania się do procedur.

  6. Dokumentowanie i rozliczalność: Dokumentuj wszystkie działania związane z ochroną danych (procedury, decyzje, testy). Pozwoli to wykazać zgodność z RODO w przypadku kontroli i ułatwi identyfikację obszarów wymagających usprawnienia.

  7. Zakończenie współpracy z pracownikiem: W chwili rozwiązania stosunku pracy należy odebrać od pracownika wszelkie nośniki zawierające dane służbowe i potwierdzić ich zwrot. Organizacja powinna mieć procedurę bezpiecznego niszczenia lub archiwizowania danych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO