Anna Kuś-Kluka

29 marca 2021

Kara upomnienia nałożona przez PUODO na spółkę z sektora medycznego – jakie wnioski praktyczne z niej płyną?

Decyzją z dnia 11.01.2021 r. o znaku DKN.5130.2815.2020 PUODO stwierdził naruszenie przez spółkę z sektora medycznego przepisów art. 5 ust. 1 lit. f), art. 24 ust. 1, art. 25 ust. 1 oraz art. 32 ust. 1 i ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 ze zm.), zwanego dalej „RODO”, które to w ocenie organu polegało na  doborze przez Administratora nieskutecznych zabezpieczeń systemu informatycznego oraz zaniechania regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych osobowych w systemach informatycznych objętych naruszeniem.

 

W szczególności organ zwrócił uwagę na brak mierzenia i testowania  podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia. PUODO jednakże, zważywszy na okoliczności sprawy, udzielił spółce jedynie kary upomnienia.


Należy wskazać, że przedmiotowe naruszenie polegało na tym, iż niezidentyfikowana osoba trzecia pewnej kwietniowej nocy w 2020 r. dokonała przełamania wdrożonych w spółce z sektora medycznego zabezpieczeń, dzięki czemu uzyskała dostęp do systemu obsługiwanego przez tą spółkę. Kolejno, osoba ta dokonała szyfrowania danych.

Ww. działanie doprowadziło do pozbawieniu spółki dostępu do systemu i danych osobowych ok. 80.000 osób, w tym pracowników, klientów i pacjentów tamże się znajdujących. Naruszenie dotyczyło takich danych osobowych, jak: imię i nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania, numer ewidencyjny PESEL, adres e-mail, seria i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia. Spółka zgłosiła przedmiotowe zdarzenie do PUODO. Z uwagi na odzyskanie zaszyfrowanych danych nie stwierdziła wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.

Organ w uzasadnieniu wydanej decyzji wskazał, że jego zastrzeżenia budzi jakość przeprowadzanych przez spółkę testów w zakresie wprowadzonych w spółce zabezpieczeń oraz ich wąskiego zakresu, albowiem spółka dokonywała testów jedynie w odniesieniu do „wydajności komponentów w ramach użytkowanego oprogramowania oraz odporności na awarie”. Ich rezultatem nie była bowiem wymiana tych systemów informatycznych, które utraciły wsparcie producenta, co, jak podnosi organ, w sposób znaczący spowodowało obniżenie poziomu bezpieczeństwa przetwarzanych przez Spółkę danych.

PUODO uznał, że przyjęte przez spółkę środki techniczne nie były w odpowiedni sposób poddawane przeglądom i uaktualniane, co w konsekwencji nie zapewniało skutecznej realizacji zasad ochrony danych.
Jednakże pomimo uchybień wskazanych przez organ, z uwagi na czasokres naruszenia, a także fakt wdrożenia przez spółkę niezwłocznie działań minimalizujących ryzyko naruszenia w postaci:

  • wymiany sprzętu oraz oprogramowania,
  • zmiany procedur,
  • przeprowadzenia ponownej analizy ryzyka,
  • przeprowadzenia audytu bezpieczeństwa,

a także z uwagi na fakt zgłoszenia naruszenia do PUODO oraz mając na uwadze fakt, że spółka od marca 2020 r. na mocy rozporządzenia Ministra Zdrowia z dnia 13 marca 2020 r., w chwili zaistnienia zdarzenia, nie świadczyła żadnych usług dla klientów oraz kuracjuszy, organ nadzorczy ograniczył się do upomnienia spółki.

Udzielając przedmiotowej kary administracyjnej, PUODO przypomniał, że w przypadku, gdyby scenariusz naruszenia miałby miejsce w przyszłości, to każde upomnienie wobec podmiotu będzie miało znaczenie w kontekście wymiaru kary administracyjnej, co wynika z zasad określonych w art. 83 ust. 2 RODO.

Czego uczy ta decyzja administracyjna w kontekście bieżących działań każdego Administratora?

Należy pamiętać o:

  1. stosowaniu zasady privacy by design/by default nie tylko w kontekście zmian organizacyjnych w spółce, a cyklicznie, w ustalonych uprzednio przez Administratora cyklicznych okresach, która winna dotyczyć wszystkich zmapowanych w organizacji procesów i systemów, z których korzysta Administrator;
  2. konieczności dokonywania zgłoszenia naruszeń do organu nadzorczego zgodnie z art. 33 RODO w sytuacjach, w których Administrator oceni, że jest więcej aniżeli mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych;
  3. obowiązku wdrożenia wszelkich możliwych środków, które pozwolą Administratorowi na minimalizację bądź odwrócenie skutków zaistniałego naruszenia ochrony danych osobowych;
  4. fakcie, iż każde upomnienie udzielone przez PUODO Administratorowi będzie miało znaczenie w kontekście wymiaru kary administracyjnej, która za analogiczne naruszenie może zostać nałożona na Administratora przez organ nadzorczy w przyszłości.