SPZOZ w Pajęcznie znalazł się na liście podmiotów ukaranych za naruszenie przepisów RODO. Co dalej? Jakie kroki powinna podjąć placówka, aby poprawić swoje działania i uniknąć kolejnych kar? Odpowiedzi znajdziesz w tym artykule.
Pod koniec sierpnia Prezes Urzędu Ochrony Danych Osobowych ogłosił nałożenie administracyjnej kary pieniężnej na Samodzielny Publiczny Zakład Opieki Zdrowotnej w Pajęcznie. Przyczyną była niewłaściwa reakcja na atak ransomware. Placówka będzie musiała zapłacić 40.000 zł kary i podjąć działania, wskazane przez Prezesa UODO.
Organ nadzorczy ma szereg zadań, opisanych w przepisach. Najbardziej medialnym z nich jest nakładanie administracyjnych kar pieniężnych, ale nie jest to jedyna prerogatywa Prezesa UODO. Jego zadaniem jest także edukowanie i dokształcanie w zakresie ochrony danych osobowych, czyli działania profilaktyczne. Jeżeli już dochodzi do naruszenia, pod rozwagę bierze nie tylko zasadność nałożenia ewentualnej kary, ale także podjęcie działań naprawczych, by podobna sytuacja nie powtórzyła się w przyszłości oraz by osoby dotknięte naruszeniem wiedziały, jaka jest ich sytuacja.
Przypomnijmy, jak wyglądała sytuacja w Pajęcznie. W lutym 2022 r. doszło tam do ataku ransomware. Złośliwe oprogramowanie spowodowało odcięcie dostępu do danych 30 tysięcy pacjentów i ponad tysiąca pracowników szpitala.
Kierownictwo podjęło decyzję o zawiadomieniu o sprawie policji oraz Prezesa UODO. Zbadano okoliczności sprawy (w szczególności z udziałem informatyka szpitala) i ustalono, że naruszenie nie jest poważne, ponieważ nie doszło do naruszenia poufności danych, a jedynie ich dostępności.
Postępowanie prowadzone przez UODO stwierdziło liczne nieprawidłowości, związane ze sprawą. Najważniejszą z nich było to, że wbrew wymogom RODO nie przeprowadzono analizy ryzyka dla danych osobowych. W konsekwencji nie przywiązywano odpowiedniej wagi do ataku ransomware jako zagrożenia dla placówki medycznej, co spowodowało brak stosowania odpowiednich środków technicznych oraz organizacyjnych. Plan wprowadzenia zabezpieczeń oraz szkolenia dla pracowników (pilotażowe szkolenia z cyberbezpieczeństwa od Ministerstwa Zdrowia) zorganizowano dopiero po ataku.
Brak odpowiedniej oceny ryzyka spowodował także problemy w zakresie zgłoszenia naruszenia. Zawiadomienie o sytuacji Prezesa UODO było prawidłowe, ale placówka medyczna nie spełniła wymogu z art. 34 RODO, który zobowiązuje do powiadomienia o poważnym incydencie osób, które zostały nim dotknięte. Połączenie tego obowiązku z liczbą osób dotkniętych naruszeniem (ok. 31 tysięcy) powoduje oczywiście uzasadniony niepokój i przywołuje wizje drukowania trzydziestu jeden tysięcy listów i pakowania ich do trzydziestu jeden tysięcy kopert.
Na szczęście przepisy RODO w tym zakresie są elastyczne. Art. 34 ust. 3 lit. C RODO pozwala na odstąpienie od indywidualnego zawiadamiania osób poszkodowanych, jeśli wymagałoby to niewspółmiernie dużego wysiłku. W takim przypadku należy wydać publiczny komunikat lub zastosować podobny środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w równie skuteczny sposób.
SPZOZ w Pajęcznie zrealizował ten obowiązek przez publikację komunikatu na swojej stronie internetowej (https://www.spzozpajeczno.pl/?informacja-o-naruszeniu-danych-osobowych) oraz na koncie Facebook.
Prezes UODO zobowiązał wreszcie placówkę medyczną do wdrożenia organizacyjnych i technicznych środków, zapewniających bezpieczeństwo danych osobowych – i dał jej na to 90 dni od dnia doręczenia decyzji.
Powyższe oznacza, że zdecydowanie nie warto odkładać na później analizy możliwych ryzyk oraz wdrażania odpowiednich zabezpieczeń. SPZOZ w Pajęcznie nie podejmował w tym zakresie odpowiednich decyzji przez miesiące czy lata; teraz, na mocy decyzji organu nadzorczego, i tak musiał zrealizować te działania, ale w zdecydowanie mniej korzystnych ramach czasowych.
W kolejnym artykule wskażemy, w jaki sposób SPZOZ w Pajęcznie mógł uniknąć kary pieniężnej – i jak mogą to zrobić inne placówki medyczne.
Autor: Adam Klimowski, Ekspert ds. ochrony danych osobowych