Kolejna placówka medyczna w Polsce została ukarana za naruszenie zasad RODO. Co poszło nie tak?

Kolejna placówka medyczna w Polsce została ukarana za naruszenie zasad RODO. Co poszło nie tak? Jakie błędy doprowadziły do nałożenia kary? W tym artykule analizujemy przyczyny nałożenia kary i wskazujemy, co zrobić, aby Twoja organizacja nie znalazła się w podobnej sytuacji.

Pod koniec sierpnia Prezes Urzędu Ochrony Danych Osobowych ogłosił nałożenie administracyjnej kary pieniężnej na podmiot wykonujący działalność leczniczą. Przyczyną była niewłaściwa reakcja na atak ransomware. Placówka będzie musiała zapłacić 40.000 zł kary i podjąć działania, wskazane przez Prezesa UODO.

Zdarzenie miało miejsce w Samodzielnym Publicznym Zakładzie Opieki Zdrowotnej w Pajęcznie (woj. łódzkie) w lutym 2022 r. Szpital został zaatakowany przez ransomware, który doprowadził do zablokowania danych 30 tysięcy pacjentów i ponad tysiąca pracowników.

Kierownictwo podjęło decyzję o zawiadomieniu o sprawie policji oraz Prezesa UODO. Zbadano okoliczności sprawy (w szczególności z udziałem informatyka szpitala) i ustalono, że naruszenie nie jest poważne, ponieważ nie doszło do naruszenia poufności danych, a jedynie ich dostępności.

Ta ocena sytuacji została później zakwestionowana przez Prezesa UODO, który stwierdził szereg nieprawidłowości. Mając na względzie całokształt działań i zaniechań w sprawie, organ nadzorczy podjął decyzję o nałożeniu administracyjnej kary pieniężnej. Maksymalna wysokość kar w przypadku podmiotów takich jak SPZOZ w Pajęcznie (jednostek sektora finansów publicznych) wynosi 100.000 zł, zgodnie z art. 102 ust. 1 p. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

To już trzecia kara pieniężna za naruszenie RODO dla podmiotów medycznych. Pierwszą nałożono w lutym 2021 r. na osobę prowadzącą działalność gospodarczą w zakresie ochrony zdrowia. Za niezawiadomienie o naruszeniu osób nim dotkniętym musiała zapłacić 85.588 zł. Drugą ogłoszono w maju 2024 r. – American Heart of Poland SA musiała zapłacić ok. 1,5 mln zł za niewłaściwe zabezpieczenie danych blisko 20 tysięcy pacjentów.

Nieprzestrzeganie zasad ochrony danych osobowych może mieć zatem dla placówek medycznych bardzo nieprzyjemne konsekwencje. Nie jest to zagrożenie teoretycznie, ale jak najbardziej realne, wpływające także na perspektywę biznesową.

W kolejnych artykułach przybliżymy, jakie jeszcze obowiązki nałożono na SPZOZ w Pajęcznie w zakresie ochrony danych osobowych i ustalimy, jakie działania mogła podjąć placówka, by uniknąć kary pieniężnej.

Autor: Adam Klimowski, Ekspert ds. ochrony danych osobowych