Cyberbezpieczeństwo
Kontrola UODO w ALAB Laboratoria. Spółka zapłaci gigantyczną karę?
To - jak do tej pory - największy krajowy wyciek danych medycznych. Mowa o spółce ALAB Laboratoria - w darknecie pojawiło się 55 tys. wyników badań, jednak sama firma przyznała, że zagrożone są informacje nawet o 200 tys. pacjentów. Na jakim etapie jest kontrola Urzędu Ochrony Danych Osobowych i co grozi ALAB za ten incydent?
W listopadzie 2023 roku doszło do ataku hakerskiego na ALAB Laboratoria. Choć firma potwierdziła incydent dopiero kilka dni później to przyznała, że zagrożonych wyciekiem danych może być nawet 200 tys. danych pacjentów.
Sprawą zajęli się Rzecznik Praw Pacjenta oraz Urząd Ochrony Danych Osobowych. Chcą ustalić m.in. przyczyny incydentu. Jak informowaliśmy jako pierwsi, kontrola UODO w ALAB Laboratoria rozpoczęła się w poniedziałek 11 grudnia 2023 r., co także potwierdził oficjalnie urząd.
„W związku z wyciekiem danych osobowych, UODO od dzisiaj przeprowadza kontrolę w firmie ALAB. W ramach tej kontroli szczegółowo zostaną przeanalizowane zabezpieczenia stosowane przez spółkę, mające na celu ochronę danych” - wówczas poinformowano.
Czytaj też
UODO: Analiza dowodów
Zapytaliśmy Urząd Ochrony Danych Osobowych, na jakim etapie jest postępowanie w sprawie i co ustalono do tej pory.
Adam Sanocki, rzecznik prasowy Urzędu informuje, że zgłoszenie o naruszeniu ochrony danych osobowych w laboratoriach ALAB otrzymali 21 listopada 2023 roku. Po analizie ruszyła kontrola w spółce, a obecnie organ „analizuje materiał dowodowy, zgromadzony w trakcie czynności kontrolnych w ALAB”.
Czytaj też
Czy ALAB zapłaci karę?
Dane medyczne to dane wrażliwe, które gromadzone i przechowywane przez szpitale, placówki medyczne czy przychodnie podlegają szczególnej ochronie. Podmioty te są zobowiązane, by odpowiednio je zabezpieczać, jednak wciąż nie brakuje prób ataków ze strony grup hakerskich. ALAB znalazł się na celowniku jednej z grup ransomware, która zażądała okupu.
W związku z brakiem zgody na jego zapłacenie ujawniono część danych w darknecie, a „ostatecznym terminem” na zapłatę miał być 31 stycznia 2023 roku. Inaczej hakerzy grozili, że opublikują wszystkie dane ze zhakowanego systemu. Ostatecznie (jak do tej pory) deklaracje nie znalazły pokrycia w rzeczywistości, a spółka - która od początku stała na twardym stanowisku, że „nie będzie negocjowała z terrorystami” - nie zapłaciła przestępcom.
Czy za incydent o tak dużej skali grozi jej gignatyczna kara finansowa? Adam Sanocki, rzecznik prasowy UODO zaznacza w komentarzu dla CyberDefence24.pl, że przewidziane w RODO kary finansowe to tylko jeden z instrumentów oddziaływania, jakimi dysponuje Prezes UODO, by zapewnić przestrzeganie prawa.
„RODO zawiera bowiem całą gamę różnych rozwiązań, które służą wzmocnieniu ochrony danych osobowych obywateli. W przypadku stwierdzenia naruszenia przepisów może być m.in. wydane ostrzeżenie, udzielone upomnienie czy wydany nakaz dostosowania określonych działań do obowiązujących przepisów” - usłyszeliśmy.
Dodaje, że kary pieniężne mają być nie tylko skuteczne i odstraszające, ale i proporcjonalne. „Dlatego przy ich wymierzaniu Prezes UODO musi brać pod uwagę aż 11 różnych czynników, o których mowa w art. 83 RODO. Istotne będą więc m.in. charakter, waga i czas trwania naruszenia, to czy miało ono charakter umyślny, czy też nie, warunki, w jakich do niego doszło, liczba poszkodowanych osób, rozmiar poniesionej przez nie szkody, czy jest to pierwsze naruszenie, czy kolejne, jak zachował się administrator danych np. czy sam zgłosił wyciek danych oraz – o ile to konieczne – poinformował o tym osoby poszkodowane” - zaznacza Adam Sanocki.
Karę administracyjną z tytułu naruszenia przepisów o ochronie danych osobowych Prezes UODO nakłada w drodze decyzji administracyjnej po przeprowadzeniu postępowania administracyjnego. „Jeśli chodzi o wysokość kar, to w odniesieniu do przedsiębiorstw został ustalona na maksymalnym pułapie 20 mln euro lub do 4 proc. ich rocznego, światowego obrotu” - zaznacza.
Jak skończy się incydent z udziałem ALAB Laboratoria? Będziemy to śledzić.
Czytaj też
ALAB. Czy twoje dane znalazły się w wycieku?
Jeśli chcesz sprawdzić czy Twoje dane znalazły się w sieci - w związku z wyciekiem z ALAB - możesz to zrobić za pośrednictwem serwisu: www(.)bezpiecznedane(.)gov(.)pl.
Jak to zrobić? Klikamy w przycisk „Sprawdź dane”, logujemy się za pośrednictwem np. bankowości elektronicznej, aplikacji mObywatel, Profilu Zaufanego. Po zalogowaniu wyświetli się nam komunikat: „sprawdź wyciek z ALAB”.
Informację, co robić, kiedy Twoje dane wyciekły znajdziesz w tym tekście.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].