Reklama

Polityka i prawo

Ochrona danych osobowych. Kara za zwłokę w zgłoszeniu naruszenia

Prezes UODO nałożył karę na szpital. Co było powodem?
Prezes UODO nałożył karę na szpital. Co było powodem?
Autor. Natanael Melchor/ Unsplash

Szpital Powiatowy we Wrześni decyzją Prezesa Urzędu Ochrony Danych Osobowych otrzymał karę 29 648 tys. zł. Powód? Placówka nie zgłosiła naruszenia danych bez zbędnej zwłoki, ani nie zawiadomiła na czas osoby, której dotyczył incydent.

Urząd Ochrony Danych Osobowych stojąc na straży naszych danych osobowych ma ręce pełne roboty.

Jak opisywaliśmy na łamach CyberDefence24 nie brakuje sytuacji, kiedy dochodzi do naruszenia informacji o pracownikach czy osobach indywidualnych.

Jednak to nie jest jedyne ryzyko - często podmiot nie ma wpływu na wystąpienie incydentu, a jedyną metodą jest odpowiednie zabezpieczanie się na wypadek ataku. Dlatego regularnie przypominamy o tym, by cyberbezpieczeństwo traktować priorytetowo, a nie tylko jako „przykry wydatek”. Koszty cyberataku mogą bowiem znacznie przewyższyć środki na ochronę systemów i danych, szczególnie w wypadku ataku ransomware.

Czytaj też

Reklama

Kara od UODO

Tym razem decyzją Prezesa Urzędu Ochrony Danych Osobowych Mirosława Wróblewskiego szpital powiatowy we Wrześni został ukarany na kwotę 29 648 tys. zł. Powodem był brak zgłoszenia naruszenia danych bez zbędnej zwłoki do PUODO, a także brak zawiadomienia na czas osoby, której dotyczył incydent.

Prezes UODO miał dowiedzieć się o sprawie od Rzecznika Praw Pacjenta. Jedna z pacjentek szpitala otrzymała dokumentację medyczną innej osoby, która zawierała imię, nazwisko, datę urodzenia, numer PESEL oraz dane dotyczące zdrowia.

Jakie były tłumaczenia szpitala? Placówka miała uzasadnić, że nie wiedziała o zdarzeniu, dlatego nie zgłosiła incydentu. Na wniosek PUODO przedstawiono analizę ryzyka dla danych i treść zawiadomienia, które następnie – zbyt późno – skierowano do osoby, której ujawnione dane dotyczą.

Czytaj też

Reklama

Szpital: Niskie ryzyko

Szpital jako administrator danych miał wyjaśnić Prezesowi UODO, że ryzyko w tym przypadku było niskie w związku z ujawnieniem danych osobowych pacjentki osobie nieuprawnionej. Incydent - zdaniem placówki - nie wymagał dalszego postępowania, a o sprawie powiadomiono osobę, której dotyczą dane.

Jednak takie argumenty nie pomogły, ponieważ nie zgłoszono naruszenia do PUODO, więc urząd nie mógł zareagować i „wesprzeć administratora w minimalizowaniu skutków naruszenia, do którego już doszło” - czytamy.

Prezes UODO podkreśla, że przypadkowe ujawnienie danych osobowych nawet jednej zidentyfikowanej osobie może prowadzić do zwiększenia skali naruszenia i tym samym powstania ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.
komunikat UODO

Ostatecznie - wobec takiego zdarzenia - nałożono karę administracyjną. Ma to doprowadzić do tego, że w przyszłości szpital będzie „wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia”.

/NB

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama
Reklama

Haertle: Każdego da się zhakować

Materiał sponsorowany

Komentarze

    Reklama