Ochrona danych osobowych. Kara za zwłokę w zgłoszeniu naruszenia

Urząd Ochrony Danych Osobowych stojąc na straży naszych danych osobowych ma ręce pełne roboty.

Jak opisywaliśmy na łamach CyberDefence24 nie brakuje sytuacji, kiedy dochodzi do naruszenia informacji o pracownikach czy osobach indywidualnych.

Jednak to nie jest jedyne ryzyko - często podmiot nie ma wpływu na wystąpienie incydentu, a jedyną metodą jest odpowiednie zabezpieczanie się na wypadek ataku. Dlatego regularnie przypominamy o tym, by cyberbezpieczeństwo traktować priorytetowo, a nie tylko jako „przykry wydatek”. Koszty cyberataku mogą bowiem znacznie przewyższyć środki na ochronę systemów i danych, szczególnie w wypadku ataku ransomware.

Kara od UODO

Tym razem decyzją Prezesa Urzędu Ochrony Danych Osobowych Mirosława Wróblewskiego szpital powiatowy we Wrześni został ukarany na kwotę 29 648 tys. zł. Powodem był brak zgłoszenia naruszenia danych bez zbędnej zwłoki do PUODO, a także brak zawiadomienia na czas osoby, której dotyczył incydent.

Prezes UODO miał dowiedzieć się o sprawie od Rzecznika Praw Pacjenta. Jedna z pacjentek szpitala otrzymała dokumentację medyczną innej osoby, która zawierała imię, nazwisko, datę urodzenia, numer PESEL oraz dane dotyczące zdrowia.

Jakie były tłumaczenia szpitala? Placówka miała uzasadnić, że nie wiedziała o zdarzeniu, dlatego nie zgłosiła incydentu. Na wniosek PUODO przedstawiono analizę ryzyka dla danych i treść zawiadomienia, które następnie – zbyt późno – skierowano do osoby, której ujawnione dane dotyczą.

Szpital: Niskie ryzyko

Szpital jako administrator danych miał wyjaśnić Prezesowi UODO, że ryzyko w tym przypadku było niskie w związku z ujawnieniem danych osobowych pacjentki osobie nieuprawnionej. Incydent - zdaniem placówki - nie wymagał dalszego postępowania, a o sprawie powiadomiono osobę, której dotyczą dane.

Jednak takie argumenty nie pomogły, ponieważ nie zgłoszono naruszenia do PUODO, więc urząd nie mógł zareagować i „wesprzeć administratora w minimalizowaniu skutków naruszenia, do którego już doszło” - czytamy.

Prezes UODO podkreśla, że przypadkowe ujawnienie danych osobowych nawet jednej zidentyfikowanej osobie może prowadzić do zwiększenia skali naruszenia i tym samym powstania ryzyka naruszenia praw lub wolności osoby, której dane dotyczą.
komunikat UODO

Ostatecznie - wobec takiego zdarzenia - nałożono karę administracyjną. Ma to doprowadzić do tego, że w przyszłości szpital będzie „wywiązywał się ze swoich obowiązków z zakresu ochrony danych osobowych, w szczególności w zakresie zgłaszania naruszenia”.

/NB

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].