Streszczenie - Kara RODO dla podmiotu medycznego
Streszczenie – Kara RODO dla podmiotu medycznego. Jak czytamy w Komunikacie UODO z dni 26 września br. opublikowanym na stronie internetowej Urzędu Prezes UODO nałożył na Samodzielny Publiczny ZOZ w Pajęcznie karę 40 tys. złotych. W sprawie wydana została Decyzja dnia 13 września 2024r., [DKN.5131.57.2022], której najciekawsze, naszym zdaniem fragmenty cytujemy i omawiamy poniżej. Streszczenie niniejsze szczególnie polecamy lekturze osobom zarządzającym podmiotami medycznymi.
Decyzja PUODO ...
Dnia 13 czerwca 2024 r. Prezes Urzędu Ochrony Danych Osobowych po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Samodzielny Publiczny Zespół Opieki Zdrowotnej z siedzibą w Pajęcznie wydał decyzję w spr. o sygn. akt.: DKN.5131.57.2022 stwierdzającą naruszenie przez ww. Administratora Danych Osobowych przepisów
- 24 ust. 1, art. 25 ust. 1, art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na niewdrożeniu:
– odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą, na podstawie przeprowadzonej analizy ryzyka uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych,
– odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia, skutkujące naruszeniem zasady integralności i poufności (art. 5 ust. 1 lit. f) rozporządzenia 2016/679) oraz zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679);
- art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych,
Konsekwencje ...
- W związku z powyższy nałożona została na Samodzielny Publiczny Zespół Opieki Zdrowotnej z siedzibą w Pajęcznie administracyjna kara pieniężna w kwocie 40.000 zł (słownie: czterdzieści tysięcy złotych).
Ponadto nakazane zostało ww. ADO zawiadomienie, w terminie 30 dni od dnia doręczenia niniejszej decyzji, osób, których dane osobowe zaszyfrowane zostały na serwerach i innych jego urządzeniach, na skutek naruszenia ochrony danych osobowych, do którego doszło w dniu 10 lutego 2022 r., o naruszeniu ich danych osobowych, w celu przekazania wymaganych informacji, zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.:
- opisu charakteru naruszenia ochrony danych osobowych;
- imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
- opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
- opisu środków zastosowanych lub proponowanych przez Administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
Ponadto nakazane zostało ww. ADO, dostosowanie operacji przetwarzania do przepisów rozporządzenia 2016/679 poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych w celu zminimalizowania ryzyka wiążącego się z przetwarzaniem danych osobowych, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych, po uprzednim przeprowadzeniu analizy ryzyka, uwzględniającej stan wiedzy technicznej, koszt wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, w terminie 90 dni od dnia doręczenia niniejszej decyzji.
co się wydarzyło ...
Po zapoznaniu się z całością materiału dowodowego zebranego w sprawie Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje:
Art. 5 rozporządzenia 2016/679 formułuje zasady dotyczące przetwarzania danych osobowych, które muszą być respektowane przez wszystkich administratorów. Zgodnie z art. 5 ust. 1 lit. f) ww. rozporządzenia, dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („poufność i integralność”). Stosownie zaś do art. 5 ust. 2 rozporządzenia 2016/679, administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).
Art. 24 ust. 1 rozporządzenia 2016/679, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie ze wskazanym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
Art. 25 ust. 1 ww. rozporządzenia 2016/679, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.
Art. 32 ust. 1 ww. rozporządzenia 2016/679, że administrator jest zobowiązany do zastosowania środków technicznych i organizacyjnych odpowiadających ryzyku naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Przepis precyzuje, że decydując o środkach technicznych i organizacyjnych należy wziąć pod uwagę stan wiedzy technicznej, koszt wdrażania, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze. Z przytoczonego przepisu wynika, że ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych, uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 ww. rozporządzenia, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Ustalenia te, w stosownym przypadku, powinny obejmować środki takie, jak pseudonimizację i szyfrowanie danych osobowych, zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego oraz regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Jakie obowiązki spoczywały na ukaranym ADO ...
- Biorąc pod uwagę w szczególności zakres przetwarzanych danych osobowych przez ADO, w celu prawidłowego wywiązania się z obowiązków nałożonych ww. przepisami rozporządzenia 2016/679, ADO był zobowiązany do podjęcia działań zapewniających właściwy poziom ochrony danych poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych, a także działań zmierzających do wymaganego zabezpieczenia wykorzystywanych systemów informatycznych. Charakter i rodzaj tych działań powinien wynikać z przeprowadzonej analizy ryzyka, w której należało zidentyfikować podatności odnoszące się do wykorzystywanych zasobów oraz wynikające z nich zagrożenia, a następnie określić adekwatne środki bezpieczeństwa. Błędne oszacowanie poziomu ryzyka uniemożliwia zastosowanie odpowiednich środków bezpieczeństwa dla danego zasobu oraz zwiększa prawdopodobieństwo jego wystąpienia. Efektem powyższego było zmaterializowanie się ryzyka, w wyniku którego nastąpiło przełamanie zabezpieczeń systemu informatycznego, wykorzystywanego przez ADO do przetwarzania danych osobowych, a następnie zaszyfrowanie przetwarzanych w nim danych z wykorzystaniem złośliwego oprogramowania.
- Jak wynika ze zgormadzonego w sprawie materiału dowodowego, ADO nie jest w stanie wykazać ani potwierdzić przeprowadzenia analizy ryzyka dla operacji przetwarzania danych osobowych przed wystąpieniem naruszenia ochrony danych osobowych. W ramach wyjaśnień ADO wskazał, że nie jest w posiadaniu dokumentacji potwierdzającej wykonanie takiej analizy, natomiast osobą odpowiedzialną za bezpieczeństwo danych osobowych zatrudniona na postawie umowy o pracę, na bieżąco analizowała m.in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych. W ocenie organu nadzorczego taki sposób działania ADO nie zapewniał należytej kontroli nad ww. procesem w kontekście zagwarantowania bezpieczeństwa uczestniczących w nim danych osobowych, jak również możliwości wykazania jego zgodności z przepisami rozporządzenia 2016/679, stosownie do zasady rozliczalności wynikającej z art. 5 ust. 2 ww. rozporządzenia.
- Jak podkreślił Wojewódzki Sąd Administracyjny w Warszawie w wyrokach z dnia 13 maja 2021 r., sygn. akt II SA/Wa 2129/20, oraz z dnia 5 października 2023 r., sygn. akt II SA/Wa 502/23, „administrator danych powinien zatem przeprowadzić analizę ryzyka i ocenić, z jakimi zagrożeniami ma do czynienia”.
- Obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, określony między innymi w art. 32 ust. 1 rozporządzenia 2016/679, jest jedną z podstaw prawnej ochrony danych osobowych wprowadzonej rozporządzeniem 2016/679. Obowiązujące przepisy prawa nie określają katalogu odpowiednich środków bezpieczeństwa, a na administratorze spoczywa obowiązek dokonania oceny w tym zakresie. Przepis ten wprowadza podejście oparte na ryzyku, wskazując jednocześnie kryteria, w oparciu o które administrator powinien dokonać wyboru odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Obok ryzyka naruszenia praw lub wolności osób fizycznych należy zatem uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania. Jak wskazał Wojewódzki Sąd Administracyjny w wyroku z dnia 5 października 2023 r., sygn. akt II SA/Wa 502/23, „organ nadzorczy nie jest zobowiązany do wskazywania Administratorowi rozwiązań technicznych i organizacyjnych, które powinien on wdrożyć, aby przetwarzanie danych osobowych odbywało się zgodnie z prawem. To zadaniem Administratora jest wprowadzenie tych środków, a następnie – jeżeli pojawi się taka konieczność – wykazanie, że przestrzega on zasad przetwarzania danych osobowych określonych w rozporządzeniu 2016/679, zgodnie z zasadą rozliczalności (art. 5 ust. 2 ww. rozporządzenia)”.
- Takie postępowanie stoi w oczywistej sprzeczności z normami sformułowanymi w treści rozporządzenia 2016/679, które na każdym etapie implementowania systemu informatycznego służącego przetwarzaniu – zarówno w fazie projektowania, wdrażania, utrzymywania czy modyfikacji – przewidują uwzględnianie związanego z tymi operacjami ryzyka naruszenia praw lub wolności osób fizycznych. W Wytycznych nr 4/2019 (str. 29) EROD wskazuje, że „ocena zagrożeń dla bezpieczeństwa danych polegająca na analizie wpływu na prawa osób fizycznych i przeciwdziałaniu zidentyfikowanym zagrożeniom”, „uwzględnianie wymogów bezpieczeństwa na jak najwcześniejszym etapie projektowania i rozwoju systemu oraz ciągła integracja i wykonywanie odpowiednich testów” czy „regularny przegląd i testowanie oprogramowania, sprzętu, systemów i usług itp. w celu wykrycia słabych punktów systemów wspomagających przetwarzanie” to jedne z kluczowych elementów uwzględniania ochrony danych w fazie projektowania i domyślnej ochrony danych.
- W ślad za wypowiedzią Wojewódzkiego Sądu Administracyjnego w Warszawie zawartą w wyroku z dnia 19 stycznia 2021 r. (sygn. akt II SA/Wa 702/20, Legalis nr 2821108) należy podkreślić, że „(…) administrator danych powinien odpowiednio zabezpieczyć dane osobowe przed ich przypadkową utratą za pomocą odpowiednich środków technicznych i organizacyjnych. Dane osobowe powinny być bowiem przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu (motyw 39 rozporządzenia 2016/679). (…) administrator danych jest odpowiedzialny nie tylko za działania swoich pracowników, ale także za przetwarzanie danych w systemie informatycznym, z którego korzysta”.
- Przywołując w tym miejscu wyjaśnienia Administratora z dnia 15 stycznia 2024 r., należy podkreślić, że argumentacja zawarta w ww. piśmie, iż to (…) zatrudniony w czasie naruszenia analizował wszelkie podatności oraz ryzyka w SPZOZ w P. w zakresie bezpieczeństwa, sugerując, iż sam fakt wykonywania przez ww. pracownika swoich obowiązków jest jednoznaczny ze spełnieniem wymagań, o których mowa powyżej, jest nie do przyjęcia. Należy bowiem podkreślić, iż to rolą Administratora jest wykazać przestrzeganie przepisów rozporządzenia 2016/679 (art. 5 ust. 2) przed organem nadzorczym. Obecnie w powyższym zakresie administrator nie jest w stanie udowodnić, że wywiązał się z obowiązków nałożonych na niego ww. przepisami.
- Niezwykle istotnym elementem dla oceny wdrożonych środków technicznych jest uwzględnienie konieczności cyklicznego wykonywania kopii zapasowych baz danych z serwerów.
- Kopie zapasowe, powinny stanowić jeden z najważniejszych obszarów dla utrzymania ciągłości działania, a w przypadku ADO zostały w ramach naruszenia ochrony danych osobowych również zaszyfrowane, .
- Należy mieć na uwadze, że ADO zobligowani są nie tylko do osiągnięcia zgodności z wytycznymi rozporządzenia 2016/679 poprzez jednorazowe wdrożenie technicznych i organizacyjnych środków bezpieczeństwa, ale także do zapewnienia ciągłości monitorowania skali zagrożeń oraz rozliczalności w zakresie poziomu i adekwatności wprowadzonych zabezpieczeń. Podkreślenia wymaga, że ww. testowanie, mierzenie i ocenianie środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, aby stanowiło realizację wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, musi być dokonywane w sposób regularny, co oznacza świadome zaplanowanie i zorganizowanie, a także udokumentowanie tego typu działań w określonych przedziałach czasowych, niezależnie od zmian w organizacji i przebiegu procesów przetwarzania danych.
- Jak wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 6 czerwca 2023 r., sygn. akt II SA/Wa 1939/22, „(…) powinność regularnego testowania środków technicznych i organizacyjnych, zabezpieczenia przetwarzania danych osobowych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w rozumieniu art. 32 ust. 1 zd. wstępne RODO, wynika wprost z brzmienia lit. d wskazanego art. 32 ust. 1, zaś powinność dokumentowania czynności w danym zakresie statuuje zasada rozliczalności (art. 5 ust. 2 RODO)”. Podobnie wypowiedział się Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 21 czerwca 2023 r., sygn. akt II SA/Wa 150/23.
- Jak bowiem wskazał Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 10 lutego 2021 r. (sygn. akt II SA/Wa 2378/20, Legalis nr 2579568), „(…) administrator danych jest odpowiedzialny za przestrzeganie wszystkich zasad przy przetwarzaniu danych osobowych (wymienionych w art. 5 ust. 1) i musi być w stanie wykazać ich przestrzeganie. Zasada rozliczalności bazuje więc na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych”. Podobnie kwestię tę zinterpretował Wojewódzki Sądu Administracyjny w Warszawie w wyroku z dnia 26 sierpnia 2020 r. (sygn. akt II SA/Wa 2826/19, Legalis nr 2480051), stwierdzając, iż „biorąc pod uwagę całość norm rozporządzenia 2016/679, podkreślić należy, że administrator ma znaczną swobodę w zakresie stosowanych zabezpieczeń, jednocześnie jednak ponosi odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Z zasady rozliczalności wprost wynika, że to administrator powinien wykazać, a zatem udowodnić, że przestrzega przepisów określonych w art. 5 ust. 1 rozporządzenia 2016/679”.
- Na Administratorze ciąży obowiązek dowodowy w zakresie wykazania, iż atakujący nie przejęli (nie skopiowali) baz danych SPZOZ w P. Mając zatem na uwadze wyjaśnienia Administratora oraz sposób i rodzaj ataku hakerskiego, jakim jest ransomware, należy stwierdzić, iż SPZOZ w P. nie wykazał w sposób niebudzący wątpliwości, że w ramach omawianej sprawy nie doszło do naruszenia poufności danych. W SPZOZ w P. przetwarzane są m.in. dane osobowe pacjentów, także takie, które należą do szczególnych kategorii danych osobowych, tj. dane dotyczące zdrowia. Brak dostępu do tych danych rodzi ryzyko ograniczonego dostępu do dokumentacji medycznej, a co za tym idzie, może znacznie utrudnić lub też nawet uniemożliwić prawidłowe wykonywanie świadczeń medycznych wobec konkretnej osoby, co w konsekwencji stwarza realne ryzyko dla zdrowia, a nawet życia pacjenta. Powyższe świadczy o tym, że Administrator nie ma obecnie kontroli nad zaszyfrowanymi danymi, tym bardziej, iż dane te nie zostały ostatecznie przez niego odzyskane. Taka sytuacja rodzi bardzo poważne ryzyka i zagrożenia dla praw lub wolności osób fizycznych, których dane były przetwarzane na zaatakowanych komputerach i (…). A w konsekwencji powoduje powstanie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, co oznacza obowiązek zawiadomienia tych osób o naruszeniu ochrony ich danych osobowych.
Ustawa o ochronie sygnalistów - Procedura zgłoszeń wewnętrznych
Wzorcowe - Standardy Ochrony Małoletnich dla podmiotów leczniczych
Wzory oświadczeń kandydatów wymagane przy zatrudnieniu ...
Materiały wykorzystane w opracowaniu
Komunikat Prezesa UODO [Dostęp: 29.08.2024r., godz.: 8:20]
Decyzja Prezesa UODO z dnia 13 września 2024 r.DKN.5131.57.2022 [Dostęp: 29.08.2024r., godz.: 8:20]