Proste to RODO w medycynie w oświacie w firmie

Wdrożenie RODO w firmie / w szkole / w podmiocie medycznym

Wdrożenie RODO w firmie / w oświacie / w medycynie

Dokumentacja RODO dla firmy, dla podmiotów medycznych, przychodni, szpitali, lekarzy, dla placówek oświatowych. Pełnienei funkcji Inspektora Ochrony Danych w firmach, w podmiotach medycznych, w szkołach. Szkolenia z zakresu cyberbezpieczeństwa oraz ochrony danych osobowych. Audyt Bezpieczeństwa Informacji KRI. Dofinansowania dla samorządów, dla podmiotów medycznych na cyberbezpieczeństwo.

Brak bieżących aktualizacji systemu oraz wyłączenie antywirusa

Brak bieżących aktualizacji systemu oraz wyłączenie antywirusa

Brak bieżących aktualizacji systemu oraz wyłączenie antywirusa – jako elementy, które zadecydowały o wydaniu Decyzji UODO z dnia 9 października 2024r., (DKN.5131.1.2021), nakładającej karę administracyjną w wysokości 353.589,00 zł na Administratora Danych Osobowych oraz karę administracyjną w wysokości 9.822,00 zł na Podmiot Przetwarzający świadczący usługi IT.

Atak był, dane odzyskano ...

Za co więc ta kara ...

Uchybienia stwierdzone w odniesieniu do Administratora Danych Osobowych:

  • cyt.: „(…) PUODO ustalił, że administrator danych nie zastosował odpowiednich środków technicznych i organizacyjnych, które zminimalizowałyby ryzyko dla danych. A stało się to dlatego, że wbrew wskazaniom RODO, nie przeprowadził odpowiedniej analizy ryzyka. W tej sytuacji ryzyko to należało łączyć z możliwością wykorzystania złośliwego oprogramowania. Jedną z kluczowych metod zapobiegania takim atakom jest używanie aktualnego oprogramowania dla wszystkich elementów infrastruktury informatycznej. Czego firma nie zrobiła, gdyż takiego zagrożenia nie zidentyfikowała.(…)”.
  • cyt.: „(…) kara jest też za: niezweryfikowanie, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO chroniło prawa osób, których dane dotyczą (pkt I b) sentencji decyzji); nieprawidłowe zawiadomienie osób, których dane dotyczą (pkt I c) sentencji decyzji).(…)”.
  • cyt.: „(…) Administrator nie wypełnił też wynikającej z RODO zasady rozliczalności (art. 5 ust. 2 rozporządzenia 2016/679) tak przed, jak i po incydencie.(…)”.
  • cyt.: „(…) Administrator wskazywał, że zawinił człowiek (czynnik ludzki), ale, jak sam przyznał, przeprowadził tylko dwa szkolenia z zakresu ochrony danych. A tylko jedno przed zdarzeniem. To za mało, jeśli administrator uważa, że „czynnik ludzki” stwarza w jego organizacji zagrożenie dla danych.(…)”.
  • cyt.: „(…) PUODO dopatrzył się też uchybień ze strony Administratora w zakresie zawiadomienia swoich byłych, jak i obecnych pracowników o fakcie naruszenia ochrony ich danych osobowych. (…)”

Ustalenia odnoszące się do Podmiotu Przetwarzającego:

  • cyt.: „(…) Prezes UODO zauważył też odpowiedzialność wspólników spółki cywilnej, której administrator powierzył przetwarzanie danych. Wskazał, że nie udzieliła ona administratorowi pomocy w wywiązywaniu się przez niego z obowiązku wdrożenia adekwatnych środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych. Pomoc ta powinna polegać na poinformowaniu go o braku właściwych zabezpieczeń serwera wykorzystywanego przez niego w procesach przetwarzania danych osobowych, niezależnie od tego czy skutkiem tego braku było jego wykorzystanie przez sprawców ataku ransomware i – tak jak w przedmiotowej sprawie – zaistnienie naruszenia ochrony danych osobowych, czy też nie. Podmiot przetwarzający zaniechał na przestrzeni lat  informowania Administratora o występujących w oprogramowaniu serwera podatnościach (podczas gdy jedna z nich została z powodzeniem wykorzystana przez sprawców przestępnego działania) oraz o konieczności przeprowadzenia aktualizacji systemu operacyjnego do możliwie najnowszej wersji, bądź zastosowania innych, nowszych rozwiązań logicznych.

Oprogramowanie antywirusowe ...

Jak praktyka pokazuje, nie tylko istotne jest jego posiadania, równie ważnymi elementami systemu bezpieczeństwa jest to, w jaki sposób zostało ono skonfigurowane, i nie chodzi tu tylko i wyłącznie o sam fakt tego, czy automatycznie przeprowadzana jest aktualizacja baz sygnatur wirusów. Istotne jest także to, czy stworzony został poprawny schemat konfiguracji oprogramowania. Podobnie jak to, czy istnieją mechanizmy weryfikujące poprawność konfiguracji. Skończywszy natomiast na weryfikacji zakresu uprawnień użytkowników urządzeń końcowych, jeśli chodzi o konfigurowalność oprogramowania antywirusowego

Systemy ze wsparciem producenckim ...

Warto także uświadomić sobie dwa fakty. Pierwszym z nich jest to, iż korzystanie z oprogramowania, jakie objęte jest aktualnym wsparciem producenta, nie zawsze oznacza, iż użytkowane jest oprogramowanie w najwyższej rekomendowanej wersji. Istotnym bowiem obowiązkiem jest nie tylko weryfikowanie tego, czy faktycznie dany system posiada takie wsparcie producenckie, ale równie istotne jest wykonywanie stosownych jego aktualizacji, bądź poprawne jego skonfigurowanie, w taki sposób, iż proces zostanie zautomatyzowany. Uwaga jednak, pamiętać należy o tym, iż administrator nie może przerzucić na użytkownika końcowego aplikacji obowiązków związanych z wdrażaniem stosownych środków organizacyjnych i technicznych, to jego obowiązkiem jest ich wdrożenie, i testowanie.

Korzystasz z systemu Windows 10 ...

W tym miejscu należy przypomnieć administratorom, iż wsparcie producenta dla aplikacji systemowej Windows 10 kończy się 10 października 2025r. Czasu może wydawać się sporo, jednak warto już teraz dokonać oceny sprzętu, z jakiego korzysta organizacja, pod kątem tego, czy w rzeczywistości spełnia on techniczne minimalne wymagania, jakie producent określił dla kolejnej wersji systemu operacyjnego Windows 11.

Ankiety weryfikacyjne w obszarze stosowanych rozwiązań IT

Materiały źródłowe