Artykuły eksperckie

TL;DR: Prezes UODO nałożył 66 500 zł kary na szpital nie za sam atak ransomware ale za fundamentalne braki w analizie ryzyka i brak udokumentowanych testów bezpieczeństwa. Decyzja DKN.5131.48.2022 to materiał, z którego dowiesz się, jakich błędów unikać, by zapewnić zgodność z RODO i realne bezpieczeństwo danych. Kluczem jest ocena ryzyka z perspektywy pacjenta/pracownika, a nie tylko organizacji.

Atak ransomware to tylko objaw. Prawdziwa przyczyna kary leży znacznie głębiej.

W styczniu 2020 roku złośliwe oprogramowanie ransomware sparaliżowało systemy informatyczne jednego ze szpitali, szyfrując dane i naruszając poufność informacji o blisko dwóch tysiącach pracowników. Jednak decyzja Prezesa Urzędu Ochrony Danych Osobowych, która zapadła później, nie skupia się jedynie na samym ataku.

UODO potraktował ten incydent jako symptom znacznie poważniejszej choroby toczącej organizację – systemowego zaniedbania fundamentalnych obowiązków administratora danych. Wśród zaszyfrowanych informacji znalazły się dane powszechnie uważane za wrażliwe, w tym numery PESEL czy wręcz dane szczególnej kategorii zgodnie z RODO czyli informacje o przynależności do związków zawodowych, co tylko podniosło wagę sprawy.

Sprawdź również: RODO w placówce medycznej – o czym musisz pamiętać?

Za co dokładnie szpital dostał karę od UODO?

Prezes UODO w swojej decyzji precyzyjnie wypunktował całą kaskadę naruszeń. Administrator złamał art. 32 RODO, ponieważ nie wdrożył środków technicznych i organizacyjnych, które odpowiadałyby skali i charakterowi ryzyka. To zaniechanie wynikało bezpośrednio z pogwałcenia art. 25 RODO, czyli braku uwzględnienia ochrony danych już w fazie projektowania procesów i systemów. Oba te uchybienia doprowadziły do naruszenia filarów RODO, zapisanych w art. 5 – złamania zasad integralności, poufności, a przede wszystkim rozliczalności. To właśnie ta ostatnia zasada stała się gwoździem do trumny w tej sprawie.

Sprawdź również: DPIA – ocena skutków dla ochrony danych

Jak UODO ocenia prawidłowość analizy ryzyka? Błąd nr 1: Zła perspektywa.

Najcięższy zarzut dotyczył wadliwie przeprowadzonej analizy ryzyka. Szpital popełnił kardynalny błąd, oceniając zagrożenia głównie z perspektywy własnych interesów – strat finansowych czy wizerunkowych. Tymczasem rozporządzenie RODO nakazuje administratorowi przyjąć zupełnie inną optykę.

Jak wskazuje Prezes UODO w punkcie 52 decyzji, matryca ryzyka szpitala koncentrowała się na skutkach dla organizacji, a nie na potencjalnej szkodzie, dyskryminacji czy utracie kontroli, jakich mogli doznać pacjenci i pracownicy. Prawidłowa analiza musi odpowiadać na pytanie: ,,Jakie jest ryzyko naruszenia praw i wolności konkretnego człowieka?”, a nie ,,Ile nasza organizacja może na tym stracić?”.

Czy brak dokumentacji z testów bezpieczeństwa to naruszenie RODO? Błąd nr 2: Brak dowodów.

Szpital twierdził, że testował swoje zabezpieczenia. Jednak w świecie zgodności z RODO obowiązuje pewna żelazna reguła: jeśli czegoś nie udokumentowałeś, to tego nie zrobiłeś. Nie tylko samo przetwarzanie danych osobowych powinno być rozliczalne ale także same działania prewencyjne administratora. Brak archiwizowanych raportów i sformalizowanych procedur z regularnych testów – czy to penetracyjnych, czy odtworzeniowych kopii zapasowych – sprawił, że organ uznał te działania za niebyłe. Zasada rozliczalności wymaga, by administrator był w stanie w każdej chwili wykazać, że jego systemy są nie tylko wdrożone, ale i regularnie weryfikowane pod kątem bezpieczeństwa i skuteczności zabezpieczeń. Tego właśnie zabrakło.

Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?

Czego uczy nas audyt po ataku? Konkretne luki w zabezpieczeniach.

Decyzja UODO odsłania też w swojej decyzji wyniki poincydentalnego audytu. Problemy zaczęły się od dopuszczenia zdalnego dostępu do wewnętrznych zasobów z prywatnych, często niezabezpieczonych komputerów pracowników. Sytuację pogarszał brak jakiejkolwiek kontroli nad instalowanym oprogramowaniem oraz urządzeniami podłączanymi przez USB. Całość uzupełniał krajobraz nieaktualizowanych systemów operacyjnych i brak narzędzi do monitoringu systemów, co sprawiło, że atakujący mogli działać w infrastrukturze szpitala przez dłuższy czas, pozostając niewykrytymi.

Ile wynosi kara RODO dla podmiotu publicznego i od czego zależy jej wysokość?

Warto zauważyć, że ustawa o ochronie danych osobowych wprowadza specjalny próg kar dla podmiotów sektora publicznego, który wynosi 100 000 zł. To znacznie niższa kwota niż miliony euro grożące podmiotom komercyjnym. Proces miarkowania kary przez UODO jest jednak w pełni transparentny. Organ wziął pod uwagę m.in. długi czas trwania naruszenia i wagę przetwarzanych danych, ale także późniejsze, choć niewystarczające, działania naprawcze podjęte przez szpital.

Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?

Ochrona danych osobowych – Kancelaria After Legal

Ta decyzja to nie jedynie historią jednego incydentu. To uniwersalna lekcja dla każdej organizacji. W tym miejscu, każdy menedżer i Inspektor Ochrony Danych powinien zadać sobie serię niewygodnych pytań. Czy nasza analiza ryzyka rzeczywiście skupia się na człowieku, którego dane chronimy? Czy potrafimy w każdej chwili przedstawić twarde dowody na regularne testy kluczowych zabezpieczeń? Czy nasza polityka pracy zdalnej nie tworzy przypadkiem autostrady dla cyberprzestępców? Odpowiedzi na te pytania zdecydują, czy kolejna decyzja UODO nie będzie dotyczyła właśnie nas. Zespół Kancelarii After Legal już od lat zajmuje się wspieraniem Klientów w sferze ochrony danych osobowych. Nasze działania koncentrują się na różnych płaszczyznach, co daje nam możliwość zapewniania kompleksowego wsparcia prawnego. Kluczem dla sprawnego funkcjonowania organizacji jest też wypracowanie kompletnych, jednoznacznych i bezpiecznych wytycznych pozwalających pracownikom na zarządzanie danymi osobowymi klientów firmy.