Forsal logo

UODO: Szpital i podmiot przetwarzający z upomnieniami po wycieku danych 224 osób

Ten tekst przeczytasz w 2 minuty
46 minut temu
szpital, nfz, zabieg
Szpital nie zweryfikował dostawcy zgodnie z RODO/Shutterstock
Prezes Urzędu Ochrony Danych Osobowych upomniał specjalistyczny szpital w Sosnowcu za niewłaściwą weryfikację podmiotu przetwarzającego dane oraz niewłaściwą analizę ryzyka. Sprawa dotyczy wycieku danych osobowych 224 osób po włamaniu na skrzynkę e-mail utrzymywaną przez zewnętrznego dostawcę usług.

Do naruszenia ochrony danych doszło w 2021 r., gdy osoba nieuprawniona uzyskała dostęp do poczty elektronicznej szpitala utrzymywanej przez zewnętrznego dostawcę usług i pobrała całą zawartość skrzynki, w tym dane osobowe 224 osób. Po analizie zgłoszenia Prezes UODO wszczął postępowanie wobec administratora danych oraz podmiotu przetwarzającego.

Szpital nie zweryfikował dostawcy zgodnie z RODO

Prezes UODO uznał, że szpital nie sprawdził, czy dostawca usług rzeczywiście zapewnia odpowiednie środki techniczne i organizacyjne wymagane przez RODO. Choć podmiot przetwarzający deklarował zgodność z przepisami oraz posiadał certyfikat ISO/IEC 27001, administrator nie zweryfikował tych zapewnień ani nie zastosował własnych procedur oceny ryzyka przy wyborze dostawcy.

Urząd wskazał również, że przeprowadzona przez szpital analiza ryzyka nie obejmowała wprost dostawcy poczty elektronicznej. Co więcej, przed incydentem nie wdrożono działań ograniczających ryzyko, mimo że część z nich wynikała z wewnętrznych procedur administratora.

Upomnienie także dla podmiotu przetwarzającego

Upomnienie otrzymał również podmiot przetwarzający dane. UODO ustalił, że nie przeprowadzał analizy ryzyka w zakresie powierzonych danych i nie wdrożył odpowiednich środków gwarantujących bezpieczeństwo ich przetwarzania.

UODO: weryfikacja dostawcy to obowiązek administratora

Urząd przypomniał, że zgodnie z art. 28 RODO administrator może korzystać wyłącznie z podmiotów przetwarzających, które zapewniają odpowiednie gwarancje ochrony danych. Obowiązek ten nie kończy się na podpisaniu umowy – administrator powinien okresowo weryfikować dostawcę, np. poprzez audyty lub inspekcje, oraz być w stanie wykazać, że dochował należytej staranności.

Dlaczego skończyło się na upomnieniu?

Prezes UODO uznał, że w tej sprawie wystarczające będzie zastosowanie upomnienia. Wskazał, że szpital podejmował działania związane z bezpieczeństwem danych, współpracował z inspektorem ochrony danych i po incydencie wdrożył rozwiązania ograniczające ryzyko podobnych naruszeń w przyszłości. Podobnie oceniono działania naprawcze podjęte przez podmiot przetwarzający.

Inne aktualne, krajowe tematy można znaleźć TU.

Copyright
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję
Źródło: UODO
Oliwia Zielińska
oprac. Oliwia Zielińska

Specjalizuje się w tematach z pogranicza bezpieczeństwa, finansów i technologii. Publikuje w serwisach Grupy INFOR, m.in. na Dziennik.pl i Forsal.pl.

Zobacz wszystkie artykuły tego autoraUODO: Szpital i podmiot przetwarzający z upomnieniami po wycieku danych 224 osób »
Zapisz się na newsletter
Zapraszamy na newsletter Forsal.pl zawierający najważniejsze i najciekawsze informacje ze świata gospodarki, finansów i bezpieczeństwa.

Zapisując się na newsletter wyrażasz zgodę na otrzymywanie treści reklam również podmiotów trzecich

Administratorem danych osobowych jest INFOR PL S.A. Dane są przetwarzane w celu wysyłki newslettera. Po więcej informacji kliknij tutaj