Do naruszenia ochrony danych doszło w 2021 r., gdy osoba nieuprawniona uzyskała dostęp do poczty elektronicznej szpitala utrzymywanej przez zewnętrznego dostawcę usług i pobrała całą zawartość skrzynki, w tym dane osobowe 224 osób. Po analizie zgłoszenia Prezes UODO wszczął postępowanie wobec administratora danych oraz podmiotu przetwarzającego.
Szpital nie zweryfikował dostawcy zgodnie z RODO
Prezes UODO uznał, że szpital nie sprawdził, czy dostawca usług rzeczywiście zapewnia odpowiednie środki techniczne i organizacyjne wymagane przez RODO. Choć podmiot przetwarzający deklarował zgodność z przepisami oraz posiadał certyfikat ISO/IEC 27001, administrator nie zweryfikował tych zapewnień ani nie zastosował własnych procedur oceny ryzyka przy wyborze dostawcy.
Urząd wskazał również, że przeprowadzona przez szpital analiza ryzyka nie obejmowała wprost dostawcy poczty elektronicznej. Co więcej, przed incydentem nie wdrożono działań ograniczających ryzyko, mimo że część z nich wynikała z wewnętrznych procedur administratora.
- Pacjent jedzie do szpitala, a przy wyjeździe czeka rachunek. Szpital nalicza opłatę za każdą godzinę
- Wynagrodzenie funkcjonariuszy policji. Jakie dodatki do uposażenia im przysługują?
- Nowe limity przyjęć na kierunki medyczne w roku akademickim 2026/2027. Ministerstwo Zdrowia chce zwiększyć liczbę miejsc
Upomnienie także dla podmiotu przetwarzającego
Upomnienie otrzymał również podmiot przetwarzający dane. UODO ustalił, że nie przeprowadzał analizy ryzyka w zakresie powierzonych danych i nie wdrożył odpowiednich środków gwarantujących bezpieczeństwo ich przetwarzania.
UODO: weryfikacja dostawcy to obowiązek administratora
Urząd przypomniał, że zgodnie z art. 28 RODO administrator może korzystać wyłącznie z podmiotów przetwarzających, które zapewniają odpowiednie gwarancje ochrony danych. Obowiązek ten nie kończy się na podpisaniu umowy – administrator powinien okresowo weryfikować dostawcę, np. poprzez audyty lub inspekcje, oraz być w stanie wykazać, że dochował należytej staranności.
Dlaczego skończyło się na upomnieniu?
Prezes UODO uznał, że w tej sprawie wystarczające będzie zastosowanie upomnienia. Wskazał, że szpital podejmował działania związane z bezpieczeństwem danych, współpracował z inspektorem ochrony danych i po incydencie wdrożył rozwiązania ograniczające ryzyko podobnych naruszeń w przyszłości. Podobnie oceniono działania naprawcze podjęte przez podmiot przetwarzający.
Inne aktualne, krajowe tematy można znaleźć TU.
- Projekt MZ: wydłużenie o dwa lata obowiązywania obecnego wykazu szpitali w systemie podstawowego szpitalnego zabezpieczenia świadczeń (PSZ)
- Endokrynologia, chirurgia naczyniowa, medycyna chorób zakaźnych ze zmianami od 1 sierpnia 2026. Rewolucja dla pacjenta?
- Nowelizacja ustawy alkoholowej. Branża ostrzega: nowe przepisy mogą uderzyć także w piwo 0,0 proc. [WYWIAD]
Specjalizuje się w tematach z pogranicza bezpieczeństwa, finansów i technologii. Publikuje w serwisach Grupy INFOR, m.in. na Dziennik.pl i Forsal.pl.
