Uniwersytecki Dziecięcy Szpital Kliniczny im. L. Zamenhofa w Białymstoku został ukarany przez Prezesa Urzędu Ochrony Danych Osobowych karą w wysokości 66 500 zł. Powodem była niewłaściwa ochrona danych osobowych pracowników i nieprawidłowa analiza ryzyka. Wszystko zaczęło się od incydentu cyberbezpieczeństwa z udziałem ransomware, który ujawnił szereg nieprawidłowości w zarządzaniu danymi.
Z tego artykułu dowiesz się…
- Jakie były przyczyny nałożenia kary 66 500 zł na szpital w Białymstoku.
- Na czym polegała nieprawidłowo przeprowadzona analiza ryzyka według UODO.
- Dlaczego cyberbezpieczeństwo nie zastępuje ochrony danych osobowych w rozumieniu RODO.
- Jakie braki proceduralne i techniczne ujawniono po ataku ransomware.
Atak ransomware ujawnia luki w zabezpieczeniach
Do incydentu doszło w wyniku przełamania zabezpieczeń informatycznych szpitala i infekcji złośliwym oprogramowaniem typu ransomware. W efekcie zablokowany został dostęp do systemów IT, co skutkowało naruszeniem poufności i dostępności danych osobowych około 2000 pracowników. Chociaż systemy przetwarzające dane pacjentów nie zostały objęte atakiem, organ nadzorczy wskazał szereg istotnych uchybień w zakresie ochrony danych osobowych.
Nierzetelna analiza ryzyka – główna przyczyna naruszenia
Prezes UODO podkreślił, że analiza ryzyka przeprowadzona przez szpital była wadliwa i nie spełniała wymagań wynikających z RODO. Przede wszystkim oceniano ryzyka z perspektywy funkcjonowania organizacji, a nie z punktu widzenia ochrony praw i wolności osób fizycznych.
Co więcej, szpital nie wskazał, które procesy przetwarzania poddano analizie, nie powiązano ich z konkretnymi zagrożeniami ani nie określono adekwatnych środków technicznych i organizacyjnych. Dokumentacja była niespójna, pełna niejasności i nie zawierała wystarczająco precyzyjnych rozwiązań.
Mylenie cyberbezpieczeństwa z ochroną danych osobowych
Szpital tłumaczył swoje działania audytem zgodności z ustawą o krajowym systemie cyberbezpieczeństwa. Tymczasem – jak zaznaczył UODO – regulacje te koncentrują się na zapewnieniu ciągłości usług, a nie na ochronie praw osób fizycznych, jak to przewiduje RODO.
Organ nadzorczy uznał, że powoływanie się wyłącznie na środki z zakresu cyberbezpieczeństwa nie może zastąpić rzetelnie przeprowadzonej analizy ryzyka zgodnej z unijnymi przepisami o ochronie danych.
Braki w procedurach i kopiach zapasowych
Szpital nie wdrożył również odpowiedniej procedury w zakresie testów odtworzeniowych oraz zabezpieczania kopii zapasowych. W konsekwencji po wystąpieniu incydentu nie udało się w pełni odtworzyć utraconych danych.
Brak regularnych testów skuteczności środków ochrony danych, ich dokumentowania oraz oceny stanowi kolejne naruszenie zasady rozliczalności i przejrzystości działań wymaganych przez art. 5 ust. 2 RODO.
![Cyberbezpieczeństwo w ochronie zdrowia: Szpitale w gotowości, AŚZ w tyle [Dane]](https://alertmedyczny.pl/wp-content/uploads/2025/01/cyberbezpieczenstwo-zagrozenie-ogolne-3-300x200.jpg)
Konsekwencje finansowe i organizacyjne
W wyniku stwierdzonych nieprawidłowości Prezes UODO nałożył na Uniwersytecki Dziecięcy Szpital Kliniczny im. L. Zamenhofa karę w wysokości 66 500 zł. W uzasadnieniu wskazano nie tylko na konkretne braki proceduralne i techniczne, ale również na poważne uchybienia w sposobie wdrażania zasad ochrony danych osobowych.
Główne wnioski
- Uniwersytecki Dziecięcy Szpital Kliniczny w Białymstoku został ukarany grzywną 66 500 zł za niedostosowanie środków ochrony danych do wymagań RODO.
- Analiza ryzyka przeprowadzona przez szpital była nieprawidłowa – oceniano zagrożenia z perspektywy organizacji, a nie praw osób fizycznych.
- Szpital nie wdrożył skutecznych procedur testowania i dokumentowania bezpieczeństwa, co utrudniło odzyskanie danych po incydencie ransomware.
- Audyt z zakresu cyberbezpieczeństwa nie zastąpił wymogów związanych z ochroną danych osobowych określonych w rozporządzeniu 2016/679.
Źródło:
- UODO
