20 tys. zł kary dla sanepidu w Policach po incydencie z pendrive’em

• Prezes Urząd Ochrony Danych Osobowych nałożył 20 tys. zł kary na sanepid w Policach za naruszenie zasad RODO
• Przyczyną był zagubiony, niezabezpieczony pendrive z danymi ok. 4,2 tys. osób, w tym informacjami o stanie zdrowia
• Inspektorat nie prowadził rzetelnej analizy ryzyka ani skutecznych procedur dotyczących używania zewnętrznych nośników danych
• Naruszenie trwało długo, co UODO uznał za rażące niedbalstwo i istotną okoliczność obciążającą

Zgubiony pendrive z danymi 4200 osób

W 2023 r. jeden z pracowników sanepidu w Policach zgubił prywatny pendrive z danymi dotyczącymi 4200 osób (w tym chorych na COVID) oraz 300 postępowań administracyjnych inspektoratu.

Przenośne urządzenie nie było zaszyfrowane ani chronione hasłem, co oznacza, że jego potencjalny znalazca zyskał dostęp do danych o zdrowiu tysięcy osób oraz informacji dotyczących spraw sanepidu.

Prezes UODO uznał zdarzenie za naruszenie zasady integralności i poufności (art. 5 ust. 1 lit. f) RODO) oraz zasady rozliczalności (art. 5 ust 2 RODO). Postanowił też przyjrzeć się bliżej procedurom z zakresu ochrony danych wdrożonym i realizowanym przez powiatową jednostkę sanitarną.

W toku postępowania ustalono, że policki sanepid jako administrator danych nie przeprowadzał niezbędnych analiz ryzyka i nie posiadał regulacji dotyczących używania zewnętrznych nośników danych.

Pracownicy mieli zakaz korzystania z takich urządzeń, jednak ryzyko łamania tego zakazu nie było odpowiednio testowane.

Jak czytamy na stronie UODO, administrator sprawdził zabezpieczenia i zablokował możliwość kopiowania danych dopiero wtedy, gdy sprawą zainteresował się Urząd.

Rażące niedbalstwo jako okoliczność obciążająca

Prezes UODO uznał, że naruszenia przepisów RODO w opisywanej sprawie ma znaczną wagę i poważny charakter, ponieważ stwarzało wysokie ryzyko negatywnych skutków dla osób, których dotyczą dane.

Nie wiadomo, w czyje ręce trafił zagubiony pendrive i czy z informacjami o pacjentach (sięgającymi aż 2021 r.) nie zapoznały się osoby postronne.

Chociaż administrator danych nie działał umyślnie, na jego niekorzyść działa fakt, że naruszenie trwało przez dłuższy czas. W opinii UODO świadczy to o rażącym niedbalstwie, które zostało uznane za istotną okoliczność obciążającą.

Po wykryciu incydentu administrator podjął działania mające na celu poprawę bezpieczeństwa danych. Dla organu nadzorczego to sygnał, że sanepid dostrzegał swoje błędy.

Zdaniem Prezesa UODO administrator mógł i powinien był wcześniej przewidzieć, że stosowane rozwiązania nie zapewniają wystarczającej ochrony danych przetwarzanych przez pracowników na prywatnych nośnikach. Błędnie przeprowadzona analiza ryzyka doprowadziła do kolejnych nieprawidłowości.

Efektem postępowania UODO była więc nie tylko poprawa zabezpieczeń, ale także nałożenie kary finansowej.

Materiał chroniony prawem autorskim - zasady przedruków określa regulamin.