16 stycznia 2025 r. Prezes Urzędu Ochrony Danych Osobowych opublikował plan kontroli sektorowych na bieżący rok. Obejmuje on m.in. podmioty przetwarzające dane o stanie zdrowia, a także placówki, które przetwarzają dane osobowe dzieci. Zakres prowadzonych kontroli może okazać się bardzo szeroki i wnikliwy.
Zgodnie z art. 78 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, kontrolę w zakresie przestrzegania przepisów o ochronie danych osobowych prowadzi się zgodnie z zatwierdzonym przez Prezesa UODO planem kontroli lub na podstawie uzyskanych przez Prezesa Urzędu informacji lub w ramach monitorowania przestrzegania stosowania RODO. Plan kontroli sektorowych na dany rok pojawia się zwyczajowo w styczniu i zawsze budzi dużo emocji. Organ nadzorczy wskazuje w nim kategorie podmiotów objętych kontrolą, ale także jej merytoryczny zakres.
Kto został objęty planem kontroli UODO na 2025 r.?
1. Podmioty przetwarzające dane o stanie zdrowia w zakresie zapewnienia bezpieczeństwa danych osobowych. Chociaż nie zostały wymienione przykładowe kategorie placówek objętych planem kontroli, to możemy wnioskować, że będą to przede wszystkim podmioty wykonujące działalność leczniczą - takie jak:
- szpitale,
- przychodnie,
- indywidualne i grupowe praktyki lekarskie,
- apteki,
- laboratoria diagnostyczne.
Wybór tych podmiotów do planu kontroli nie jest przypadkowy, a jej zakres może być bardzo szeroki. Po pierwsze, dane osobowe przetwarzane przez te podmioty mają w ogromnej mierze charakter wrażliwy (dane dotyczące zdrowia należą do tzw. szczególnych kategorii danych osobowych i objęte są specjalnych reżimem prawnym wynikającym z art. 9 RODO). Przypadkowe upublicznienie takich danych może być bardzo dotkliwe dla osób, których dane dotyczą, dlatego też ich ochrona jest szczególnie ważna. Po drugie, w ostatnim roku doszło do wielu naruszeń w obszarze danych medycznych. Po trzecie, podmioty, które przetwarzają dane o zdrowiu, stają się coraz częściej obiektami ataków hakerskich ze względu na wagę takich danych oraz krytyczną konieczność posiadania do nich dostępu. Hakerzy doskonale zdają sobie sprawę, jak cenne są to dane i wykorzystują ten fakt do wymuszania na takich podmiotach okupu.
W ostatnim czasie najbardziej medialne były wycieki danych w:
- ALAB Laboratoria – w listopadzie 2023 r. hakerzy przeprowadzili atak na dane ALAB-u za pomocą oprogramowania typu ransomware. Takie oprogramowanie blokuje dostęp do systemów komputerowych zawierających dane osobowe i wymusza zapłacenie okupu za przywrócenie jego dostępu. ALAB odmówił zapłacenia okupu, co skłoniło hakerów do upublicznienia kilkudziesięciu tysięcy rekordów z danymi osobowymi, które miało miejsce na przełomie 2023 i 2024 r. Obecnie toczy się postępowanie przed Prezesem UODO w sprawie tego naruszenia;
- DCG Centrum Medyczne Sp. z o.o. – w marcu 2024 r. placówka medyczna ogłosiła, że poprzez dostawcę jej oprogramowania komputerowego (medycznego) doszło do wycieku takich danych pacjentów jak m.in. imię i nazwisko, PESEL, dane adresowe i dane kontaktowe, informacje o umówionych wizytach (dane pacjenta, dane lekarza wraz z jego specjalizacją oraz data i godzina rezerwacji), dane o stanie zdrowia pacjentów zawarte na wizytach medycznych oraz wystawionych e-Dokumentów - recepty, skierowania, zwolnienia oraz dane użytkowników/pracowników - imię, nazwisko, dane kontaktowe). Tutaj także trwa postępowanie przed Prezesem UODO.
W 2024 r. Prezes UODO nałożył także kilka kar na podmioty z sektora medycznego za naruszenia, które miały miejsce w latach poprzednich. Kary otrzymały:
- Szpital Powiatowy we Wrześni za niezgłoszenie faktu naruszenia administrowanych przez siebie danych bez zbędnej zwłoki do Prezesa UODO oraz niezawiadomienie na czas osoby, której dane dotyczą o naruszeniu. Jedna z pacjentek szpitala dostała dokumentację medyczną innej osoby. Dokumentacja zawierała imię, nazwisko, datę urodzenia, numer PESEL oraz dane dotyczące zdrowia. Szpital tłumaczył się, że o zdarzeniu nie wiedział, dlatego nie zgłosił incydentu. Prezes UODO podkreśla, że przypadkowe ujawnienie danych osobowych nawet jednej zidentyfikowanej osobie może prowadzić do zwiększenia skali naruszenia i tym samym powstania ryzyka naruszenia praw lub wolności osoby, której dane dotyczą. Kara wyniosła 29.648 zł;
- Samodzielny Publiczny ZOZ w Pajęcznie za utratę dostępu do danych pacjentów i pracowników. Placówka medyczna doświadczyła ataku hakerskiego w lutym 2022 r., w wyniku którego złośliwe oprogramowanie typu „ransomware” zaszyfrowało dane osobowe 30 tys. pacjentów i ponad tysiąca pracowników. ZOZ zawiadomił o tym UODO i Policję, ale uznał, że atak nie był poważny, ponieważ dane nie wyciekły, a jedynie stały się niedostępne. Audyt przeprowadzony po ataku wykazał, że procedury ZOZ nie były adekwatne do ryzyk dla przetwarzanych danych osobowych. Prezes UODO nałożył na podmiot karę finansową w wysokości 40.000 zł.
- American Heart od Poland - za naruszenie ochrony danych osobowych polegające na uzyskaniu nieuprawnionego dostępu grupy hakerskiej do zasobów informatycznych (dysków sieciowych) Spółki oraz na zainstalowaniu w systemie informatycznym Spółki oprogramowania typu „ransomware”, w wyniku czego doszło do utraty dostępności oraz poufności danych osobowych przetwarzanych przez Spółkę w systemie. Spółka uzyskała potwierdzenie naruszenia poufności danych poprzez wgląd do strony tzw. darknetu, przy użyciu adresu podanego przez grupę hakerską. Rozpowszechnionych zostało ponad 21.000 danych pacjentów, jak i pracowników Spółki. Kara wyniosła 1.440.549 zł.