Kontrole UODO w 2025 r. w instytucjach publicznych i podmiotach medycznych
Prawo20 lutego, 2025

Kontrole UODO w 2025 r. w instytucjach publicznych i podmiotach medycznych

16 stycznia 2025 r. Prezes Urzędu Ochrony Danych Osobowych opublikował plan kontroli sektorowych na bieżący rok. Obejmuje on m.in. podmioty przetwarzające dane o stanie zdrowia, a także placówki, które przetwarzają dane osobowe dzieci. Zakres prowadzonych kontroli może okazać się bardzo szeroki i wnikliwy.

Zgodnie z art. 78 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, kontrolę w zakresie przestrzegania przepisów o ochronie danych osobowych prowadzi się zgodnie z zatwierdzonym przez Prezesa UODO planem kontroli lub na podstawie uzyskanych przez Prezesa Urzędu informacji lub w ramach monitorowania przestrzegania stosowania RODO. Plan kontroli sektorowych na dany rok pojawia się zwyczajowo w styczniu i zawsze budzi dużo emocji. Organ nadzorczy wskazuje w nim kategorie podmiotów objętych kontrolą, ale także jej merytoryczny zakres.

Kto został objęty planem kontroli UODO na 2025 r.?

1. Podmioty przetwarzające dane o stanie zdrowia w zakresie zapewnienia bezpieczeństwa danych osobowych. Chociaż nie zostały wymienione przykładowe kategorie placówek objętych planem kontroli, to możemy wnioskować, że będą to przede wszystkim podmioty wykonujące działalność leczniczą - takie jak:

  • szpitale,
  • przychodnie,
  • indywidualne i grupowe praktyki lekarskie,
  • apteki,
  • laboratoria diagnostyczne.

Wybór tych podmiotów do planu kontroli nie jest przypadkowy, a jej zakres może być bardzo szeroki. Po pierwsze, dane osobowe przetwarzane przez te podmioty mają w ogromnej mierze charakter wrażliwy (dane dotyczące zdrowia należą do tzw. szczególnych kategorii danych osobowych i objęte są specjalnych reżimem prawnym wynikającym z art. 9 RODO). Przypadkowe upublicznienie takich danych może być bardzo dotkliwe dla osób, których dane dotyczą, dlatego też ich ochrona jest szczególnie ważna. Po drugie, w ostatnim roku doszło do wielu naruszeń w obszarze danych medycznych. Po trzecie, podmioty, które przetwarzają dane o zdrowiu, stają się coraz częściej obiektami ataków hakerskich ze względu na wagę takich danych oraz krytyczną konieczność posiadania do nich dostępu. Hakerzy doskonale zdają sobie sprawę, jak cenne są to dane i wykorzystują ten fakt do wymuszania na takich podmiotach okupu.

W ostatnim czasie najbardziej medialne były wycieki danych w:

  • ALAB Laboratoria – w listopadzie 2023 r. hakerzy przeprowadzili atak na dane ALAB-u za pomocą oprogramowania typu ransomware. Takie oprogramowanie blokuje dostęp do systemów komputerowych zawierających dane osobowe i wymusza zapłacenie okupu za przywrócenie jego dostępu. ALAB odmówił zapłacenia okupu, co skłoniło hakerów do upublicznienia kilkudziesięciu tysięcy rekordów z danymi osobowymi, które miało miejsce na przełomie 2023 i 2024 r. Obecnie toczy się postępowanie przed Prezesem UODO w sprawie tego naruszenia;
  • DCG Centrum Medyczne Sp. z o.o. – w marcu 2024 r. placówka medyczna ogłosiła, że poprzez dostawcę jej oprogramowania komputerowego (medycznego) doszło do wycieku takich danych pacjentów jak m.in. imię i nazwisko, PESEL, dane adresowe i dane kontaktowe, informacje o umówionych wizytach (dane pacjenta, dane lekarza wraz z jego specjalizacją oraz data i godzina rezerwacji), dane o stanie zdrowia pacjentów zawarte na wizytach medycznych oraz wystawionych e-Dokumentów - recepty, skierowania, zwolnienia oraz dane użytkowników/pracowników - imię, nazwisko, dane kontaktowe). Tutaj także trwa postępowanie przed Prezesem UODO.

W 2024 r. Prezes UODO nałożył także kilka kar na podmioty z sektora medycznego za naruszenia, które miały miejsce w latach poprzednich. Kary otrzymały:

  • Szpital Powiatowy we Wrześni za niezgłoszenie faktu naruszenia administrowanych przez siebie danych bez zbędnej zwłoki do Prezesa UODO oraz niezawiadomienie na czas osoby, której dane dotyczą o naruszeniu. Jedna z pacjentek szpitala dostała dokumentację medyczną innej osoby. Dokumentacja zawierała imię, nazwisko, datę urodzenia, numer PESEL oraz dane dotyczące zdrowia. Szpital tłumaczył się, że o zdarzeniu nie wiedział, dlatego nie zgłosił incydentu. Prezes UODO podkreśla, że przypadkowe ujawnienie danych osobowych nawet jednej zidentyfikowanej osobie może prowadzić do zwiększenia skali naruszenia i tym samym powstania ryzyka naruszenia praw lub wolności osoby, której dane dotyczą. Kara wyniosła 29.648 zł;
  • Samodzielny Publiczny ZOZ w Pajęcznie za utratę dostępu do danych pacjentów i pracowników. Placówka medyczna doświadczyła ataku hakerskiego w lutym 2022 r., w wyniku którego złośliwe oprogramowanie typu „ransomware” zaszyfrowało dane osobowe 30 tys. pacjentów i ponad tysiąca pracowników. ZOZ zawiadomił o tym UODO i Policję, ale uznał, że atak nie był poważny, ponieważ dane nie wyciekły, a jedynie stały się niedostępne. Audyt przeprowadzony po ataku wykazał, że procedury ZOZ nie były adekwatne do ryzyk dla przetwarzanych danych osobowych. Prezes UODO nałożył na podmiot karę finansową w wysokości 40.000 zł.
  • American Heart od Poland - za naruszenie ochrony danych osobowych polegające na uzyskaniu nieuprawnionego dostępu grupy hakerskiej do zasobów informatycznych (dysków sieciowych) Spółki oraz na zainstalowaniu w systemie informatycznym Spółki oprogramowania typu „ransomware”, w wyniku czego doszło do utraty dostępności oraz poufności danych osobowych przetwarzanych przez Spółkę w systemie. Spółka uzyskała potwierdzenie naruszenia poufności danych poprzez wgląd do strony tzw. darknetu, przy użyciu adresu podanego przez grupę hakerską. Rozpowszechnionych zostało ponad 21.000 danych pacjentów, jak i pracowników Spółki. Kara wyniosła 1.440.549 zł.

Chcesz dowiedzieć się więcej?

Już dziś obejrzyj nagranie eksperckiego szkolenia "Plan kontroli sektorowych Prezesa UODO na 2025 r. – jak się przygotować na kontrolę?", które poprowadziła mec. Marlena Sakowska- Baryła - profesor Uniwersytetu Łódzkiego, dr hab. nauk prawnych, radca prawny, ceniony ekspert ds. ochrony danych osobowych.

2. Podmioty, które przetwarzają dane dzieci w zakresie przetwarzania ich wizerunku, gdy wymagana jest zgoda wyrażona przez rodziców lub opiekunów prawnych. Również ten zakres kontroli nie powinien dziwić. Od 15 sierpnia 2024 r. egzekwowane są tzw. standardy ochrony małoletnich, czyli tworzone przez podmioty, w których przebywają dzieci, zasady mające na celu zwiększenie ich bezpieczeństwa - zarówno w aspekcie fizycznym, jak i formalnym. Ochrona wizerunku dzieci jest zagadnieniem szczególnie ważnym z kilku powodów. Po pierwsze, w czasach wszechobecnych mediów społecznościowych masowo publikuje się zdjęcia dzieci przy okazji różnego rodzaju wydarzeń (konkursów szkolnych, wycieczek, kronik szkolnych, ulotek itp.), bardzo często bez odpowiednich zgód rodziców, a nawet bez informowania ich o tym fakcie. Po drugie, sam Prezes UODO w ostatnim czasie wielokrotnie podkreślał wagę tego zagadnienia organizując webinary w tym temacie i publikując poradniki oraz broszury uświadamiające zarówno samych rodziców, jak i nauczycieli, dyrektorów szkół a także inne podmioty o zasadach ochrony wizerunku małoletnich. Administratorzy danych przetwarzający dane osobowe dzieci powinni zadbać przede wszystkim o kwestie formalne związane z wykorzystaniem ich wizerunku, czyli m.in. o:

- ustalenie czy wykorzystanie wizerunku dzieci jest z punktu widzenia ADO niezbędne, a jeśli tak, to w jakim zakresie;

- pozyskiwanie poprawnie sformułowanych zgód od rodziców na wykorzystanie wizerunku dzieci (taka zgoda powinna być wyrażona dobrowolnie, bez przymusu, musi być precyzyjna i napisana jasnym językiem. Ponadto powinna wskazywać na cel wykorzystania wizerunku, np. promocja działalności organizacji, oraz szczegółowy sposób jego wykorzystania, ze wskazaniem miejsc publikacji. Ważne jest również określenie warunków wykorzystania wizerunku, takich jak podpisanie zdjęcia imieniem dziecka, kadrowanie czy edycja. Zgoda powinna dotyczyć konkretnego podmiotu i oznaczonego czasu, oraz być wyrażona przed opublikowaniem zdjęcia lub nagrania);

- wdrożenie skutecznych procedur i narzędzi do zarządzania takimi zgodami (weryfikowanie czy wizerunek jest wykorzystywany zgodnie z zakresem zgody, usuwanie wizerunku w przypadku wycofania zgody lub jej wygaśnięcia, itp.);

- zadbanie o odpowiednią ochronę dzieci, których rodzice nie wyrazili zgody na wykorzystanie wizerunku, jeśli dane zdjęcie ma charakter grupowy oraz wnikliwe analizowanie zdjęć zbiorczych, gdzie wizerunek osoby stanowi jedynie szczegół jakiejś większej całości (np. imprezy masowej, krajobrazu, itp.).

Wśród podmiotów, które mogą spodziewać się kontroli w tym zakresie, są w szczególności:

  • szkoły;
  • przedszkola i żłobki;
  • domy kultury;
  • kluby sportowe;
  • organizacje pozarządowe.

3. Administratorzy danych w zakresie realizacji obowiązku z art. 33 ust. 5 RODO, polegającego na dokumentowaniu wszelkich naruszeń ochrony danych osobowych, (w tym w szczególności okoliczności naruszenia ochrony danych osobowych, jego skutków oraz podjętych działań zaradczych). Co ważne, Prezes UODO nie zawęził pod żadnym względem katalogu podmiotów w tym punkcie. Oznacza to, że kontrola może dotknąć każdego administratora danych - niezależnie od tego, w jakim działa sektorze, jakiej jest wielkości i jakie dane przetwarza oraz na jaką skalę. Zgodnie z art. 5 ust. 2 RODO administratorzy danych są zobowiązani do wykazania, że przestrzegają przepisów w zakresie ochrony danych osobowych. A obowiązek dokumentowania naruszeń wpisuje się w tę zasadę rozliczalności. Realizacja przez ADO tego zadania jest z punktu widzenia Prezesa UODO wręcz kluczowa. To, w jaki sposób administrator dokumentuje występujące u niego naruszenia, jak bardzo wnikliwie bada jego przyczyny i skutki, a także jakie podejmuje działania następcze niwelujące skutki naruszenia oraz zapobiegające podobnym naruszeniom w przyszłości, w jasny sposób pokazuje organowi nadzorczemu poziom rzetelności, z jakim dany administrator podchodzi do ochrony danych osobowych. Administratorzy przygotowując się na ewentualną kontrolę muszą zadbać, aby prowadzony przez nich rejestr naruszeń był kompletny, wnikliwy oraz aktualizowany. Warto także, aby przy każdym naruszeniu powstał z niego wewnętrzny raport, który w kompleksowy sposób opisze rodzaj zdarzenia, okoliczności jego zaistnienia, bezpośrednie i pośrednie przyczyny, sposób postępowania przy wystąpieniu naruszenia oraz działania następcze i naprawcze podjęte przez ADO.

Chcesz dowiedzieć się więcej?

Już dziś obejrzyj nagranie eksperckiego szkolenia "Plan kontroli sektorowych Prezesa UODO na 2025 r. – jak się przygotować na kontrolę?", które poprowadziła mec. Marlena Sakowska- Baryła - profesor Uniwersytetu Łódzkiego, dr hab. nauk prawnych, radca prawny, ceniony ekspert ds. ochrony danych osobowych.

4. Organy, które przetwarzają dane osobowe w Wielkoskalowych Systemach Unii Europejskiej, w tym przetwarzanie danych osobowych SIS/VIS na podstawie przepisów ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczpospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym, aktów wykonawczych oraz przepisów Unii Europejskiej. To kontynuacja trwających od kilku lat kontroli UODO w tym obszarze.

Publikowane co roku plany kontroli sektorowych w zakresie ochrony danych osobowych budzą zawsze wiele emocji i motywują administratorów danych do audytowania, weryfikowania oraz ulepszania wszelkich procedur i dokumentacji związanej ze wskazanymi w planie kontroli obszarami przetwarzania danych osobowych. To zawsze bardzo aktywny czas dla inspektorów ochrony danych, którzy wspierają administratorów w tym zakresie. Warto przygotować się do ewentualnej kontroli z odpowiednim wyprzedzeniem i z odpowiednią pomocą merytoryczną.

Opracowanie:
Alicja Plichta
Product Manager LEX Ochrona Danych Osobowych

Wypełnij formularz i uzyskaj bezpłatny dostęp do nagrania

Back To Top