Ochrona danych osobowych osób fizycznych powinna być podstawą analizy ryzyka

Prezes UODO Mirosław Wróblewski nałożył karę w wysokości 66 500 PLN na Uniwersytecki Dziecięcy Szpital Kliniczny im. L. Zamenhofa w Białymstoku za niewdrożenie odpowiednich środków technicznych i organizacyjnych.

Opis okoliczności sprawy

Decyzja została wydana w związku z incydentem bezpieczeństwa, który polegał na przełamaniu zabezpieczeń infrastruktury informatycznej Szpitala i zainfekowaniu jej złośliwym oprogramowaniem ransomware. W wyniku ataku został zablokowany dostęp do systemów informatycznych, co skutkowało naruszeniem poufności i dostępności danych osobowych ok. 2000 pracowników w tym możliwością uzyskania do nich nieuprawnionego dostępu. Nie doszło natomiast do zajęcia systemów odpowiedzialnych za przetwarzanie danych osobowych pacjentów.

Brak rzetelnie przeprowadzonej analizy ryzyka

Ukształtowanie obowiązków administratora w oparciu o przepisy rozporządzenia 2016/679 (RODO) zostało oparte na kryterium ryzyka. Projektowanie mechanizmów przetwarzania powinno odbywać się w procesie dwuetapowym. W pierwszej kolejności konieczne jest przeanalizowanie przez administratora ryzyka dla praw lub wolności osób fizycznych wynikającego z przetwarzania ich danych osobowych. Następnym etapem jest ustalenie, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić zgodność z przepisami rozporządzenia 2016/679, w tym stopień bezpieczeństwa odpowiadający temu ryzyku.

W okolicznościach niniejszej sprawy analiza ryzyka nie została przeprowadzona jednak w sposób prawidłowy.

Po pierwsze, analiza przeprowadzona została na podstawie wadliwej procedury, zgodnie z którą, szacowanie ryzyka możliwych zagrożeń przeprowadzono z perspektywy Szpitala, jako organizacji, a nie z perspektywy ochrony osób, których dane dotyczą.

Po drugie, Szpital nie wskazał jakie procesy przetwarzania poddawał analizie, ani nie powiązał tych procesów z rozpoznanymi zagrożeniami, podatnościami oraz ostateczną oceną ryzyka. Dla zapewnienia odpowiedniego poziomu ochrony nie wystarczy bowiem bardzo ogólne wskazanie potencjalnych zagrożeń i prawdopodobieństwa ich wystąpienia, ale konieczne jest ich powiązanie z charakterem, zakresem, kontekstem i celem przetwarzania danych osobowych w danej organizacji.

Po trzecie, o nierzetelnym przeprowadzeniu przez Szpital analizy ryzyka świadczy także opis proponowanych działań mających na celu postępowanie z ryzykiem. Organ nadzorczy uznał, że przyjęte przez Szpital dokumenty, mające świadczyć o przeprowadzonej analizie ryzyka są niespójne, pełne niejasności, i nie zawierają konkretnych rozwiązań organizacyjnych i technicznych skorelowanych, jak już wskazano powyżej, z odpowiednio skonkretyzowanymi zagrożeniami.

Cyberbezpieczeństwo to nie to samo co ochrona danych osobowych

Wyjaśniając jakie środki techniczne wykorzystywał do zabezpieczenia swoich systemów informatycznych, administrator powoływał się na audyt przeprowadzony pod kątem zgodności z ustawą o krajowym systemie cyberbezpieczeństwa. Akt ten koncentruje się jednak przede wszystkim na zapewnieniu bezpiecznego i niezakłóconego systemu świadczenia usług, nie zaś ­– jak ma to miejsce w przypadku rozporządzenia 2016/679 – na ochronie praw i wolności osób fizycznych.

Istotne jest również, że szpital nie wdrożył stosownej procedury w zakresie wykonywania i dokumentowania testów odtworzeniowych, a także nie zastosował odpowiednich zabezpieczeń tworzonych kopii zapasowych, co mogło mieć wpływ na fakt, że po wystąpieniu incydentu Szpital nie zdołał w pełni odtworzyć danych utraconych w następstwie tego zdarzenia.

Regularne testowanie i dokumentowanie

Brak regularnego testowania, mierzenia i oceniania przez Szpital skuteczności technicznych i organizacyjnych środków bezpieczeństwa danych osobowych to kolejna niezgodność z przepisami o ochronie danych, którą stwierdził organ nadzorczy. Administrator nie był w każdym razie w stanie wykazać jakiegokolwiek udokumentowania przeprowadzania tego rodzaju przeglądów bezpieczeństwa, co pozostaje nie tylko w sprzeczności z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679, ale także wyklucza przejrzystość podejmowanych działań zaradczych.

DKN.5131.48.2022