Prezes Urzędu Ochrony Danych Osobowych, nałożył karę na Uniwersytecki Dziecięcy Szpital Kliniczny im. Ludwika Zamenhofa w Białymstoku za niewdrożenie odpowiednich środków technicznych i organizacyjnych. Decyzja została wydana w związku z incydentem w zakresie cyberbezpieczeństwa, który poskutkował zablokowaniem części zasobów placówki i utratą danych.
Jak wyjaśnia urząd, incydent polegał na przełamaniu zabezpieczeń infrastruktury informatycznej szpitala i zainfekowaniu jej złośliwym oprogramowaniem ransomware. W wyniku ataku został zablokowany dostęp do systemów informatycznych, co skutkowało naruszeniem poufności i dostępności danych osobowych ok. 2000 pracowników, w tym możliwością uzyskania do nich nieuprawnionego dostępu. Nie doszło natomiast do zajęcia systemów odpowiedzialnych za przetwarzanie danych osobowych pacjentów - czytamy na portalu Prawo.pl.
Mirosław Wróblewski, prezes UODO, przypomniał, iż kształtowanie obowiązków administratora w oparciu o przepisy rozporządzenia 2016/679 (RODO) zostało oparte na kryterium ryzyka. Projektowanie mechanizmów przetwarzania powinno odbywać się w procesie dwuetapowym. W pierwszej kolejności konieczne jest przeanalizowanie przez administratora ryzyka dla praw lub wolności osób fizycznych wynikającego z przetwarzania ich danych osobowych. Następnym etapem jest ustalenie, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić zgodność z przepisami rozporządzenia 2016/679, w tym stopień bezpieczeństwa odpowiadający temu ryzyku. W okolicznościach niniejszej sprawy, jak stwierdził prezes UODO, analiza ryzyka nie została przeprowadzona jednak w sposób prawidłowy.
Prezes UODO wyjaśnił, iż analiza przeprowadzona została na podstawie wadliwej procedury, zgodnie z którą szacowanie ryzyka możliwych zagrożeń przeprowadzono z perspektywy szpitala jako organizacji, a nie ochrony osób, których dane dotyczą.
Po drugie, szpital nie wskazał, jakie procesy przetwarzania poddawał analizie, ani nie powiązał tych procesów z rozpoznanymi zagrożeniami, podatnościami oraz ostateczną oceną ryzyka.
Po trzecie, o nierzetelnym przeprowadzeniu przez szpital analizy ryzyka świadczyć miał także opis proponowanych działań mających na celu postępowanie z ryzykiem. Organ nadzorczy uznał, iż przyjęte przez szpital dokumenty, mające świadczyć o przeprowadzonej analizie ryzyka są niespójne, pełne niejasności i nie zawierają konkretnych rozwiązań organizacyjnych i technicznych.
Wyjaśniając, jakie środki techniczne wykorzystywał do zabezpieczenia swoich systemów informatycznych, administrator powoływał się na audyt przeprowadzony pod kątem zgodności z ustawą o krajowym systemie cyberbezpieczeństwa. Akt ten koncentruje się jednak przede wszystkim na zapewnieniu bezpiecznego i niezakłóconego systemu świadczenia usług, nie zaś – jak ma to miejsce w przypadku rozporządzenia 2016/679 – na ochronie praw i wolności osób fizycznych.
Prawo.pl zwróciło uwagę, iż szpital nie wdrożył także stosownej procedury w zakresie wykonywania i dokumentowania testów odtworzeniowych, jak też nie zastosował odpowiednich zabezpieczeń tworzonych kopii zapasowych, co mogło mieć wpływ na fakt, iż po wystąpieniu incydentu szpital nie zdołał w pełni odtworzyć danych utraconych w następstwie tego zdarzenia.
W związku z powyższym, prezes UODO nałożył na szpital karę w wysokości 66 500 zł.
Przeczytaj także: „OSSP pisze do MZ w sprawie cyberbezpieczeństwa i interoperacyjności”, „Inwestycje w infrastrukturę cyfrową istotne dla 72 procent podmiotów ”
![ZUS wypłaci 80% pensji za opiekę nad chorym rodzicem [27.07.2025]](https://static.warszawawpigulce.pl/wp-content/uploads/2025/07/Senior.jpg)
