Prezes Urzędu Ochrony Danych Osobowych nałożył na Samodzielny Publiczny Zespół Opieki Zdrowotnej w Pajęcznie karę 40 tys. zł. W wyniku ataku hakerskiego placówka straciła dostęp do danych pacjentów i pracowników. W ocenie UODO nie były one odpowiednio chronione.

Hakerzy zaatakowali szpital w lutym 2022 r. Złośliwe oprogramowanie ransomware zaszyfrowało dane 30 tys. pacjentów i ponad tysiąca pracowników. Internetowi przestępcy domagali się okupu w kryptowalucie. Ostatecznie danych nie odzyskano. 

Szpital zawiadomił o ataku UODO i policję. Uznał jednak, że atak nie był poważny, bo dane nie wyciekły, a stały się niedostępne. Prezes UODO ustalił jednak w postępowaniu, że sprawa była istotna.

Długa lista błędów

Jak informuje UODO, dopiero po ataku szpital wezwał ekspertów, którzy wskazali luki w zabezpieczeniach i zarekomendowali zmiany dot. danych osobowych. Odbyły się też szkolenia dla pracowników z bezpieczeństwa systemów informatycznych i danych.

Jak ustalono, placówka nie miała dokumentów potwierdzających sporządzenie i aktualizowanie analizy ryzyka dla danych osobowych. "Bezpieczeństwo danych powierzono informatykowi, który na bieżąco analizował m.in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych. To w żaden sposób nie mogło zapewnić należytej kontroli nad bezpieczeństwem danych" - przekazał UODO w komunikacie. 

Szpital nie zawiadomił osób, kórych dane utracono

Według przeprowadzonego już po ataku audytu przyjęte przez placówkę z Pajęczna procedury nie były skuteczne.

"Nie mając analizy ryzyka, ZOZ popełnił błędy także po incydencie - zgłosił swój problem UODO i policji, ale nie zauważył problemu osób, których dane dotyczyły. Nie powiadomił ich, że stracił kontrolę nad danymi takimi, jak: imię i nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr PESEL, nazwa użytkownika i/lub hasło, dane dotyczące zarobków lub posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia" - zaznaczył UODO.

Oprócz nałożenia kary finansowej w wysokości 40 tys. złotych prezes UODO zalecił placówce wdrożenie w terminie 30 dni zmian zapewniających bezpieczeństwo przetwarzania danych. Nakazał też poinformowanie o zdarzeniu osób, których dane utracono.