Twoja prywatność jest dla nas ważna

Nasze strony wykorzystują mechanizmy między innymi takie jak cookies (ciasteczka), które służą m.in. do zapewnienia optymalnej obsługi podczas wizyty na naszych stronach. Powyższe mechanizmy mogą być wykorzystywane przez nas jak i przez naszych partnerów. Część z nich jest niezbędna do prawidłowego działania serwisu, w tym zapewnienia niezbędnego poziomu bezpieczeństwa, pozostałe (które możesz kontrolować) są wykorzystywane do:

obsługi dodatkowych funkcjonalności usprawniających działanie naszych stron,

analizy tego, w jaki sposób korzystasz z naszej strony

marketingu bezpośredniego,

udostępniania funkcji mediów społecznościowych.

Kliknij „Akceptuję i przechodzę do strony”, aby wyrazić zgodę na przetwarzanie przez nas i naszych partnerów Twoich danych w powyższych celach.

Pamiętaj, że wyrażenie zgody jest dobrowolne, a wyrażoną zgodę możesz w każdej chwili cofnąć, możesz też wycofać zgodę na przetwarzanie Twoich danych tylko w niektórych celach. Jeżeli chcesz dowiedzieć się więcej lub chcesz przeprowadzić konfigurację szczegółową - możesz tego dokonać za pomocą „Ustawień zaawansowanych”.

Więcej informacji na temat wykorzystywania narzędzi zewnętrznych na naszych stronach znajdziesz w Polityce cookies.

Ustawienia zaawansowane

Przetwarzamy informacje pozyskane przy wykorzystaniu technologii cookies wyłącznie w celach wymienionych poniżej. Część z tych informacji jest niezbędna dla działania naszego serwisu, w pozostałym zakresie możesz skonfigurować swoje preferencje w zakresie poszczególnych celów, poprzez zaznaczenie stosownej zgody przy każdym z nich. Możesz też wyrazić zgodę na wszystkie cele poprzez wybranie klawisza „Akceptuję wszystko i przechodzę do serwisu”

Niezbędne

Zawsze aktywne

Mechanizmy o charakterze niezbędnym są wymagane do prawidłowego działania naszego serwisu. Bez nich część przygotowanych dla Ciebie funkcjonalności nie będzie działać poprawnie lub nie będzie działać wcale. Te mechanizmy są konieczne do funkcjonowania naszego serwisu, dlatego są zawsze aktywne (nie możesz ich wyłączyć).

Zgadzam się na Funkcjonalne

Mechanizmy funkcjonalne są wykorzystywane przez dodatkowe funkcjonalności serwisu. Możesz z nich z nich zrezygnować, ale w takim przypadku korzystanie z części funkcjonalności serwisu będzie utrudnione lub wręcz niemożliwe.

Zgadzam się na ciasteczka Analityczne i statystyczne

Mechanizmy analityczne pomagają nam zrozumieć w jaki sposób użytkownicy poruszają się po naszym serwisie, a także które strony serwisu cieszą się największą popularnością. Dzięki tym mechanizmom jesteśmy w stanie lepiej przygotowywać nowe funkcjonalności naszego serwisu oraz optymalizować działanie już istniejących. Informacje zawarte w przedmiotowych mechanizmach mogą być przetwarzane także przez naszych partnerów (Google LLC, Microsoft).

Zgadzam się na ciasteczka Marketingowe

Mechanizmy reklamowe są wykorzystywane przez nas oraz naszych partnerów do budowania kontentu reklamowego w naszym serwisie – lista partnerów może ulegać zmianie, jej aktualną wersję zawsze znajdziesz w tym miejscu. Więcej informacji o wykorzystywanych przez nas narzędziach zewnętrznych znajdziesz w naszej Polityce cookies.

Nasi partnerzy:

Google

UODO nakłada na szpital karę 66500 zł po ataku ransomware

Dodano: 30.06.2025

Według UODO, Uniwersytecki Dziecięcy Szpital Kliniczny im. L. Zamenhofa w Białymstoku nie wdrożył odpowiednich środków technicznych i organizacyjnych zgodnie z RODO

Prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości 66 500 zł na Uniwersytecki Dziecięcy Szpital Kliniczny im. L. Zamenhofa w Białymstoku. Powodem było „niewdrożenie odpowiednich środków technicznych i organizacyjnych”. Decyzja została podjęta po ataku hakerów z wykorzystaniem złośliwego oprogramowania ransomware.

W wyniku cyberataku doszło do czasowego zablokowania systemów informatycznych oraz naruszenia poufności i dostępności danych osobowych około 2000 pracowników. Chociaż nie doszło do przejęcia systemów zawierających dane pacjentów, incydent ujawnił poważne niedociągnięcia w zabezpieczeniach.

Niewłaściwa analiza ryzyka i brak adekwatnych procedur

Kontrola UODO wykazała, że szpital nie przeprowadził rzetelnej analizy ryzyka, co jest podstawowym wymogiem wynikającym z RODO. Procedura szacowania zagrożeń została przeprowadzona z perspektywy interesów organizacji, a nie ochrony praw osób, których dane dotyczą. Ponadto analiza nie wskazywała konkretnych procesów przetwarzania danych, nie powiązano ich z ryzykami ani podatnościami, co uniemożliwiało właściwe dobranie zabezpieczeń.

Dokumentacja przedstawiona przez szpital jako potwierdzenie wykonanej analizy była niespójna, ogólnikowa i nie zawierała jednoznacznych środków zaradczych. UODO uznał, że przedstawione działania nie spełniają wymagań wynikających z art. 32 RODO w zakresie odpowiednio dobranych środków bezpieczeństwa.

– Projektowanie mechanizmów przetwarzania powinno odbywać się w procesie dwuetapowym – zwrócił uwagę w uzasadnieniu kary Prezes UODO Mirosław Wróblewski.

– W pierwszej kolejności konieczne jest przeanalizowanie przez administratora ryzyka dla praw lub wolności osób fizycznych wynikającego z przetwarzania ich danych osobowych. Następnym etapem jest ustalenie, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić zgodność z przepisami rozporządzenia 2016/679, w tym stopień bezpieczeństwa odpowiadający temu ryzyku.

Różnica między cyberbezpieczeństwem a ochroną danych osobowych

Szpital powoływał się na audyt zgodności z ustawą o krajowym systemie cyberbezpieczeństwa, jednak – jak podkreślił organ nadzorczy – ustawa ta koncentruje się na ciągłości świadczenia usług, a nie na ochronie danych osobowych. Ochrona danych zgodna z RODO wymaga podejścia ukierunkowanego na prawa i wolności osób fizycznych.

Dodatkowo stwierdzono, że szpital nie posiadał procedur wykonywania i dokumentowania testów odtworzeniowych oraz nie stosował skutecznych zabezpieczeń dla kopii zapasowych. W konsekwencji, po ataku ransomware, nie udało się w pełni odzyskać utraconych danych. Szpital nie wykazywał również regularnego testowania i oceny skuteczności wdrożonych zabezpieczeń, co narusza zasadę rozliczalności oraz obowiązek zapewnienia przejrzystości i skuteczności działań ochronnych.

– Wyjaśniając jakie środki techniczne wykorzystywał do zabezpieczenia swoich systemów informatycznych, administrator powoływał się na audyt przeprowadzony pod kątem zgodności z ustawą o krajowym systemie cyberbezpieczeństwa. Akt ten koncentruje się jednak przede wszystkim na zapewnieniu bezpiecznego i niezakłóconego systemu świadczenia usług, nie zaś – jak ma to miejsce w przypadku rozporządzenia 2016/679 – na ochronie praw i wolności osób fizycznych – uzasadnił Prezes UODO.

Czytaj także: Jak chronić dane medyczne? Pobierz bezpłatny poradnik