UODO nakłada na szpital karę 66500 zł po ataku ransomware

Dodano: 30.06.2025


Według UODO, Uniwersytecki Dziecięcy Szpital Kliniczny im. L. Zamenhofa w Białymstoku nie wdrożył odpowiednich środków technicznych i organizacyjnych zgodnie z RODO

Prezes Urzędu Ochrony Danych Osobowych nałożył karę w wysokości 66 500 zł na Uniwersytecki Dziecięcy Szpital Kliniczny im. L. Zamenhofa w Białymstoku. Powodem było „niewdrożenie odpowiednich środków technicznych i organizacyjnych”. Decyzja została podjęta po ataku hakerów z wykorzystaniem złośliwego oprogramowania ransomware.

W wyniku cyberataku doszło do czasowego zablokowania systemów informatycznych oraz naruszenia poufności i dostępności danych osobowych około 2000 pracowników. Chociaż nie doszło do przejęcia systemów zawierających dane pacjentów, incydent ujawnił poważne niedociągnięcia w zabezpieczeniach.

Niewłaściwa analiza ryzyka i brak adekwatnych procedur

Kontrola UODO wykazała, że szpital nie przeprowadził rzetelnej analizy ryzyka, co jest podstawowym wymogiem wynikającym z RODO. Procedura szacowania zagrożeń została przeprowadzona z perspektywy interesów organizacji, a nie ochrony praw osób, których dane dotyczą. Ponadto analiza nie wskazywała konkretnych procesów przetwarzania danych, nie powiązano ich z ryzykami ani podatnościami, co uniemożliwiało właściwe dobranie zabezpieczeń.

Dokumentacja przedstawiona przez szpital jako potwierdzenie wykonanej analizy była niespójna, ogólnikowa i nie zawierała jednoznacznych środków zaradczych. UODO uznał, że przedstawione działania nie spełniają wymagań wynikających z art. 32 RODO w zakresie odpowiednio dobranych środków bezpieczeństwa.

– Projektowanie mechanizmów przetwarzania powinno odbywać się w procesie dwuetapowym – zwrócił uwagę w uzasadnieniu kary Prezes UODO Mirosław Wróblewski.

– W pierwszej kolejności konieczne jest przeanalizowanie przez administratora ryzyka dla praw lub wolności osób fizycznych wynikającego z przetwarzania ich danych osobowych. Następnym etapem jest ustalenie, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić zgodność z przepisami rozporządzenia 2016/679, w tym stopień bezpieczeństwa odpowiadający temu ryzyku.

Różnica między cyberbezpieczeństwem a ochroną danych osobowych

Szpital powoływał się na audyt zgodności z ustawą o krajowym systemie cyberbezpieczeństwa, jednak – jak podkreślił organ nadzorczy – ustawa ta koncentruje się na ciągłości świadczenia usług, a nie na ochronie danych osobowych. Ochrona danych zgodna z RODO wymaga podejścia ukierunkowanego na prawa i wolności osób fizycznych.

Dodatkowo stwierdzono, że szpital nie posiadał procedur wykonywania i dokumentowania testów odtworzeniowych oraz nie stosował skutecznych zabezpieczeń dla kopii zapasowych. W konsekwencji, po ataku ransomware, nie udało się w pełni odzyskać utraconych danych. Szpital nie wykazywał również regularnego testowania i oceny skuteczności wdrożonych zabezpieczeń, co narusza zasadę rozliczalności oraz obowiązek zapewnienia przejrzystości i skuteczności działań ochronnych.

– Wyjaśniając jakie środki techniczne wykorzystywał do zabezpieczenia swoich systemów informatycznych, administrator powoływał się na audyt przeprowadzony pod kątem zgodności z ustawą o krajowym systemie cyberbezpieczeństwa. Akt ten koncentruje się jednak przede wszystkim na zapewnieniu bezpiecznego i niezakłóconego systemu świadczenia usług, nie zaś ­– jak ma to miejsce w przypadku rozporządzenia 2016/679 – na ochronie praw i wolności osób fizycznych – uzasadnił Prezes UODO.