Kara dla Sanepidu w Policach za brak odpowiednich zabezpieczeń i analizy ryzyka

Prezes UODO Mirosław Wróblewski nałożył 20 tys. kary na Powiatowego Inspektora Sanitarnego w Policach za niewdrożenie odpowiednich zabezpieczeń technicznych i organizacyjnych i brak regularnego ich testowania.

Sanepid w Policach zgłosił w 2023 r., że pracownik zgubił prywatny, niezaszyfrowany i nie chroniony hasłem pendrive z danymi 4200 osób, w tym chorych na Covid, a więc danymi dotyczącymi zdrowia zebranymi do 2021 r., a także danymi z 300 postępowań administracyjnych Sanepidu.

Przedmiotowe zgłoszenie stało się dla Prezesa UODO impulsem do dokonania oceny realizacji przez administratora spoczywających na nim obowiązków wynikających z przepisów RODO. Prezes UODO przeprowadził postępowanie wyjaśniające i wszczął postępowanie administracyjne, w toku którego ustalił m.in., że administrator danych nie przeprowadzał prawidłowo analizy ryzyka i nie miał odrębnych regulacji dotyczących zarządzania zewnętrznymi nośnikami danych. Używanie ich było po prostu zakazane. Ryzyko, że pracownik jednak  z takiego nośnika skorzysta, oszacowano jako niskie i niewymagające podejmowania działań. Założenie to nie było odpowiednio testowane.

Zdarzenie to Prezes UODO zidentyfikował jako naruszenie zasady integralności i poufności (art. 5 ust. 1 lit. f) RODO) oraz zasady rozliczalności (art. 5 ust 2 RODO).

Dopiero gdy sprawą zajął się Prezes UODO, administrator sprawdził zabezpieczenia i zablokował możliwość kopiowania danych na nośniki zewnętrzne.

W decyzji Prezesa UODO przypomina, że RODO chroni dane osobowe dzięki zarządzaniu ryzykiem, które ma charakter ciągłego procesu. Administrator samodzielnie ma przeprowadzić szczegółową analizę procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. RODO nie zakłada istnienia list wymagań do spełnienia. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa.

Oznacza to, że każdy administrator musi móc udowodnić przed organem nadzorczym, że:

• wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka,
• oraz uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych.

W tej sprawie istotne jest to, że administrator, który przetwarzał dane dotyczące zdrowia z całego powiatu – przed naruszeniem ochrony danych osobowych przeprowadzał analizę ryzyka w sposób nieprawidłowy – bo zbyt ogólnikowy. W efekcie nie mógł dobrać odpowiednich do ryzyka środków bezpieczeństwa, co doprowadziło do incydentu.

Prawidłową analizę ryzyka administrator przeprowadził dopiero po zgłoszeniu Prezesowi UODO naruszenia ochrony danych osobowych. Ryzyko w obszarze przetwarzania danych osobowych na zewnętrznych nośnikach danych ocenione zostało na poziomie akceptowalnym – ale po uwzględnieniu zabezpieczeń polegających m.in. na blokadzie portów USB przed możliwością użycia prywatnych zewnętrznych nośników danych.

Prezes UODO Mirosław Wróblewski ocenił, że stwierdzone w niniejszej sprawie naruszenie przepisów RODO ma znaczną wagę i poważny charakter, jako że stwarzało wysokie ryzyko negatywnych skutków dla osób, których dane dotyczą. Nie ma dowodów, iż z danymi osobowymi przetwarzanymi na niezabezpieczonym nośniku danych nie zapoznały się osoby postronne.

Na niekorzyść administratora należy zaliczyć również długi czas trwania naruszenia przepisów RODO.

Administrator nie działał umyślnie, niemniej dopuścił się licznych zaniechań skutkujących znaczącym zwiększeniem ryzyka naruszenia poufności przetwarzanych danych, co świadczy o rażącym jego niedbalstwie i stanowi istotną okoliczność obciążającą.

Po wystąpieniu incydentu administrator podjął czynności, które niewątpliwie przyczyniły się do wzmocnienia bezpieczeństwa informacji. Dla organu nadzorczego to ważny sygnał, że administrator świadomy był swoich uchybień we wskazanym obszarze.

Zdaniem organu nadzorczego okoliczności te świadczą o tym, że administrator mógł i powinien był przewidzieć, że przyjęte przez niego rozwiązania nie zapewniają odpowiedniego stopnia bezpieczeństwa danych osobowych przetwarzanych z użyciem prywatnych nośników danych przez pracowników, jednak wadliwie przeprowadzona analiza, pociągnęła za sobą dalsze nieprawidłowości. Wynikiem postępowania przed Prezesem UODO jest więc nie tylko poprawa sposobu ochrony danych u administratora, ale także kara finansowa.

DKN.5131.3.2024