Generalny Inspektor Ochrony Danych Osobowych (GIODO) wszczął kontrolę z urzędu, gdy tylko serwis „Zaufana Trzecia Strona” poinformował, że w sieci publicznie dostępne są dane osobowe oraz medyczne 50 tysięcy pacjentów oraz pracowników Samodzielnego Publicznego Zakładu Opieki Zdrowotnej w Kole, w tym ich: imiona, nazwiska, numery PESEL, adresy zamieszkania i numery ubezpieczenia oraz numery kont bankowych.
Jak poinformował organ ujawniła ona liczne nieprawidłowości i niedopatrzenia, m.in. w obowiązujących w szpitalu rozwiązaniach i procedurach oraz opisujących je dokumentach.
„Poważnym błędem był brak właściwej i szybkiej reakcji na przekazaną szpitalowi informację o dostępności danych w sieci. Wobec tak poważnego wycieku natychmiastowa reakcja osób odpowiedzialnych za zarządzanie placówką jest niezbędna. (…) Z ustaleń kontrolerów GIODO wynikało również, że wdrożony w serwerowni szpitala system firewall okazał się niewystarczający, by zapobiec nieuprawnionemu dostępowi do szpitalnych danych. GIODO zalecił więc wprowadzenie w krótkim czasie środków technicznych, które zapewnią dodatkową ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń, co w przyszłości powinno uniemożliwić podobny wyciek.”
Prowadzona przy tej okazji kontrola GIODO wykazała też zaniedbania w dokumentacji związanej z przetwarzaniem danych osobowych. Braki stwierdzono np. w polityce bezpieczeństwa szpitala, która m.in. w sposób zbyt ogólny opisywała obszar przetwarzania danych, nie zawierała wyszczególnienia wszystkich zbiorów danych oraz wskazania systemów informatycznych służących do ich przetwarzania, brak też było informacji o sposobie przepływu danych między poszczególnymi systemami. Ponadto stwierdzono, że w trzech przypadkach z firmami, z którymi podpisano umowy na wykonywanie świadczeń zdrowotnych (obejmujących przeprowadzanie badań radiologicznych, tomografii komputerowej, diagnostyki laboratoryjnej i badań patomorfologicznych), nie zawarto umów powierzenia przetwarzania danych osobowych. Także instrukcja zarządzania systemem informatycznym nie zawierała wszystkich niezbędnych elementów.
Na uwagę zasługuje tutaj także fakt, że pracownik szpitala, który dowiedział się o wycieku poinformował swoich przełożonych i ABI dopiero po 7 dniach, co uniemożliwiło szybką reakcję na zaistniałe zdarzenie. GIODO zażądał w związku z tym wszczęcia postępowania dyscyplinarnego wobec osoby winnej tego opóźnienia, które uniemożliwiło szybką reakcję na wyciek. Niewątpliwe stwierdzone przez organ kontrolny powyższe nieprawidłowości były również nauczką dla ABI szpitala do którego obowiązków zgodnie z art. 36a ustawy o ochronie danych osobowych, należy zapewnianie przestrzegania przepisów o ochronie danych osobowych.
Tutaj należy zwrócić uwagę, że zgodnie z nowymi wymogami wynikającymi z Rozporządzenia Parlamentu Europejskiego I Rady (Ue) 2016/679 z dnia 27 Kwietnia 2016 r. w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (treść dostępna na naszej stronie), które wejdzie w życie 25 maja 2018 r., obowiązkiem administratora danych będzie m.in. zgłoszenie w terminie 72 godz. tego incydentu do organu ds. ochrony przetwarzania danych (obecne GIODO) oraz poinformowanie o wycieku osób, których dane osobowe zostały naruszone i może to rodzić dla nich istotne zagrożenia. Z kolei kary finansowe jakie organ będzie uprawniony nakładać mogą sięgnąć nawet 20 mln euro. Dodatkowo RODO wprowadza możliwość dochodzenia przez poszkodowanych odszkodowania przed sądami powszechnymi , wobec naruszeń związanych z ochroną ich danych osobowych.
Z tych też względów już dziś warto przygotować się do nowych wymogów wynikających z RODO, na co również zwrócił uwagę GIODO.