Wskutek wycieku danych American Heart of Poland zyskano dostęp do szczegółowych danych pacjentów i pracowników. Hakerzy uzyskali dostęp do danych takich jak m.in.: dane rodziców, nazwisko rodowe matki, data urodzenia, PESEL, numer rachunku bankowego, adres zamieszkania, a nawet do informacji dotyczących zarobków lub posiadanego majątku. O wycieku spółka dowiedziała się, gdy hakerzy zażądali od niej 3 mln dolarów w zamian za nieujawnienie wykradzionych danych osobowych.

Spółka nie dbała prawidłowo o bezpieczeństwo danych medycznych.  Z ustaleń UODO wynika, że spółka dopuściła się wielu zaniedbań i dokonała niewłaściwej analizy ryzyka. Przede wszystkim oceniła poziom ochrony tylko na podstawie wewnętrznego audytu bezpieczeństwa danych.

W efekcie nie wdrożyła środków technicznych i organizacyjnych zapewniających bezpieczeństwo na odpowiednim poziomie. Ponadto przechowywała dane w chmurze, która nie była dostatecznie zabezpieczona przed atakami phishingowymi, a nawet nie przestrzegała własnych zaleceń związanych z dbaniem o bezpieczeństwo danych w pandemii.

Decyzją administracyjną UODO spółka otrzymała więc dotkliwą karę finansową. UODO zwrócił też uwagę, że analiza ryzyka bezpieczeństwa przetwarzanych danych zawsze powinna uwzględniać realne zagrożenia, a nie być jedynie pozorna – np. dokonywana wyłącznie w celu przedłużenia certyfikatu ISO/IEC 27001:2013.

Źródło: https://uodo.gov.pl/pl/138/3273

Masz pytania?

Jeśli masz więcej pytań dotyczących naruszeń przetwarzania danych, więcej informacji znajdziesz w naszym serwisie. Przejrzyj nasze zasoby.

Jeżeli chcesz być na bieżąco z tematyką RODO, prawa nowych technologii i AI obserwuj nas!

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

-----------------------------------------------------

Jeżeli chciałbyś skorzystać ze wsparcia lub porady prawnej nie wahaj się skontaktować z nami office@jds.com.pl ; www.jds.com.pl  >>>>>>>>>>> Wsparcie w przypadku naruszeń