Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Szpital w Białymstoku ukarany za naruszenie RODO. Audyt cyberbezpieczeństwa nie wystarczy

08/07/2025

Audyt Cyberbezpieczeństwa, Kara Za Naruszenie Rodo, Dane Osobowe Pracowników, Audyt Rodo, Ocena Ryzyka Danych Osobowych, Ocena Ryzyka Rodo, Złośliwe Oprogramowanie,

Uniwersytecki Dziecięcy Szpital Kliniczny w Białymstoku zapłaci 66 500 zł kary za naruszenie przepisów RODO. Placówka padła ofiarą ataku złośliwego oprogramowania, a dane osobowe około 2 000 pracowników zostały zagrożone. Szpital przeprowadził audyt zgodności z ustawą o krajowym systemie cyberbezpieczeństwa, ale to nie wystarczyło – nie przeprowadzono właściwej oceny ryzyka zgodnie z wymogami RODO


Szpital w Białymstoku ukarany za naruszenie RODO. Audyt cyberbezpieczeństwa nie wystarczy

Szpital w Białymstoku ukarany za naruszenie RODO. Audyt cyberbezpieczeństwa nie wystarczy

Szpital w Białymstoku ukarany za naruszenie RODO

 

Złośliwe oprogramowanie zainfekowało infrastrukturę informatyczną Uniwersyteckiego Dziecięcego Szpitala Klinicznego im. L. Zamenhofa w Białymstoku. W wyniku incydentu doszło do naruszenia poufności i dostępności danych osobowych około 2 000 pracowników. Teraz placówka zapłaci ponad 66 000 złotych kary.

 

Cyberatak i brak zgodności z RODO – co poszło nie tak?

 

Szpital nie przeprowadził prawidłowej oceny ryzyka zgodnie z wymaganiami RODO. Administrator danych osobowych powinien przeprowadzić dwuetapową analizę tj: przeanalizować ryzyko dla praw i wolności osób fizycznych związane z przetwarzaniem danych osobowych, a następnie wdrożyć odpowiednie środki techniczne i organizacyjne, proporcjonalne do tego ryzyka.

 

Placówka jednak wadliwie oceniła potencjalne ryzyko. Nie powiązano rozpoznanych zagrożeń z charakterem, zakresem, kontekstem i celem przetwarzania danych. Szpital nie wskazał też konkretnych rozwiązań organizacyjnych i technicznych, które należało wdrożyć, by zminimalizować ryzyko.

 

Audyt z zakresu cyberbezpieczeństwa nie oznacza zgodności działań szpitala z RODO

 

Szpital przeprowadził audyt zgodności z ustawą o krajowym systemie cyberbezpieczeństwa (KSC). Nie oznacza to jednak zgodności z RODO. Ustawa KSC ma na celu ochronę infrastruktury krytycznej i ciągłości działania, podczas gdy RODO skupia się na ochronie praw i wolności osób fizycznych.

W praktyce oznacza to, że spełnienie wymogów KSC nie zwalnia z obowiązku niezależnej analizy ryzyka i wdrożenia zabezpieczeń wymaganych przez RODO.

 

Brak testów i audytów oznacza naruszenie zasady rozliczalności

Kontrola wykazała, że szpital nie przeprowadzał regularnych testów, pomiarów ani oceny skuteczności stosowanych zabezpieczeń danych osobowych. Nie był również w stanie przedstawić żadnych dowodów, że takie działania miały miejsce.

Brak udokumentowanych działań stanowi naruszenie zasady rozliczalności wynikającej z RODO. To kolejny element, który przyczynił się do nałożenia kary finansowej przez Urząd Ochrony Danych Osobowych.

 

 

Masz pytania?

Jeśli masz więcej pytań dotyczących RODO i sztucznej inteligencji- więcej informacji znajdziesz w naszym serwisie. Przejrzyj nasze zasoby!

 

Jeżeli chcesz być na bieżąco z tematyką RODO, prawa nowych technologii i AI obserwuj nas!

Facebook https://www.facebook.com/odoserwis.pl.2016/

Linkedin https://www.linkedin.com/company/odoserwis-pl/

Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl

Jeżeli chciałbyś skorzystać z opinii lub porady prawnej nie wahaj się skontaktować z nami office@jds.com.pl ; www.jds.com.pl

 

 

Audyt Cyberbezpieczeństwa, Kara Za Naruszenie Rodo, Dane Osobowe Pracowników, Audyt Rodo, Ocena Ryzyka Danych Osobowych, Ocena Ryzyka Rodo, Złośliwe Oprogramowanie,
900 tysięcy euro kary dla Solocal za brak ważnej zgody na działania marketingowe
900 tysięcy euro kary dla Solocal za brak ważnej zgody na działania marketingowe
Kradzież samochodu ujawniła luki w ochronie danych osobowych pacjentów. UODO ukarał przychodnię z Pyskowic
Kradzież samochodu ujawniła luki w ochronie danych osobowych pacjentów. UODO ukarał przychodnię z Pyskowic
125 tysięcy euro kary za wyciek danych studentów
125 tysięcy euro kary za wyciek danych studentów