.jpeg)
.jpg)
.jpg)
.jpg)
.jpg)
Zarejestruj się i uzyskaj dostęp do licznych narzędzi
Szpital w Białymstoku ukarany za naruszenie RODO. Audyt cyberbezpieczeństwa nie wystarczy
08/07/2025
Uniwersytecki Dziecięcy Szpital Kliniczny w Białymstoku zapłaci 66 500 zł kary za naruszenie przepisów RODO. Placówka padła ofiarą ataku złośliwego oprogramowania, a dane osobowe około 2 000 pracowników zostały zagrożone. Szpital przeprowadził audyt zgodności z ustawą o krajowym systemie cyberbezpieczeństwa, ale to nie wystarczyło – nie przeprowadzono właściwej oceny ryzyka zgodnie z wymogami RODO
.jpg)
Szpital w Białymstoku ukarany za naruszenie RODO. Audyt cyberbezpieczeństwa nie wystarczy
Szpital w Białymstoku ukarany za naruszenie RODO
Złośliwe oprogramowanie zainfekowało infrastrukturę informatyczną Uniwersyteckiego Dziecięcego Szpitala Klinicznego im. L. Zamenhofa w Białymstoku. W wyniku incydentu doszło do naruszenia poufności i dostępności danych osobowych około 2 000 pracowników. Teraz placówka zapłaci ponad 66 000 złotych kary.
Cyberatak i brak zgodności z RODO – co poszło nie tak?
Szpital nie przeprowadził prawidłowej oceny ryzyka zgodnie z wymaganiami RODO. Administrator danych osobowych powinien przeprowadzić dwuetapową analizę tj: przeanalizować ryzyko dla praw i wolności osób fizycznych związane z przetwarzaniem danych osobowych, a następnie wdrożyć odpowiednie środki techniczne i organizacyjne, proporcjonalne do tego ryzyka.
Placówka jednak wadliwie oceniła potencjalne ryzyko. Nie powiązano rozpoznanych zagrożeń z charakterem, zakresem, kontekstem i celem przetwarzania danych. Szpital nie wskazał też konkretnych rozwiązań organizacyjnych i technicznych, które należało wdrożyć, by zminimalizować ryzyko.
Audyt z zakresu cyberbezpieczeństwa nie oznacza zgodności działań szpitala z RODO
Szpital przeprowadził audyt zgodności z ustawą o krajowym systemie cyberbezpieczeństwa (KSC). Nie oznacza to jednak zgodności z RODO. Ustawa KSC ma na celu ochronę infrastruktury krytycznej i ciągłości działania, podczas gdy RODO skupia się na ochronie praw i wolności osób fizycznych.
W praktyce oznacza to, że spełnienie wymogów KSC nie zwalnia z obowiązku niezależnej analizy ryzyka i wdrożenia zabezpieczeń wymaganych przez RODO.
Brak testów i audytów oznacza naruszenie zasady rozliczalności
Kontrola wykazała, że szpital nie przeprowadzał regularnych testów, pomiarów ani oceny skuteczności stosowanych zabezpieczeń danych osobowych. Nie był również w stanie przedstawić żadnych dowodów, że takie działania miały miejsce.
Brak udokumentowanych działań stanowi naruszenie zasady rozliczalności wynikającej z RODO. To kolejny element, który przyczynił się do nałożenia kary finansowej przez Urząd Ochrony Danych Osobowych.
Masz pytania?
Jeśli masz więcej pytań dotyczących RODO i sztucznej inteligencji- więcej informacji znajdziesz w naszym serwisie. Przejrzyj nasze zasoby!
Jeżeli chcesz być na bieżąco z tematyką RODO, prawa nowych technologii i AI obserwuj nas!
Facebook https://www.facebook.com/odoserwis.pl.2016/
Linkedin https://www.linkedin.com/company/odoserwis-pl/
Wydawcą odoserwis.pl jest firma JDS Consulting świadcząca usługi outsourcingu Inspektora ochrony danych, doradztwa i audytu RODO; www.jds.com.pl
Jeżeli chciałbyś skorzystać z opinii lub porady prawnej nie wahaj się skontaktować z nami office@jds.com.pl ; www.jds.com.pl
- Doradztwo w zakresie ochrony danych osobowych
- Outsourcing Inspektora Ochrony Danych / IOD
- Audyt i wdrożenie NIS2 I KSC
- Doradztwo w zakresie sztucznej inteligencji/AI
.jpg)
.jpg)
.jpg)
.png)