Czy administrator odpowie za utratę dostępu do danych, gdy nie było wycieku?
Ochrona danych osobowych obejmuje zagwarantowanie ich poufności, dostępności i rozliczalności. Czy brak konkretnych procedur na wypadek ataku hakerskiego szyfrującego dane narusza RODO i może skutkować nałożeniem kary?
Pod koniec sierpnia prezes Urzędu Ochrony Danych Osobowych ukarał jeden z publicznych Zakładów Opieki Zdrowotnej kwotą 40 tys. zł za utratę dostępu do danych swoich pacjentów i pracowników. Instytucja padła bowiem ofiarą ataku typu ransomware.
To złośliwe oprogramowanie, które szyfruje dane na urządzeniach atakowanego, uniemożliwiając korzystanie z jego zasobów. Następnie hakerzy kontaktują się z ofiarą, oferując odblokowanie danych w zamian za zapłatę „okupu” – zwykle w kryptowalutach, żeby nie dało się wyśledzić odbiorcy.
UODO wymierzył karę jednak nie za samo dopuszczenie do ataku, ale za brak odpowiedniej, uprzedniej analizy ryzyka oraz działań zabezpieczających przed tego typu incydentami. W tym wypadku złośliwe oprogramowanie zaszyfrowało dane 30 tys. pacjentów i ok. 1000 pracowników ZOZ. Sam administrator nie docenił jednak powagi sytuacji, gdyż – choć powiadomił UODO i policję – to już nie poinformował osób, których dane dotyczyły. Uznał bowiem, że nie doszło do wycieku, a jedynie utracono dostęp do wspomnianych danych. Eksperci wskazują jednak, że to również stanowi naruszenie przepisów RODO.
Poufność, ale i dostępność
– Należy pamiętać, że pojęcie...
Archiwum Rzeczpospolitej to wygodna wyszukiwarka archiwalnych tekstów opublikowanych na łamach dziennika od 1993 roku. Unikalne źródło wiedzy o Polsce i świecie, wzbogacone o perspektywę ekonomiczną i prawną.
Ponad milion tekstów w jednym miejscu.
Zamów dostęp do pełnego Archiwum "Rzeczpospolitej"
ZamówUnikalna oferta