Zapraszamy do zapoznania się z dwoma przypadkami naruszenia przepisów dotyczących ochrony danych osobowych.
To pierwszy taki przypadek w Polsce, że minister RP stracił stanowisko w związku z potencjalnym[*] naruszeniem ochrony danych osobowych.
[*] organ nadzoru oraz ministerstwo zdrowia oficjalnie nie potwierdzili, że doszło do naruszenia ochrony danych osobowych.
04.08.2023 Adam Niedzielski na swoim prywatnym koncie na popularnej platformie X podał do publicznej wiadomości dane osobowe lekarza p. Piotra PXXXX wraz z informacją na jakie leki lekarz wypisał sobie receptę. Post miał 4,4 mln wyświetleń.
Publikacja była odpowiedzią na reportaż jednego z głównych serwisów informacyjnych opisujących sytuację z wystawieniem e-recept na leki psychotropowe wraz z nieprzychylnym komentarzem lekarza Piotr PXXXX, który skrytykował nowe zasady wystawiania recept tj. publicznie oświadczył, że „żadnemu pacjentowi nie dało się wystawić takiej recepty”. Z takim działaniem systemu informatycznego lekarze zmagali się od 2 sierpnia, kiedy w życie weszły przepisy ograniczające wystawienie recept na środki odrzucające i psychotropowe. Miało to ograniczyć wystawianie recept bez wizyty lekarskiej.
Minister zdrowia ma dostęp do systemu, w którym są dane prawie każdego Polaka dlatego sprawdził kto i ile wystawia takich recept. Na podstawie tych informacji postanowił opublikować post na platformie X.
Lekarz z poznańskiego szpitala, którego dane zostały opublikowane, skierował 7 sierpnia 2023 przedsądowe wezwanie do ministra zdrowia Adama Niedzielskiego żąda przeprosin i wpłaty 100 tys. zł na rzecz Polskiego Towarzystwa Opieki Paliatywnej.
Komentarz ekspertów z rynku
Zdaniem dr. Pawła Litwińskiego:
Ministerstwo Zdrowia, jako administrator systemu informatycznego ochrony zdrowia, czyli tzw. platformy P1, powinno w ciągu 72 godzin zgłosić do Urzędu Ochrony Danych Osobowych (UODO) naruszenie ochrony danych.
Co grozi ministerstwu i jego już byłemu szefowi? Zdaniem dr. Pawła Litwińskiego, partnera w kancelarii Barta Litwiński. Adam Niedzielski powinien odpowiadać za wykorzystanie swojego stanowiska do pozyskania wrażliwych danych, które następnie wykorzystał publicznie w swojej obronie. Przykładowo w Niemczech policjant dostał nawet 3 tys. euro kary tylko za wykorzystanie służbowego dostępu do systemu w celach prywatnych, bez ujawnienia danych.
Zdaniem dr. Macieja Kaweckiego:
Doszło do popełnienia przestępstwa z art. 107 ustawy o ochronie danych osobowych zagrożonych karą do 3 lat pozbawienia wolności . Zgodnie z tym artykułem kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności .
Ponadto za brak podjęcia odpowiednich działań prezes UODO może wymierzyć karę Ministerstwu Zdrowia w wysokości do 100 000 zł.
Kilka dni później tj. we wtorek ponadto, że premier Mateusz Morawiecki poinformował o dymisji z funkcji ministra zdrowia Adama Niedzielskiego .
Prezes Urzędu Ochrony Danych Osobowych podjął 8 sierpnia decyzję, że rozpocznie postępowanie wyjaśniające w sprawie ujawnienia danych Piotra PXXX.
W dniu 08.02.2023 Prezes UODO nałożył na brokera ubezpieczeniowego administracyjną karę pieniężną w wysokości 33 012 zł (liczoną jako nieujawniony do publicznej wiadomości % obrotu brokera osiągniętego w 2021 r.) za naruszenie polegające na niewdrożeniu odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz na braku weryfikacji podmiotu przetwarzającego.
Zwracamy szczególną uwagę na następujące stwierdzenia PUODO, które być może dotyczą również procesów realizowanych u Państwa:
„Poczynione w niniejszej sprawie ustalenia pozwalają przyjąć, że Administrator oraz Podmiot Przetwarzający dokonywali w niewystraczającym zakresie analizy ryzyka(…) w tym: nie przeprowadzili analizy ryzyka związanej ze znalezieniem się danych osobowych w niezabezpieczonej lokalizacji, a tymczasem jej prawidłowe przeprowadzenie pozwoliłoby na dobór odpowiednich środków bezpieczeństwa. W przypadku ww. prac podjętych przez (…) w przedmiotowej sprawie należało wziąć pod uwagę ryzyko niezamierzonej replikacji danych i zamieszczenia ich w lokalizacji dostępnej dla osób nieupoważnionych. Uwzględniwszy to ryzyko, podmioty, na które obowiązki nakładane są na podstawie art. 32 ust. 1 i 2 rozporządzenia 2016/679, mogły zadecydować np. o ustawieniu haseł dostępowych do folderów zawierających dane osobowe albo o poddaniu plików zawierających takie dane szyfrowaniu lub pseudonimizacji. Pozwoliłoby to uniknąć naruszenia ochrony danych osobowych nawet w sytuacji przypadkowego udostępnienia kopiowanych plików osobom nieuprawnionym.”
„W przedmiotowej sprawie Administrator ograniczył się do polecenia Podmiotowi Przetwarzającemu dokonania zmian w systemie zmierzających do zapewnienia dostępu do danych osobowych pracownikom pracującym zdalnie, zakładając, że Podmiot Przetwarzający uwzględni ogólne zasady działania wynikające z ww. Polityki (…) (tj. podejście oparte na ryzyku), dokona analizy ryzyka związanego z takimi działaniami i dobierze odpowiednie środki techniczne i organizacyjne mające zapewnić bezpieczeństwo tych danych. Obowiązki w tym zakresie spoczywają jednak zarówno na Administratorze, jak i na Podmiocie Przetwarzającym i fakt podejmowania działań przez jednego z nich, nie wpływa na zwolnienie drugiego z obowiązków nałożonych na nich przepisem art. 32 ust. 1 i 2 rozporządzenia 2016/679.
W sytuacji wydzielania wspólnego zasobu roboczego zawierającego repozytorium plików (a co za tym idzie: zawartych w nim danych osobowych) i udostępnienia go pracownikom w sieci lokalnej i zdalnie, wydaje się jasne, że powinny zostać przeprowadzone testy dotyczące zastosowanych środków bezpieczeństwa zarówno przed, jak i po udostępnieniu tych danych w nowej lokalizacji. Ich prawidłowe przeprowadzenie pozwoliłyby na wykrycie powstałego błędu, tj. udostępnienia niezabezpieczonego przed dostępem osób nieuprawnionych zasobu również w niewłaściwej lokalizacji, co było bezpośrednią przyczyną zaistnienia naruszenia ochrony danych osobowych.
Obowiązek przeprowadzenia tego typu testów, zgodnie z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, spoczywa zarówno na podmiocie przetwarzającym, jak i administratorze danych.
„Zarówno Administrator, jak i Podmiot Przetwarzający, powinni byli zweryfikować, czy dane osobowe zostały skutecznie udostępnione wyłącznie w zamierzonej lokalizacji, a także, czy są odpowiednio
zabezpieczone przed dostępem do nich osób nieuprawnionych. Dotychczasowa pozytywna współpraca nie może stanowić jedynej metody weryfikacji podmiotu przetwarzającego. Dotychczasowa, pozytywnie oceniana współpraca stanowić może jedynie punkt wyjścia przy dokonywaniu weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia 2016/679 i chroniło prawa osób, których dane dotyczą. (…) długotrwała współpraca stron nie poparta okresowym, systematycznym przeprowadzaniem audytów bądź inspekcji nie gwarantuje, iż podmiot przetwarzający zrealizuje w sposób prawidłowy zadania wymagane przepisami prawa oraz wynikające z zawartej umowy powierzenia.
Z powyższego płynie wniosek, że przyczyn zaistnienia przedmiotowego naruszenia należy się doszukiwać także w nieprawidłowej organizacji i zarządzaniu procesem wdrażania nowych rozwiązań w infrastrukturze informatycznej lub dokonywania w niej zmian. Należy wskazać bowiem, że Administrator na żadnym etapie wprowadzanych zmian nie prowadził nadzoru nad tym, czy zmiany te faktycznie przebiegają prawidłowo i czy przetwarzane dane osobowe są zabezpieczone przed dostępem osób nieuprawnionych (nadzór taki stanowi środek organizacyjny służący zapewnieniu bezpieczeństwu przetwarzanych danych osobowych). Jak już wspomniano we wcześniejszej części niniejszego uzasadnienia, z art. 32 ust. 1 lit. d) rozporządzenia 2016/679 wynika obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Dokonywanie przeglądów i aktualizacja wdrożonych rozwiązań są także wymogiem sformułowanym wprost w art. 24 ust. 1 rozporządzenia 2016/679, a także wynikającym z art. 25 ust. 1 rozporządzenia 2016/679, kreującego obowiązek zapewnienia ochrony prywatności w fazie projektowania (privacy by design) i nakładającego na administratora zobowiązanie do wdrożenia odpowiednich środków technicznych zarówno w fazie określania sposobów przetwarzania, jak i w fazie samego przetwarzania (przy czym należy ponownie podkreślić, że obowiązki określone w przepisach art. 24 ust. 1 i 25 ust. 1 rozporządzenia 2016/679 obciążają wyłącznie administratora). Wdrożenie przez administratora środków technicznych i organizacyjnych nie jest działaniem jednorazowym, ale powinno przybrać postać procesu, w ramach którego administrator dokonuje przeglądu i w razie potrzeby uaktualnia przyjęte wcześniej zabezpieczenia. Takiej ocenie powinny podlegać nie tylko środki techniczne, ale również organizacyjne, czyli wdrożone przez Administratora procedury dotyczące przetwarzania danych osobowych, w tym procedury dokonywania zmian w systemach informatycznych wykorzystywanych do przetwarzania danych osobowych. Regularna ocena ww. procedury, stosownie do wymogu wynikającego z art. 32 ust. 1 lit. d) rozporządzenia 2016/679, pozwoliłaby Administratorowi na weryfikację, czy procedury te nie wykazują braków, a jeśli nie, to czy taka procedura jest skuteczna, tzn. czy zapewnia, że podejmowane są właściwe działania w celu zapewnienia ochrony danych osobowych w trakcie procesu dokonywania zmian w systemie informatycznym i czy jest w ogóle przestrzegana przez osoby odpowiedzialne za przeprowadzenie tych zmian.
Podkreślić należy, że przeprowadzanie przez administratora w podmiocie przetwarzającym audytów, w tym inspekcji, należy traktować jako jeden z istotniejszych środków bezpieczeństwa, jakie powinien zastosować administrator w celu prawidłowego wywiązania się ze swoich obowiązków wynikających z art. 32 ust. 1 rozporządzenia 2016/679. Administrator powinien bowiem w czasie korzystania przez niego z usług podmiotu przetwarzającego dysponować wiedzą, czy i w jaki sposób podmiot, któremu powierzył przetwarzanie danych osobowych, spełnia wymogi określone w rozporządzeniu 2016/679.
Brak realizacji audytów (przed audytem przeprowadzonym w następstwie zaistnienia przedmiotowego naruszenia ochrony danych osobowych), w tym inspekcji, w podmiocie przetwarzającym oznacza również naruszenie przepisu art. 25 ust. 1 rozporządzenia 2016/679.
Przepis ten obliguje do wdrażania odpowiednich środków technicznych i organizacyjnych, nie tylko przy określaniu sposobów przetwarzania, ale także w czasie samego przetwarzania.
Link do całej decyzji: https://www.uodo.gov.pl/decyzje/DKN.5131.50.2021
