Przejdź do treści
Strona główna » Blog » Utrata dostępu do danych to też naruszenie

Utrata dostępu do danych to też naruszenie

Kiedy rozmawiam z Klientami jasne jest dla nich, że utrata poufności danych osobowych jest naruszeniem. Kiedy jednak pojawia się sytuacja, w której dane nie wpadły w niepowołane ręce, wydaje się to nie stanowić dla nich istotnego problemu. Ten jednak istnieje i jest jak najbardziej realny, co pokazuje przykład Samodzielnego Publicznego ZOZ w Pajęcznie.

Kara dla Samodzielnego Publicznego ZOZ w Pajęcznie

Placówka została ukarana przez Prezesa UODO karą pieniężną w wysokości 40.000 zł. Tłem naruszenia jest w tym przypadku atak ransomware, w wyniku którego zaszyfrowane zostały dane osobowe 30.000 pacjentów i ponad 1.000 pracowników podmiotu. ZOZ zawiadomił o tym fakcie UODO oraz Policję. Stwierdził jednak, że atak nie miał poważnych skutków, bo dane nie wyciekły, a zostały wyłącznie zaszyfrowane.

Prezes UODO nie zgodził się z tą oceną i wskazał na brak analizy ryzyka oraz podjęcie działań mających zapobiec zagrożeniu dopiero po ataku. Zwrócił także uwagę na to, że placówka nie poinformowała o naruszeniu dotkniętych nim osób, a zakres danych, do których utracono dostęp jest dość szeroki. UODO wskazuje, że były to imię i nazwisko, imiona rodziców, datę urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr PESEL, nazwę użytkownika i/lub hasło, dane dotyczące zarobków lub posiadanego majątku, nazwisko rodowe matki, serię i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia.

I rzeczywiście, gdyby dane wyciekły (choć jak słusznie wskazuje UODO nie można wykluczyć, że cyberzbóje skopiowali sobie dane), sprawa byłaby poważniejsza. Warto jednak zaznaczyć, że już sama utrata dostępu do danych osobowych pacjentów może rodzić poważne skutki, ponieważ dostęp do tych informacji jest kluczowy do prawidłowego leczenia. Więcej na temat tej sytuacji przeczytasz tutaj.

Czym jest naruszenie ochrony danych osobowych?

Wycieki danych osobowych bywają spektakularne i dobrze niosą się po mediach. Naruszenie poufności to jednak tylko jedna z możliwości okoliczności, które towarzyszą naruszeniu. ENISA wskazuje w swojej metodologii oceny naruszeń cztery przykłady:

  • utratę poufności – nie tylko w wyniku wycieku danych, ale też przez wysłanie danych do omyłkowego adresata, wydanie dokumentacji medycznej niewłaściwej osobie, przypadkowa publikacja nie tego dokumentu, który miał być opublikowany itd.;
  • utratę integralności – np. nieprawidłowa aktualizacja bazy danych lub zmiana danych w systemie (tym gorzej, jeżeli jest nieodwracalna);
  • utratę dostępu – nie tylko zaszyfrowanie w wyniku ataku ransomware, ale też zagubienie pendrive’u z danymi, kradzież laptopa, zgubienie lub zniszczenie dokumentów itd.;
  • wynik działania w złej wierze – wszelkie działania celowe, które są związane z naruszeniem ochrony danych osobowych, np. ujawnienie danych przez pracownika lub wykorzystanie ich w jakimś celu.

Każdy incydent wymaga uwagi

Nawet jeżeli na pierwszy rzut oka wydaje się, że nie stało się nic poważnego, nie oznacza to, że jest tak w rzeczywistości. Utrata poufności danych zagnieździła się już na dobre w świadomości jako potencjalne zagrożenie. Warto jednak pamiętać o skutkach także innych okoliczności naruszenia. Utrata dostępu do danych może nie spowodować problemu tu i teraz. Możliwe, że da się te dane nawet stopniowo odtworzyć. Problem rozwinie się jednak, gdy będą potrzebne, a nie będzie jak się do nich dostać. W tym momencie uwidocznione zostaną skutki naruszenia oraz ich wpływ na prawa i wolności osoby nim dotkniętej – te mogą być naprawdę dotkliwe.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *