Zdrowie

Zawsze to oni rozdają mandaty, a tym razem sami słono zapłacą. Dane chorych na COVID wyniesione z urzędu

opublikowano: 11:20

Choć pracownik Sanepidu nie miał prawa kopiować danych z komputera w urzędzie, to jednak to zrobił, a potem nośnik ze skopiowanymi informacjami zgubił (Fot. Fratria/zdjęcie ilustracyjne)

Sanepid przez lata kojarzył się obywatelom z kontrolami, mandatami i surowym podejściem do przepisów. Tym razem jednak role się odwróciły. Instytucja, która słynie z pilnowania innych, sama została ukarana – i to za poważne naruszenie zasad ochrony danych osobowych.

Prezes Urzędu Ochrony Danych Osobowych Mirosław Wróblewski nałożył 20 tys. zł kary na Powiatowego Inspektora Sanitarnego w Policach. Powód? Rażące zaniedbania w zabezpieczeniu danych wrażliwych tysięcy obywateli.

Zgubiony pendrive i 4200 osób „na widelcu”

Sprawa zaczęła się w 2023 roku, gdy Sanepid w Policach zgłosił naruszenie ochrony danych. Jeden z pracowników zgubił prywatny pendrive, który nie był zaszyfrowany ani nie był chroniony hasłem, a zawierał dane około 4200 osób, w tym informacje o stanie zdrowia (m.in. dotyczące Covid-19). Nośnik zawierał także informacje z 300 postępowań administracyjnych. Gdzie trafił pendrive – nie wiadomo. I właśnie, to jest jeden z najpoważniejszych problemów w całej sprawie.

„U nas to się nie zdarzy” – czyli analiza ryzyka na oko

Postępowanie Prezesa UODO wykazało, że Sanepid nie prowadził rzetelnej analizy ryzyka, nie posiadał odrębnych procedur dotyczących nośników zewnętrznych, ograniczył się do… zakazu używania pendrive’ów, uznając, że ryzyko ich użycia jest „niskie”.

Jak się okazało – było to myślenie życzeniowe. Zakaz istniał na papierze, ale nie był ani weryfikowany, ani testowany w praktyce. Efekt? Pracownik złamał zakaz, skorzystał z prywatnego nośnika, a później go zgubił.

Reakcja dopiero po fakcie

Dopiero po interwencji UODO administrator przeprowadził prawidłową analizę ryzyka i wdrożył realne zabezpieczenia, czyli zablokował porty USB, uniemożliwiając kopiowanie danych na prywatne nośniki. Prezes UODO nie miał wątpliwości: doszło do naruszenia podstawowych zasad RODO.

Choć Sanepid nie działał umyślnie, organ nadzorczy uznał, że dopuścił się rażącego niedbalstwa, a naruszenie miało: długotrwały charakter i było obarczone wysokim poziom ryzyka dla osób, których dane dotyczą, zwłaszcza że chodziło o dane zdrowotne.

Kara nie tylko finansowa

Choć 20 tys. zł nie jest kwotą, która zachwieje budżetem instytucji publicznej, UODO jasno daje do zrozumienia: RODO to nie formalność, a zarządzanie ryzykiem musi być procesem ciągłym, a nie jednorazową deklaracją. W tej sprawie kara finansowa ma być nie tylko sankcją, ale też sygnałem ostrzegawczym dla innych instytucji publicznych.

źr. wPolsce24 za UODO.gov.pl