Szpital musi sprawdzić zewnętrzny podmiot pod kątem RODO
Jak poinformował urząd, Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych, nałożył upomnienie na szpital specjalistyczny w Sosnowcu za brak weryfikacji podmiotu przetwarzającego pod kątem zapewnienia wystarczających gwarancji bezpieczeństwa przetwarzania danych osobowych zgodnego z RODO. Administrator został upomniany również za to, że nie przeprowadził właściwej analizy ryzyka przetwarzania danych osobowych za pomocą poczty elektronicznej.

W komunikacie przekazano, że sprawa rozpoczęła się w 2021 r., gdy osoba nieuprawniona uzyskała dostęp do poczty elektronicznej administratora utrzymywanej na serwerach zewnętrznego dostawcy usługi – w tym przypadku podmiotu przetwarzającego. Na skutek włamania do poczty elektronicznej osoba nieuprawniona pobrała z niej całą jej zawartość, w tym dane osobowe 224 osób.
Zobacz procedurę w LEX: Powierzenie przetwarzania danych osobowych >
Brak działań dla minimalizacji ryzyka
Po otrzymaniu zgłoszenia naruszenia ochrony danych osobowych prezes UODO przeanalizował okoliczności sprawy, w tym sposób realizacji obowiązków administratora, m.in. w zakresie właściwego zabezpieczania danych. Na podstawie uzyskanych wyjaśnień organ nadzorczy wszczął postępowanie administracyjne w celu ustalenia, czy administrator oraz podmiot przetwarzający naruszyli swoje obowiązki wynikające z przepisów o ochronie danych osobowych. Podmiot przetwarzający oświadczył, że stosuje środki bezpieczeństwa spełniające wymogi RODO oraz uzyskał stosowną certyfikację ISO/IEC 27001 w zakresie bezpieczeństwa informacji. Oświadczył także, że stosowane przez niego środki techniczne i organizacyjne są adekwatne do rodzaju powierzonych mu danych osobowych.
Czytaj też w LEX: Dokumentacja prowadzona na podstawie ustawy o krajowym systemie cyberbezpieczeństwa jako dowód zgodności lub źródło odpowiedzialności z tytułu RODO >
Przed incydentem naruszenia ochrony danych osobowych, zgłoszonym następnie prezesowi UODO, administrator przeprowadził analizę ryzyka. Nie podjął jednak działań mających na celu minimalizację ryzyka, w tym nawet tych określonych w przeprowadzonej analizie. Prezes UODO stwierdził, iż administrator nie zastosował się do własnej procedury oceny ryzyka przy wyborze podmiotu przetwarzającego. Natomiast podmiot przetwarzający, jak wykazano, nie przeprowadzał analizy ryzyka w celu zapewnienia bezpieczeństwa przetwarzania powierzonych danych osobowych. O niezgodności z RODO stanowił brak możliwości zapewnienia gwarancji - wdrożenia odpowiednich środków technicznych i organizacyjnych.
Czytaj też w LEX: Ochrona prywatności w systemie e-zdrowia >
Jak przypomniano, zgodnie z art. 28 ust. 1 administrator jest zobowiązany do korzystania jedynie z podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Obowiązek ten dotyczy zarówno starannego wyboru podmiotu przetwarzającego przez administratora, jak i weryfikowania w odpowiednich odstępach czasu dawanych przez niego gwarancji – np. za pomocą audytów lub inspekcji. Administrator jest również zobowiązany do wykazania (w tym posiadania materialnych dowodów), że wyboru podmiotu przetwarzającego dokonano z należytą starannością, w sposób świadomy i zgodny z prawem.
Prezes UODO udzielił upomnień administratorowi i podmiotowi przetwarzającemu, ponieważ przeprowadzone postępowanie administracyjne wykazało, że naruszyli przepisy o ochronie danych osobowych. W przypadku administratora stwierdzone niezgodności z RODO skutkowały w konsekwencji naruszeniem zasad poufności oraz rozliczalności. Podmiot przetwarzający został upomniany za brak wdrożenia środków zapewniających bezpieczeństwo przetwarzania danych osobowych i ochronę praw osób, których te dane dotyczą.
Czytaj też w LEX: Standardowe klauzule umowne między administratorami a podmiotami przetwarzającymi (SCC) >
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów LEX jest zależny od posiadanych licencji.






