Prawo w biznesie
Dane osobowe: Sanepid zignorował ryzyko wycieku danych

Dane osobowe: Sanepid zignorował ryzyko wycieku danych

Michał Kosiarski

Pacjent Nowe Technologie RODO

Aktualności

Data dodania: 27.12.2025

Źródło: iStock

Powiatowy inspektor sanitarny w Policach otrzymał 20 tysięcy złotych kary za niewdrożenie odpowiednich zabezpieczeń technicznych i organizacyjnych i brak regularnego ich testowania. Karę nałożył prezes Urzędu Ochrony Danych Osobowych, a cała sprawa zaczęła się od zgubionego prywatnego pendrive’a ze służbowymi danymi o chorych na Covid--19.

Sanepid w Policach zgłosił w 2023 r., że pracownik zgubił prywatny, niezaszyfrowany i niechroniony hasłem pendrive z danymi 4200 osób, w tym chorych na Covid-19 (a więc danymi dotyczącymi zdrowia) zebranymi do 2021 r., a także danymi z 300 postępowań administracyjnych.

Zgłoszenie stało się dla prezesa Urzędu Ochrony Danych Osobowych (UODO) impulsem do dokonania oceny realizacji przez administratora spoczywających na nim obowiązków wynikających z przepisów RODO. Prezes UODO przeprowadził postępowanie wyjaśniające i wszczął postępowanie administracyjne, w toku którego ustalił m.in., że administrator danych nie przeprowadzał prawidłowo analizy ryzyka i nie miał odrębnych regulacji dotyczących zarządzania zewnętrznymi nośnikami danych. Używanie ich było po prostu zakazane. Ryzyko, że pracownik jednak z takiego nośnika skorzysta, Sanepid oszacował jako niskie i niewymagające podejmowania działań. Założenia tego urzędnicy jednak odpowiednio nie przetestowali.

Sprawdź również książkę: Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz >>

Zgubiony pendrive z wrażliwymi danymi

Dopiero gdy sprawą zajął się prezes UODO, administrator sprawdził zabezpieczenia i zablokował możliwość kopiowania danych na nośniki zewnętrzne. Dlatego zdarzenie to prezes UODO zidentyfikował jako naruszenie zasady integralności i poufności (art. 5 ust. 1 lit. f) RODO) oraz zasady rozliczalności (art. 5 ust 2 RODO). W decyzji prezesa UODO (nr DKN.5131.3.2024) przypomina się, że RODO chroni dane osobowe dzięki zarządzaniu ryzykiem, które ma charakter ciągłego procesu. Administrator samodzielnie ma przeprowadzić szczegółową analizę procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. RODO nie zakłada istnienia listy wymagań do spełnienia. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa.

Oznacza to, że każdy administrator musi móc udowodnić przed organem nadzorczym, że wprowadzone rozwiązania - mające na celu zapewnienie bezpieczeństwa danych osobowych - są adekwatne do poziomu ryzyka. Ponadto muszą one uwzględniać charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych.

W sprawie Sanepidu istotne jest to, że administrator, który przetwarzał dane dotyczące zdrowia z całego, liczącego ponad 86 tysięcy mieszkańców, powiatu – przed naruszeniem ochrony danych osobowych - przeprowadzał analizę ryzyka w sposób nieprawidłowy, bowiem zbyt ogólnikowo. W efekcie nie mógł dobrać odpowiednich do ryzyka środków bezpieczeństwa, co doprowadziło do incydentu ze zgubieniem pendriva.

Spóźniona ocena ryzyka

Prawidłową analizę ryzyka administrator przeprowadził dopiero po zgłoszeniu do UODO naruszenia ochrony danych osobowych. Ryzyko w obszarze przetwarzania danych osobowych na zewnętrznych nośnikach danych ocenione zostało na poziomie akceptowalnym – ale po uwzględnieniu zabezpieczeń polegających m.in. na blokadzie portów USB przed możliwością użycia prywatnych zewnętrznych pendrivów.

Prezes UODO ocenił, że stwierdzone w niniejszej sprawie naruszenie przepisów RODO ma znaczną wagę i poważny charakter, jako że stwarzało wysokie ryzyko negatywnych skutków dla osób, których dane dotyczą. Nie ma dowodów, iż z danymi osobowymi przetwarzanymi na niezabezpieczonym nośniku danych nie zapoznały się osoby postronne. Na niekorzyść administratora należy zaliczyć również długi czas trwania naruszenia przepisów RODO. Administrator nie działał umyślnie, niemniej dopuścił się licznych zaniechań skutkujących znaczącym zwiększeniem ryzyka naruszenia poufności przetwarzanych danych, co świadczy o rażącym jego niedbalstwie i stanowi istotną okoliczność obciążającą.

-Po wystąpieniu incydentu administrator podjął czynności, które niewątpliwie przyczyniły się do wzmocnienia bezpieczeństwa informacji. Dla organu nadzorczego to ważny sygnał, że administrator świadomy był swoich uchybień we wskazanym obszarze. Zdaniem organu nadzorczego okoliczności te świadczą o tym, że administrator mógł i powinien był przewidzieć, że przyjęte przez niego rozwiązania nie zapewniają odpowiedniego stopnia bezpieczeństwa danych osobowych przetwarzanych z użyciem prywatnych nośników danych przez pracowników, jednak wadliwie przeprowadzona analiza, pociągnęła za sobą dalsze nieprawidłowości. Wynikiem postępowania przed prezesem UODO jest więc nie tylko poprawa sposobu ochrony danych u administratora, ale także kara finansowa – czytamy w komunikacie UODO.

-------------------------------------------------------------------------------------------------------------------

Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.

Pacjent Nowe Technologie RODO

Aktualności

Data dodania: 2025-12-27

Czytaj także

Kontroler biletów nagrywa pasażerów. Co na to RODO?

RODO Prawo europejskie

Osoba, której dane są pozyskiwane przy użyciu kamer nasobnych, musi otrzymać pewne informacje niezwłocznie. Najważniejsze z nich mogą zostać umieszczone na znaku ostrzegawczym, zaś pozostałe mogą zostać podane w miejscu łatwo dostępnym. Tak wynika z wyroku Trybunału Sprawiedliwości UE, który odpowiedział na pytanie szwedzkiego sądu.

Tomasz Ciechoński

20.12.2025

UODO: Pracodawca może przekazać związkowi zawodowemu dane osobowe na potrzeby referendum strajkowego

Prawo pracy RODO

Obowiązujące przepisy dają pracodawcy podstawę do udostępniania związkowi zawodowemu informacji, w tym danych osobowych, w celu przeprowadzenia referendum strajkowego - uznał Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych. Pracodawca jako administrator danych osobowych pracowników powinien ocenić przede wszystkim, czy wniosek jest należycie uzasadniony oraz udostępnić dane pracowników w zakresie niezbędnym do realizowanego celu.

Grażyna J. Leśniak

19.12.2025

Co wynika za konwencji ramowej ws. AI? Konferencja w UODO

Prawo AI RODO Prawo europejskie

Konwencja Rady Europy dotycząca sztucznej inteligencji nie zastępuje RODO, ale wzmacnia ochronę danych – mówili uczestnicy konferencji „The Role of the Council of Europe’s Framework Convention on Artificial Intelligence in the Protection of Privacy and Personal Data – Legal, Ethical, and Social Challenges in the AI Era”. Wydarzenie Urzędu Ochrony Danych Osobowych odbyło się pod patronatem Prawo.pl.

Tomasz Ciechoński

10.12.2025

Pielęgniarka zatrudniona w środowiskowym domu samopomocy nie straci uprawnień

Opieka zdrowotna Zawody medyczne

Pielęgniarki zatrudnione np. w środowiskowym domu samopomocy, nie utracą uprawnień do wykonywania zawodu po pięciu latach. Ministerstwo Zdrowia zapowiada zmiany w ustawie o zawodach pielęgniarki i położnej. Sprowadzą się m.in. do rozszerzenia katalogu miejsc, gdzie pielęgniarki będą mogły pracować, zachowując ciągłość wykonywania zawodu. Takie zmiany popiera Naczelna Izba Pielęgniarek i Położnych, choć projekt zmian jeszcze nie trafił do niej do konsultacji.

Beata Dązbłaż

09.12.2025

Przetwarzanie danych w erze AI. UODO zaprasza na międzynarodową konferencję

Prawo AI RODO Prawo europejskie

Rola konwencji ramowej Rady Europy dotyczącej sztucznej inteligencji w kontekście praw człowieka, demokracji i praworządności będzie tematem międzynarodowej konferencji organizowanej przez Urząd Ochrony Danych Osobowych. Wydarzenie odbędzie się 10 grudnia 2025 r. w Warszawie i będzie transmitowane online. Patronem medialnym konferencji jest serwis Prawo.pl.

Tomasz Ciechoński

02.12.2025

Nie będzie audytu państwowych rejestrów. Resort cyfryzacji odpowiada UODO

Administracja publiczna Prawo AI RODO Cyberbezpieczeństwo

Minister cyfryzacji nie ma uprawnień do audytu rejestrów prowadzonych przez innych ministrów - przekazał w poniedziałek resort. To odpowiedź na wniosek prezesa Urzędu Ochrony Danych Osobowych (UODO), który zwrócił się do szefa resortu cyfryzacji Krzysztofa Gawkowskiego z wnioskiem o dokonanie przeglądu rejestrów publicznych, takich jak Krajowy Rejestr Sądowy, Rejestr Dowodów Osobistych, rejestr PESEL i CEPiK.

TC/PAP

01.12.2025

Środowisko psychologów i psychoterapeutów bez prawa do opiniowania projektu ustawy?

Prawo pracy Zawody medyczne

Przedstawiciele środowiska psychologów i psychoterapeutów wskazują na ograniczanie możliwości przedstawiania przez nich opinii do rządowego projektu ustawy o zawodzie psychologa oraz samorządzie zawodowym psychologów, nad którym pracuje sejmowa podkomisja nadzwyczajna. Może to wywoływać poczucie deficytu demokracji, zwłaszcza gdy procedowane regulacje dotyczą konkretnych zawodów i grup społecznych, a tym samym także praw i obowiązków osób do nich należących.

Grażyna J. Leśniak

19.11.2025

Wykładnia przepisu RODO się zmieni? Prezes UODO o skutkach wyroku TSUE

RODO Prawo europejskie

Wyrok Trybunału Sprawiedliwości UE w sprawie C‑655/23 (Quirin Privatbank AG) nie powoduje konieczności zmiany polskiego prawa – ocenił Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych, w odpowiedzi na pytanie kancelarii premiera. Dodał jednak, że orzeczenie ma znaczenie dla wykładni przepisu art. 82 ust. 1 rozporządzenia RODO, zwłaszcza gdy chodzi o pojęcie szkody i odpowiedzialność administratora.

Tomasz Ciechoński

06.11.2025

Polecamy książki z prawa w biznesie do artykułów

Nowość