Kwestie cyberbezpieczeństwa i RODO są ze sobą ściśle związane. Dziś dzielę się z Państwem kolejnym przykładem, który wyraźnie pokazuje te powiązania.
W czerwcu 2025 r. Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył karę w wysokości 66 500 zł na Uniwersytecki Dziecięcy Szpital Kliniczny im. L. Zamenhofa w Białymstoku. Powodem była niewłaściwa analiza ryzyka oraz brak odpowiednich środków technicznych i organizacyjnych w zakresie ochrony danych osobowych pracowników placówki.
Co się wydarzyło?
W wyniku ataku złośliwego oprogramowania ransomware doszło do zainfekowania infrastruktury IT szpitala, co skutkowało zablokowaniem dostępu do systemów informatycznych. Naruszeniu uległa poufność i dostępność danych osobowych blisko 2000 pracowników.
Co ciekawe, w wyniku ataku nie doszło do naruszenia danych pacjentów — dotyczył on wyłącznie danych pracowników szpitala. To oczywiście dobra wiadomość, ale też przypomnienie, że nie tylko dane medyczne wymagają ochrony. RODO obejmuje wszystkie kategorie danych osobowych, niezależnie od tego, czy dotyczą pacjentów, czy personelu. Informacje kadrowe, jeśli wyciekną, mogą stanowić poważne naruszenie.
UODO wskazał następujące nieprawidłowości:
Brak rzetelnej analizy ryzyka – szpital nie przeprowadził właściwej oceny zagrożeń dla danych osobowych pracowników, przez co nie udało się odpowiednio przygotować na potencjalne ataki.
Niewystarczające zabezpieczenia techniczne i organizacyjne – działania zabezpieczające były oparte na perspektywie organizacyjnej, a nie na ochronie osób fizycznych, co jest niezgodne z zasadami RODO.
Niedostateczna dokumentacja: Brakowało spójnej i jasnej dokumentacji dotyczącej środków ochrony danych, co utrudniało kontrolę i ocenę skuteczności zabezpieczeń.
Ten przypadek to dobry przykład, że ochrona danych to nie tylko formalność. Regularna analiza ryzyka, jasne i praktyczne procedury oraz dbanie o dokumentację to podstawa. Warto też pamiętać o regularnych szkoleniach dla pracowników — to oni często są pierwszą linią obrony. Źródło: https://uodo.gov.pl/pl/138/3803
Skontaktuj się z nami!
Nasz specjalista odezwie się do Ciebie najpóźniej kolejnego dnia roboczego. Nie musisz wypełniać pola wiadomości, ale krótka informacja o interesującym Cię temacie rozmowy będzie dla nas cenną wskazówką.
Powiązane wpisy
Dlaczego incydent bezpieczeństwa to nie zawsze wina administratora?
Nikt nie chce stać się ofiarą cyberataku. Organizacje inwestują w systemy zabezpieczeń, regularne backupy, firewalle, monitorowanie sieci, a doświadczenie i wiedza zatrudnianych specjalistów stanowią fundament
Normy z rodziny ISO 27000 – co regulują i dlaczego są tak ważne dla bezpieczeństwa informacji?
Cyberbezpieczeństwo wymaga odpowiedniego podejścia. Skutecznym rozwiązaniem, ograniczającym wpływ zagrożeń na nasze systemy i infrastrukturę IT, a w efekcie na informacje gromadzone przez organizację, jest standaryzacja