Amendă administrativă în valoare de 330 000 de euro aplicată de către Autoritatea Poloneză pentru Protecția Datelor unei companii medicale în urma unui atac al hackerilor

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 330 000 de euro aplicată de către Autoritatea Poloneză pentru Protecția Datelor (SA) unei companii medicale pentru încălcarea articolului 5 (Principiile legate de prelucrarea datelor cu caracter personal), articolului 24 (Responsabilitatea operatorului) și articolului 32 (Securitatea prelucrării) din GDPR.

Infrastructura IT a companiei American Heart of Poland S.A. a fost atacată de hackeri, care au obținut astfel acces la datele personale detaliate ale aproximativ 21 000 de persoane. Incidentul a vizat o gamă largă de date, și anume: nume, prenume, prenumele părinților, numele de familie al mamei, data nașterii, date privind veniturile sau activele deținute, date privind sănătatea, numărul contului bancar, adresa de reședință sau de ședere, numărul de identificare personală (numărul PESEL), numele de utilizator sau parola, seria și numărul actului de identitate, numărul de telefon și adresa de e-mail. 

SA Poloneză, în cadrul controlului efectuat, a stabilit că:

• compania nu a pus în aplicare toate măsurile necesare pentru a proteja datele pe care le prelucra și nu a fost în măsură să determine cauza scurgerii;

• compania nu a respectat propriile recomandări privind securitatea datelor, și anume a stocat informațiile privind rezultatele testelor COVID ale clienților pe unități de rețea, în timp ce datele medicale ar trebui stocate pe un sistem dedicat pentru prelucrarea datelor medicale;

• platforma cloud utilizată de companie era prea puțin securizată. Trei servere care funcționau la sediul companiei nu beneficiau de asistență tehnică actualizată din partea producătorului (asistența s-a încheiat în ianuarie 2020), software-ul de pe serverele companiei nu fusese actualizat din cauza unei neglijențe din partea personalului IT, astfel încât a fost creată o vulnerabilitate în sistemul IT care ar fi putut contribui la preluarea dispozitivelor de către hackeri;

• compania nu s-a protejat în mod adecvat împotriva atacurilor de tip „phishing”, care implică faptul că persoana care atacă sistemul se dă drept o altă persoană. Conform concluziilor președintelui Oficiului pentru Protecția Datelor cu Caracter Personal, este foarte probabil ca hackerii să fi pătruns astfel în sistemul informatic.

În acest context, SA Poloneză a impus o amendă administrativă în valoare de 330 000 euro pentru încălcarea articolelor 5, 24 și 32 din GDPR și a dispus operatorului să-și conformeze operațiunile de prelucrare a datelor cu caracter personal cu prevederile GDPR-ului.

 CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.