Amendă administrativă în valoare de 9 300 euro aplicată de către Autoritatea Poloneză pentru Protecția Datelor Centrului Public Independent de Asistență Medicală urmare a unui atac al hackerilor

Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), cu titlu informativ și aplicativ, comunică despre amenda administrativă în valoare de 9 300 euro aplicată de către Autoritatea Poloneză pentru Protecția Datelor (SA) Centrului Public Independent de Asistență Medicală (Centrul)pentru încălcarea articolului 5 (Principiile legate de prelucrarea datelor cu caracter personal), articolului 24 (Responsabilitatea operatorului), articolului 25 (Asigurarea protecției datelor începând cu momentul conceperii și în mod implicit), articolului 32 (Securitatea prelucrării) și articolului 34 (Informarea persoanei vizate cu privire la încălcarea securității datelor cu caracter personal) din GDPR.

Urmare a unui atac cibernetic, Centrul a pierdut accesul la datele pacienților și ale angajaților, luând măsuri corective abia după aceea. Atacul a avut loc în februarie 2022. Un ransomware malițios a criptat datele cu caracter personal ale 30 000 de pacienți și ale peste 1000 de angajați. Centrul Public Independent de Asistență Medicală a notificat Oficiul pentru Protecția Datelor cu Caracter Personal și poliția. S-a constatat că atacul nu a fost unul grav, deoarece datele nu s-au scurs – acestea au devenit doar inaccesibile (un expert extern a indicat că datele nu puteau fi decriptate). Cu toate acestea, compania nu a notificat persoanele vizate cu privire la faptul că a pierdut controlul asupra unor date precum: numele și prenumele, numele părinților, data nașterii, numărul contului bancar, adresa de reședință sau de ședere, numărul de identificare personală (numărul PESEL), numele de utilizator și/sau parola, detalii privind veniturile sau bunurile deținute, numele de familie al mamei, seria și numărul buletinului de identitate, numărul de telefon și datele medicale. 

În acest context, Președintele Oficiului pentru Protecția Datelor cu Caracter Personal a aplicat o amendă în valoare de 9 300 euro Centrului Public Independent de Asistență Medicală din Pajęczno pentru încălcarea articolelor 5, 24, 25, 32 și 34 din GDPR. În plus, pe lângă amenda aplicată, s-a dispus punerea în aplicare, în termen de 30 de zile, a măsurilor tehnice și organizatorice adecvate pentru a asigura securitatea prelucrării datelor în cadrul sistemelor informatice. De asemenea, s-a dispus notificarea persoanelor vizate cu privire la incident, explicându-le ce s-a întâmplat, subliniind posibilele consecințe ale incidentului și indicând cine poate oferi mai multe informații cu privire la subiectul în cauză din cadrul companiei.

 CNPDCP, în calitate de autoritate națională de supraveghere a prelucrării datelor cu caracter personal, accentuează asupra responsabilității operatorilor de date cu caracter personal de a respecta prevederile cadrului legislativ în materie de protecție a datelor cu caracter personal și de a se asigura că operațiunile de prelucrare a datelor cu caracter personal sunt conforme legislației în vigoare.