Atak hakerski na dane pacjentów. UODO nakłada karę na spółkę medyczną

Prezes Urzędu Ochrony Danych Osobowych nałożył na Spółkę American Heart of Poland SA karę w wysokości niemal 1,5 mln zł. Ma to związek z atakiem hakerskim, którego ofiarą padły dane pacjentów i pracowników spółki. Spółka zaskarżyła decyzję Prezesa UODO do WSA.

Publikacja: 13.08.2024 17:33

Atak hakerski na dane pacjentów. UODO nakłada karę na spółkę medyczną

Foto: Adobe stock

Jan Skoumal

Dane osobowe około 21 tys. osób znalazły się w rękach hakerów, którzy zaatakowali infrastrukturę informatyczną Spółki American Heart of Poland SA. Jak ustalił Prezes Urzędu Ochrony Danych Osobowych (UODO), jest to efektem złego oszacowania przez spółkę ryzyka dla danych oraz niestosowania się do własnej polityki dotyczącej bezpieczeństwa danych. W efekcie, nieuprawnione osoby uzyskały dostęp do wrażliwych danych pacjentów oraz pracowników spółki. Hakerzy zażądali od spółki kwoty 3 mln dolarów w zamian za nieujawnienie danych.

Czytaj więcej

Dane osobowe

Dane pacjentów na celowniku hakerów

Przychodnie i szpitale stały się głównym celem cyberataków w Polsce i na świecie. Hakerzy polują...

Atak hakerski na American Heart of Poland SA. Prezes UODO nakłada karę

— Brak prawidłowo przeprowadzonej analizy ryzyka, kluczowej dla ochrony danych, doprowadził do niewdrożenia przez spółkę właściwych środków organizacyjnych i technicznych służących ochronie przetwarzanych danych. Mogło to mieć realny wpływ na wystąpienie naruszenia ochrony danych osobowych — czytamy w komunikacie Prezesa UODO.

Jak wskazuje Prezes UODO, "platforma chmurowa, wykorzystywana przez spółkę, była zbyt słabo zabezpieczona. Trzy serwery pracujące w siedzibie spółki nie miały aktualnego wsparcia technicznego producenta (wsparcie zakończyło się w styczniu 2020 r.)". Co więcej, spółka miała nie testować regularnie zabezpieczeń systemów informatycznych.

Kara, nałożona przez Prezesa UODO na spółkę w związku z nieodpowiednim zadbaniem o dane osobowe pacjentów i pracowników, wyniosła 1 440 549 zł.

Reklama

Poza samym nałożeniem kary, Prezes UODO zobowiązał Spółkę American Heart of Poland SA do poprawy sposobu przetwarzania danych i nakazał przeprowadzenie prawidłowej analizy ryzyka. Spółka zaskarżyła decyzję Prezesa UODO do Wojewódzkiego Sądu Administracyjnego.

Dane pacjentów i pracowników, przejęte przez hakerów, zawierają m.in. ich nazwisko, imię, imiona rodziców, nazwisko rodowe matki, datę urodzenia, dane dotyczące zarobków lub posiadanego majątku, dane dotyczące zdrowia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, nazwę użytkownika lub hasło, seria i numer dowodu osobistego, numer telefonu oraz adres e-mail.

American Heart of Poland SA zaskarża decyzję Prezesa UODO

Jak przekazało „Rzeczpospolitej” biuro prasowe spółki American Heart of Poland, obecnie toczy się postępowanie przed WSA zainicjowane skargą spółki na decyzję Prezesa UODO.

— W związku z nałożeniem kary przez Prezesa UODO, informujemy, że obecnie jesteśmy na etapie postępowania przed Wojewódzkim Sądem Administracyjnym. Decyzja Prezesa Urzędu Ochrony Danych Osobowych została przez spółkę zaskarżona. Spółka wniosła o uchylenie zaskarżonej decyzji w całości. Zdarzenie miało miejsce w 2021 roku — przekazało biuro prasowa spółki.