American Heart of Poland SA z 1,5 mln karą od UODO

Spółka American Heart of Poland zarządzająca grupą ponad 20 ośrodków medycznych w Polsce na mocy decyzji administracyjnej prezesa UODO otrzymała karę pieniężną w wysokości ponad 1 mln 440 tys. zł. Decyzja jest efektem zaniedbań spółki, które doprowadziły do ataku hakerskiego i wycieku danych osobowych niemal 21 tys. klientów.


Łupem cyberprzestępców padły szczegółowe dane osobowe niemal 21 tys. osób, w tym nie tylko imię, nazwisko, imiona rodziców, nazwisko rodowe matki, data urodzenia, ale również dane dotyczące zarobków lub posiadanego majątku, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, nazwa użytkownika lub hasło, seria i numer dowodu osobistego, numer telefonu oraz adres e-mail.

Hakerzy zażądali okupu w wysokości 3 mln dolarów za nieujawnienie przechwyconych danych. Spółka powiadomiła o incydencie Prezesa UODO, a osoby, których dane wyciekły, poinformowała o zagrożeniu związanym z incydentem.

Wnioski z czynności wyjaśniających przeprowadzonych przez UODO nie napawają optymizmem. W toku postępowania ustalono, że spółka źle szacowała ryzyko dla danych, a czasie pandemii nie przestrzegała swojej własnej polityki dotyczącej bezpieczeństwa danych.

Jak czytamy w decyzji Prezesa UODO: doszło do naruszenia (…) przepisów art. 5 ust. 1 lit. i ust. 2, art. 24 ust. 1 oraz art. 32 ust. 1 i 2 rozporządzenia 2016/679, polegające na niewdrożeniu:
1) odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych oraz ochronę praw osób, których dane dotyczą,(…)
2) a także odpowiednich środków technicznych i organizacyjnych w celu zapewnienia regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo danych osobowych przetwarzanych w systemach informatycznych, w szczególności w zakresie podatności, błędów oraz ich możliwych skutków dla tych systemów oraz podjętych działań minimalizujących ryzyko ich wystąpienia.

Co skutkowało naruszeniem zasady integralności i poufności oraz zasady rozliczalności. Spółka nie była również w stanie ustalić przyczyny wycieku.

UODO zwraca uwagę na nieprzestrzeganie przez spółkę własnych zaleceń bezpieczeństwa – tzn. informacje o wynikach testów na COVID klientów przechowywała na dyskach sieciowych, podczas gdy dane medyczne powinny być przechowywane w specjalnym systemie przeznaczonym do przetwarzania danych dotyczących zdrowia.

Zarzuty padają także wobec infrastruktury chmurowej spółki i jej słabego zabezpieczenia. Jak czytamy w uzasadnieniu decyzji:
Trzy serwery pracujące w siedzibie spółki nie miały aktualnego wsparcia technicznego producenta (wsparcie zakończyło się w styczniu 2020 r.). Oprogramowanie na serwerach spółki nie zostało zaktualizowane przez niedopatrzenie informatyków, dlatego w systemie informatycznym powstała luka, która mogła przyczynić się do przejęcia urządzeń przez hakerów.

I tu pojawia się sedno sprawy, które obrazuje bardziej powszechny wśród firm pogląd na temat cyberbezpieczeństwa. Jak czytamy w uzasadnieniu decyzji:

Spółka założyła, że poziom bezpieczeństwa przetwarzanych przez nią danych jest właściwy, tylko na podstawie przeprowadzonego w niej wewnętrznego audytu, którego celem było przedłużenie ważności certyfikatu ISO/IEC 27001:2013. […] Brak prawidłowo przeprowadzonej analizy ryzyka, kluczowej dla ochrony danych, doprowadził do niewdrożenia przez spółkę właściwych środków organizacyjnych i technicznych służących ochronie przetwarzanych danych. […] Ponadto, spółka nie testowała regularnie skuteczności zabezpieczeń systemów informatycznych. W taki sposób pozbawiła się istotnego środka służącego do miarodajnej oceny poziomu ryzyka przy przetwarzaniu danych. Co więcej, działała w błędnym przeświadczeniu, że ww. ryzyka są na poziomie jedynie małym lub, co najwyżej, średnim.

Kara w wysokości niemal 1,5 mln zł to nie jedyne konsekwencje dla American Heart of Poland. Prezes UODO nakazał spółce poprawienie sposobu przetwarzania danych i wyznaczył jej termin 30 dni na przeprowadzenie prawidłowej analizy ryzyka dla procesów przetwarzania przez nią danych i na wdrożenie na tej podstawie właściwych środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych. Prezes UODO zobowiązał też spółkę do wdrożenia zasad regularnego sprawdzania skuteczności przyjętych środków.
Jak argumentuje UODO, analiza ryzyka nie może być pozorną czynnością wykonywaną jedynie dla spełnienia wymogów formalnych przepisów o ochronie danych osobowych, ponieważ wówczas nie działa ona jako skuteczny sposób minimalizowania zagrożeń.

Do sprawy odniosła się spółka American Heart of Poland, która skontaktowała się z nami drogą mailową. Jak czytamy w wiadomości otrzymanej od Koordynator Biura Prasowego spółki, Beaty Staniaszczyk:
W związku z nałożeniem kary przez Prezesa UODO (https://www.uodo.gov.pl/pl/138/3273), informujemy, że obecnie jesteśmy na etapie postępowania przed Wojewódzkim Sądem Administracyjnym. Decyzja Prezesa Urzędu Ochrony Danych Osobowych została przez spółkę zaskarżona. Spółka wniosła o uchylenie zaskarżonej decyzji w całości. Zdarzenie miało miejsce w 2021 roku.

Z pełną treścią decyzji Prezesa UODO, można zapoznać się pod poniższym linkiem:
https://www.uodo.gov.pl/decyzje/DKN.5112.35.2021