Wysoka kara dla francuskiego administratora w branży medycznej
1,5 mln euro będzie musiała zapłacić francuska firma sprzedająca oprogramowanie dla laboratoriów analiz medycznych. Jest to wynik bardzo dużego wycieku danych wrażliwych, będącego skutkiem naruszeń bezpieczeństwa.
O naruszeniach poinformowała prasa
Francuski organ nadzorczy (CNIL) powziął informację o naruszeniach z prasy. Ujawniono w niej, że firma Dedalus Biologie, ujawniła w Internecie dane ok. 500 tys. osób. Firma ta zajmowała się sprzedażą rozwiązań w zakresie oprogramowania dla laboratoriów analiz medycznych.
Wyciek danych wrażliwych
W następstwie wycieku danych w internecie znalazły się:
- nazwiska, imiona,
- numery ubezpieczenia społecznego,
- nazwiska lekarzy wystawiających receptę,
- daty badań,
- informacje medyczne dotyczące stanu zdrowia licznych pacjentów (w szczególności informacje o przebytych chorobach, np. HIV, nowotwory, choroby genetyczne, poza tym informacje o ciążach, terapiach lekowych czy genetyczne).
Skala wycieku w aspekcie przedmiotowym i podmiotowym była więc naprawdę duża.
Organ nadzorczy stwierdził 3 naruszenia
CNIL w toku postępowania ustalił, że francuski administrator dopuścił się następujących naruszeń:
1) nadmiarowe przetwarzanie danych
Dedalus Biologie przetwarzało większą ilość danych, niż było to niezbędne do realizacji celu przetwarzania. Miało to miejsce w związku z migracją danych na inne narzędzie. Pobrano wtedy nadmiarową ilość danych.
2) niedostateczny poziom bezpieczeństwa danych
Organ nadzorczy stwierdził liczne naruszenia w zakresie stosowania technicznych i organizacyjnych środków bezpieczeństwa danych.
Chodziło tu o brak:
- procedury regulującej operację migracji danych na nowe narzędzie;
- narzędzia szyfrowania danych osobowych przechowywanych na serwerze;
- automatycznego usuwania danych po migracji na inne oprogramowanie;
- wymogu uwierzytelnienia z internetu w celu uzyskania dostępu do publicznej części serwera;
- brak procedury monitorowania i zgłaszania alarmów bezpieczeństwa na serwerze.
Poza tym firmie zarzucono korzystanie z kont użytkowników współdzielonych przez kilku pracowników w prywatnej części serwera.
3) braki w zakresie powierzenia przetwarzania
W ocenie CNIL ogólne warunki sprzedaży zaproponowane przez Dedalus Biologie a także umowy serwisowe przekazane nie były sporządzone zgodnie z prawem. Brakowało w nich bowiem treści niezbędnych do powierzenia przetwarzania danych, wymienionych w art. 28 ust. 3 RODO.
- https://edpb.europa.eu/news/national-news/2022/health-data-breach-dedalus-biologie-fined-15-million-euros_en
- newsletter UODO (czerwiec 2022 r.)
- Organizacja konkursu dla uczniów – umowa powierzenia przetwarzania danych pomiędzy szkołą a organem prowadzącym
- Kara za przetwarzanie danych osobowych w rozmowach telefonicznych bez podstawy prawnej
- Obowiązek informacyjny w związku z rozmową telefoniczną - jak przekazać klauzulę informacyjną RODO
- Kiedy należy sporządzić ocenę skutków dla ochrony danych w związku z wdrożeniem sztucznej inteligencji
- Informacja publiczna na wniosek dziennikarza – czy podlega anonimizacji
- Pozyskanie zaświadczenia o niekaralności z Krajowego Rejestru Karnego może skutkować naruszeniem RODO
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
