Ville Tapio, były prezes prywatnego centrum psychoterapii Vastaamo z siedzibą w Helsinkach, został skazany na trzy miesiące więzienia w zawieszeniu za niezabezpieczenie dokumentacji medycznej pacjentów zgodnie z wymogami RODO.
Wyciek danych
W prywatnej klinice Vastaamo, z której usług skorzystało ponad 40 tys. pacjentów, doszło do dwóch wycieków danych osobowych, przy czym część tych danych pojawiła się w darkwebie. Znalazły się tam takie prywatne informacje jak pamiętniki, dokumentacja medyczna oraz dane kontaktowe. Klinika oraz część poszkodowanych osób otrzymała żądania okupu, w celu powstrzymania dalszej publikacji danych.
Brak zabezpieczeń
Pierwszy wyciek nastąpił przed 2018 r., a drugi już w marcu 2019 r. Na tym etapie stwierdzono, że ówczesny prezes zarządu wiedział o naruszeniach ochrony danych osobowych i nie poinformował o nich pozostałych członków zarządu. Ponadto po pierwszym wycieku nie podjął żadnych działań w celu modyfikacji istniejących zabezpieczeń. Dane pacjentów nie były przy tym w żaden sposób zabezpieczone przed wyciekiem. Nie zastosowano ani anonimizacji ani zaszyfrowania. Przestępcy mogli więc z łatwością dopasować dokumentację medyczną do konkretnych osób i ich adresów zamieszkania. Jednakże po opisaniu afery w prasie fińskiej, prezes został szybko zwolniony i przeprowadzono pewne działania naprawcze. Klinika zajęła się wsparciem dotkniętych osób, włączyły się również organy rządu fińskiego.
Kara
Ville Tapio za swoje działania stanął przed sądem w Helsinkach. Skład orzekający uznał go za winnego przestępstwa związanego z ochroną danych. Nie dopilnował on wypełnienia obowiązków z RODO w zakresie bezpieczeństwa przetwarzania. Dane pacjentów klinik nie były odpowiednio zabezpieczone. Oskarżony bronił się twierdząc, że nie wiedział nic o brakach w zabezpieczeniach spółki. Winą obarczył dwóch byłych pracowników IT. Sąd nie dał jednak wiary jego argumentom i skazał go na 3 miesiące więzienia w zawieszeniu. Prokurator żądał dziewięciu miesięcy bezwarunkowego więzienia, ale sąd uznał, że brak wcześniejszej karalności oskarżonego przemawia za łagodniejszą karą.
Kontrola zabezpieczeń
Kierownictwo organizacji nie może więc czuć się zwolnione od odpowiedzialności za wypełnienie wymogów RODO, uznając, że nie kontrolują w żaden sposób zadań swoich pracowników. Na kanwie tej sprawy widać też wyraźnie jak ważne jest regularne przeprowadzanie audytów bezpieczeństwa. Organizacje zbierające dane szczególnej kategorii takie jak dane medyczne powinny zwracać baczną uwagę, czy ich zabezpieczenia są odpowiednie, gdyż ewentualny wyciek danych może mieć poważne skutki dla osób dotkniętych naruszeniem. Kierownictwo powinno mieć zatem na względzie nie tylko aspekty bezpośrednio związane z prowadzeniem działalności gospodarczej, ale również kwestie bezpieczeństwa informacji i danych osobowych.
Źródło: https://yle.fi/a/74-20027665
Już 19 maja kolejna edycja Szkolenia dla Inspektorów ochrony Danych!