Fiński organ właściwy ds. ochrony danych osobowych (Tietiosuojavaltuutetun Toimisto), a bardziej precyzyjnie – Rada ds. sankcji tego organu – nałożył administracyjną karę pieniężną na fiński ośrodek psychoterapii Vastaamo (Psykoterapiakeskus Vastaamo Oy). Kwota kary to 608 000 euro (ok. 2 766 400 zł). W ocenie regulatora, ukarany administrator naruszył przepisy RODO, w tym w zakresie odpowiedniego zabezpieczenia danych osobowych, co skutkowało dostępem osoby trzeciej do informacji o pacjentach. Przedsiębiorca przed zakończeniem postępowania ogłosił upadłość. Nie pomogło mu to jednak uniknąć surowej kary w tej sprawie. Co ciekawe, fiński organ nadzorczy równocześnie upomniał administratora w związku ze stwierdzonymi nieprawidłowościami.
Nieuprawniony dostęp do danych
We wrześniu 2020 r. przedsiębiorca powiadomił fiński organ nadzorczy o możliwym nieuprawnionym dostępie osoby trzeciej do bazy danych pacjentów. W toku wszczętego w tej sprawie postępowania regulator ustalił – bazując m.in. na wynikach śledztwa zewnętrznej firmy zajmującej się bezpieczeństwem danych – że bliżej nieokreślona osoba nieuprawniona zalogowała się do systemu administratora przynajmniej dwukrotnie, w grudniu 2018 r. i marcu 2019 r. Najprawdopodobniej osobie tej udało się pobrać dane osobowe pacjentów placówki.
W ocenie organu nadzorczego, nie ma możliwości zidentyfikowania dokładnego czasu, w którym doszło do ataku, jak również metod wykorzystanych przez hakera. Powodem tego mają być zaniedbania administratora w zakresie odpowiedniego udokumentowania przedmiotowego naruszenia. Co więcej, regulator podkreślił, że przedsiębiorca zdawał sobie sprawę, że doszło do nieuprawnionego dostępu do danych osobowych, a zdarzenie to wiązało się z wysokim ryzykiem dla osób, których dane dotyczą. Pomimo tego nie zgłosił on naruszenia ochrony danych osobowych do organu nadzorczego, ani nie powiadomił osób, których dotyczyło naruszenie.
Brak odpowiednich zabezpieczeń
Organ nadzorczy wskazał w swoim rozstrzygnięciu, że administrator w nieodpowiedni sposób przeprowadzał prace serwisowe na serwerze z danymi osobowymi, co naraziło go na cyberataki. W jego ocenie, dane osobowe zgromadzone w systemie nie były odpowiednio chronione przed nieuprawnionym dostępem, jak również zaginięciem, zniszczeniem lub uszkodzeniem. Co więcej, przedsiębiorca nie dość, że nie wdrożył odpowiednich środków technicznych i organizacyjnych w celu zapewnienia odpowiednich zabezpieczeń, to jeszcze nie prowadził odpowiedniej dokumentacji w tym zakresie.
Poważne naruszenia
Organ nadzorczy wskazał w decyzji, że naruszenia, których dopuścił się przedsiębiorca są poważne, zaś brak niezwłocznego powiadomienia o naruszeniu było jego celowym działaniem. Ustalając wysokość kary pieniężnej regulator wziął pod uwagę m.in. charakter danych osobowych (dane osobowe szczególnej kategorii), jak również fakt braku odpowiedniego udokumentowania naruszenia. Jako czynnik łagodzący uznał on natomiast fakt, że przedsiębiorca podjął określone działania, mające na celu ograniczenie ryzyka wystąpienia ewentualnych szkód po stronie podmiotów danych.
Co ciekawe, poza nałożeniem na administratora kary pieniężnej, regulator udzielił mu jednocześnie upomnienia. Jest to rozwiązanie stosowane już w przeszłości przez fiński organ nadzorczy, niemniej rzadko stosowane przez inne unijne organy właściwe ds. ochrony danych osobowych, w tym przez polski Urząd Ochrony Danych Osobowych. Upomnienie jest sankcją, która wydaje się być stosowana przy naruszeniach mniejszej wagi, za które organy nadzorcze nie nakładają od razu kar pieniężnych. Zgodnie jednak z przepisami RODO, takie rozwiązanie jest dopuszczalne.
Pełna treść decyzji w j. fińskim dostępna jest tutaj:
https://finlex.fi/fi/viranomaiset/tsv/2021/20211183
Źródło:
