Samodzielny Publiczny Zakład Opieki Zdrowotnej (ZOZ) w Pajęcznie został ukarany przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) grzywną w wysokości 40 tysięcy złotych. Powodem nałożenia kary był atak hakerski, który w lutym 2022 roku spowodował utratę dostępu do danych osobowych pacjentów i pracowników. Atak został przeprowadzony przy użyciu złośliwego oprogramowania typu „ransomware”, które zaszyfrowało dane osobowe 30 tysięcy pacjentów i ponad tysiąca pracowników.
ZOZ zgłosił incydent do UODO oraz Policji, jednak nie powiadomił o tym osób, których dane zostały objęte atakiem, twierdząc, że nie doszło do wycieku danych, a jedynie do ich zaszyfrowania. Mimo tego, Prezes UODO uznał, że istnieje możliwość, iż hakerzy mogli skopiować dane, co mogło narazić poszkodowanych na dodatkowe zagrożenia.
Jednym z kluczowych zarzutów wobec ZOZ było nieprzeprowadzenie odpowiedniej analizy ryzyka przed atakiem. Instytucja nie posiadała dokumentów potwierdzających regularną aktualizację oceny ryzyka związanego z ochroną danych osobowych, co utrudniło skuteczne zapobieganie zagrożeniom. Działania naprawcze zostały podjęte dopiero po ataku – ZOZ zatrudnił ekspertów do audytu, którzy wykazali luki w zabezpieczeniach i zarekomendowali zmiany, w tym szkolenia dla pracowników z zakresu bezpieczeństwa informatycznego.
Prezes UODO stwierdził, że gdyby ZOZ wcześniej sporządził właściwą analizę ryzyka, odpowiednio zareagowałby na zagrożenia, takie jak utrata dostępu do danych zdrowotnych pacjentów, co stanowiło poważne ryzyko dla ich prywatności i bezpieczeństwa.
Oprócz grzywny, UODO nakazał ZOZ w Pajęcznie wdrożenie w ciągu 30 dni odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych oraz powiadomienie osób, których dane zostały naruszone, o incydencie i jego potencjalnych konsekwencjach.