Stan faktyczny
Szpital w Białymstoku stał się celem cyberataku typu ransomware. W wyniku tego incydentu doszło do zaszyfrowania systemów i utraty danych osobowych około dwóch tysięcy pracowników szpitala. Zgodnie z ustaleniami, dane pacjentów nie zostały objęte atakiem. Mimo istnienia procedur tworzenia kopii zapasowych, Szpital nie był w stanie odzyskać wszystkich danych, co wynikało z niewydolnych lub niekompletnych mechanizmów odtwarzania.
W toku postępowania administracyjnego prowadzonego przez Prezesa UODO ustalono szereg uchybień po stronie administratora, skutkujących nałożeniem kary pieniężnej w wysokości 66 500 zł. Decyzja została wydana 30.6.2025 r. Organ nadzorczy w uzasadnieniu wskazał na liczne naruszenia przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO), w tym przede wszystkim na niewłaściwe podejście do analizy ryzyka oraz brak wdrożenia odpowiednich środków organizacyjnych i technicznych chroniących dane przed nieuprawnionym dostępem lub utratą.
Stan prawny
Zgodnie z art. 5 ust. 2 RODO, administrator danych jest zobowiązany do wykazania przestrzegania zasad przetwarzania, w tym m.in. zasady integralności i poufności, a także zasady minimalizacji i ograniczenia celu. Przepis ten ustanawia tzw. zasadę rozliczalności, która zobowiązuje administratora nie tylko do przestrzegania RODO, ale także do dokumentowania i udowadniania tego przestrzegania.
Na szczególną uwagę zasługują również postanowienia art. 24 ust. 1 RODO, zgodnie z którym administrator wdraża odpowiednie środki techniczne i organizacyjne, by zapewnić zgodność przetwarzania z rozporządzeniem, uwzględniając charakter, zakres, kontekst i cele przetwarzania, oraz ryzyko naruszenia praw lub wolności osób fizycznych. Oznacza to konieczność zastosowania podejścia opartego na analizie ryzyka – tzw. risk-based approach – będącego fundamentem unijnej regulacji.
W sprawie Szpitala istotne było również niewłaściwe zastosowanie art. 32 ust. 1 lit. b–d RODO, zgodnie z którym administrator powinien zapewnić zdolność do szybkiego przywrócenia dostępności danych i dostępu do nich w przypadku incydentu fizycznego lub technicznego, oraz regularnie testować skuteczność środków technicznych i organizacyjnych.
W trakcie postępowania placówka powoływała się na wyniki audytów zgodności z ustawą z 5.7.2018 r. o krajowym systemie cyberbezpieczeństwa (t.j. Dz.U. z 2024 r. poz. 1077), wskazując, iż spełnia wymogi stawiane operatorom usług kluczowych. Prezes UODO trafnie jednak zauważył, iż zgodność z przepisami krajowymi dotyczącymi bezpieczeństwa systemów IT nie oznacza automatycznego zapewnienia zgodności z RODO. System ochrony danych osobowych jest odrębny, a jego celem jest ochrona praw jednostki, a nie jedynie ciągłości działania systemów informatycznych.
Argumentacja Prezesa UODO
W wydanej decyzji Organ szczegółowo przeanalizował zakres naruszeń i błędów popełnionych przez administratora. Kluczowym zarzutem było przyjęcie perspektywy organizacyjnej przy ocenie ryzyka – Szpital ocenił ryzyka w odniesieniu do swojej działalności, a nie z uwzględnieniem interesów i praw osób, których dane przetwarza. W dokumentacji nie wykazano powiązania pomiędzy poszczególnymi czynnościami przetwarzania a istniejącymi zagrożeniami i podatnościami.
Organ podkreślił także niespójność i nieczytelność dokumentacji – dokumenty nie wskazywały konkretnych zabezpieczeń przypisanych do określonych rodzajów ryzyk. W konsekwencji niemożliwe było ustalenie, czy wdrożone środki były adekwatne i proporcjonalne. Dodatkowo brak było dowodów na systematyczne testowanie zabezpieczeń, co oznaczało naruszenie obowiązków wynikających z art. 32 RODO.
Szczególnie istotny okazał się także brak skutecznych procedur tworzenia i testowania kopii zapasowych. Pomimo istnienia formalnych polityk backupowych, szpital nie był w stanie odzyskać utraconych danych, co w ocenie Prezesa UODO potwierdzało nieadekwatność zastosowanych rozwiązań technicznych.
Organ wskazał również, iż ochrona danych pracowników nie może być traktowana jako mniej istotna niż ochrona danych pacjentów. Dane zatrudnionych, takie jak informacje o zatrudnieniu, wynagrodzeniu czy uprawnieniach, również stanowią dane osobowe i powinny być zabezpieczone w równym stopniu, niezależnie od ich przetwarzania w ramach stosunku pracy.
Komentarz
Decyzja Prezesa UODO w sprawie Szpitala w Białymstoku wpisuje się w ugruntowaną już linię orzeczniczą, akcentującą obowiązek przeprowadzania oceny ryzyka z perspektywy osoby, której dane dotyczą, a nie wyłącznie interesu organizacji. Warto przy tej okazji przypomnieć, iż podobne podejście wyraził Trybunał Sprawiedliwości UE w wyroku z 4.5.2023 r., C-300/21, UI przeciwko Österreichische Post AG, Legalis, wskazując, iż sam fakt przetwarzania danych w sposób sprzeczny z RODO może prowadzić do naruszenia praw jednostki, choćby bez wykazania materialnej szkody.
Z praktycznego punktu widzenia, decyzja powinna skłonić administratorów – zwłaszcza w sektorze publicznym – do ponownej weryfikacji swoich ocen ryzyka oraz polityk bezpieczeństwa. Najczęściej spotykanym błędem jest utożsamianie wymagań z obszaru cyberbezpieczeństwa z obowiązkami wynikającymi z RODO. Tymczasem system ochrony danych osobowych wymaga przeprowadzenia odrębnej analizy, obejmującej konkretne procesy przetwarzania, identyfikację podatności, a także ocenę skutków dla praw i wolności podmiotów danych.
Wskazane jest również wzmocnienie mechanizmów tworzenia kopii zapasowych oraz regularnego testowania procedur odtwarzania danych. Brak możliwości odzyskania danych po incydencie informatycznym nie tylko zwiększa skalę szkody, ale może być interpretowany jako dowód niedochowania należytej staranności w realizacji obowiązków z art. 32 RODO.
Decyzja Prezesa UODO stanowi także przestrogę przed traktowaniem zgodności z przepisami sektorowymi jako wystarczającej gwarancji spełnienia wymagań ochrony danych. Przepisy RODO mają charakter ogólny i horyzontalny – ich przestrzeganie wymaga niezależnej analizy, a nie jedynie powoływania się na audyty z zakresu IT.
Decyzja Prezesa UODO z 30.6.2025 r., DKN.5131.48.2022