Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Kontrola provozovatele nestátního zdravotnického zařízení

Kontrola zabezpečení internetových stránek v souvislosti s předáváním výsledků zdravotních vyšetření

Kontrola byla zahájena na základě ohlášení případu porušení zabezpečení osobních údajů a především na základě dalších skutečností, které byly Úřadem pro ochranu osobních údajů zjištěny v rámci úkonů předcházejících kontrole. V rámci těchto úkonů byly zjištěny nedostatky v zabezpečení internetových stránek, které v prvotním ohlášení porušení zabezpečení osobních údajů nebyly popsány.

Předmětem kontroly bylo dodržování povinností stanovených kontrolované osobě nařízením (EU) 2016/679 a zákonem č. 110/2019 Sb., o zpracování osobních údajů, v souvislosti se zpracováním osobních údajů prostřednictvím elektronických komunikačních prostředků a jejich zabezpečení z hlediska ochrany osobních údajů. Konkrétně se kontrola zaměřila na možné porušení čl. 24 a čl. 32 nařízení (EU) 2016/679 při předávání výsledků zdravotních vyšetření prostřednictvím internetových stránek.

Kontrolovaná osoba je provozovatelem nestátního zdravotnického zařízení, které poskytuje pacientům řadu diagnostických vyšetření. Na svých internetových stránkách následně předává výsledky vyšetření, a to jak pacientům, tak i lékařům, kteří vyšetření doporučili. Dochází tak ke zpracování údajů o zdravotním stavu, tj. zvláštních kategorií osobních údajů ve smyslu čl. 9 odst. 1 nařízení (EU) 2016/679. Předmětem ohlášení případu porušení zabezpečení bylo napadení internetové stránky neznámým útočníkem (později ztotožněným Policií ČR), který následně e mailovou zprávou kontrolovanou osobu upozornil na nedostatky týkající se hesla, jímž byly výsledky vyšetření zpřístupňovány, a na slabé zabezpečení protokolu samotné stránky. V návaznosti na tuto událost kontrolovaná osoba zastavila provoz předmětné internetové stránky a navrhla technická opatření pro vyšší zabezpečení. Úřad však zjistil, že i další internetové stránky, provozované kontrolovanou osobou za účelem předávání výsledků vyšetření, vykazují stejné nedostatky. Jejich provoz však nebyl omezen a ani nedošlo k implementaci nových technických opatření.

Provedenou kontrolou bylo zjištěno porušení povinností správce osobních údajů, vyplývajících z čl. 24 a čl. 32 nařízení (EU) 2016/679, neboť kontrolovaná osoba nepřijala taková technická a organizační opatření, aby zajistila a byla schopna doložit, že zpracování osobních údajů je prováděno v souladu s nařízením (EU) 2016/679, resp. neprovedla taková technická a organizační opatření, aby bylo dosaženo úrovně zabezpečení odpovídající danému riziku. Kontrolovaná osoba využívala u internetových stránek zpřístupňujících výsledky vyšetření nezabezpečený protokol komunikace a slabě zabezpečené přístupové heslo. Totožné heslo ke zpřístupnění výsledků vyšetření bylo navíc předáváno jak subjektu údajů, tak i lékaři, který vyšetření vyžádal. Absentovalo vedení evidence přístupů k osobním údajům a administrátorský přístup k systému zpřístupňování výsledků vyšetření, kterým disponuje zpracovatel osobních údajů, nebyl evidován a byl zabezpečen pouze heslem o síle tří znaků. Kontrolovaná osoba tak postrádala schopnost zajistit neustálou důvěrnost osobních údajů obsažených ve výsledcích vyšetření. Závadný stav začala kontrolovaná osoba napravovat již v době probíhající kontroly, kdy zavedla zabezpečený protokol na internetových stránkách, změnila systém vytváření přístupových hesel a implementovala opatření, které má zabránit nahodilým pokusům získat neoprávněný přístup k výsledkům vyšetření, v podobě zablokování IP adresy v případě opakovaného zadávání nesprávného hesla.

Přijatá nápravná opatření však byla pouze částečná a nebyla implementována na všech internetových stránkách zpřístupňujících výsledky vyšetření, proto bude Úřadem uloženo opatření k nápravě v rámci navazujícího správního řízení.

Doplňující informace

Zabezpečení zpracování zvláštních kategorií osobních údajů musí být s ohledem na rizikovost a citlivost zpracování takových údajů věnována adekvátní a neustálá pozornost. Veškerá opatření zvyšující zabezpečení zpracování musí být implementována na příslušný informační systém jako celek a tato opatření musí být pravidelně revidována.