Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Poliklinika (UOOU-01752/21)

Kontrola dodržování povinností stanovených nařízením GDPR v souvislosti s kybernetickým útokem na servery obsahující osobní údaje, vůči nimž byla kontrolovaná osoba v pozici správce.

Kontrola byla zahájena v listopadu 2021 ústním jednáním a místním šetřením v sídle kontrolované osoby, a to na základě obdržené stížnosti obsahující podezření na porušení zabezpečení osobních údajů v souvislosti s bezpečnostním incidentem spojeným s hackerským útokem podniknutým dne 14. března 2021 a na základě přijatého ohlášení porušení zabezpečení osobních údajů, podle kterého mělo být cílem útoku zašifrování dat s následným vymáháním finanční částky.

Úřad provedl prošetření skutečností souvisejících s předmětným útokem, včetně ústních jednání a místních šetření u kontrolované osoby a jejího zpracovatele, společnosti provozující servery postižené hackerským útokem.

Kontrolující konstatovali porušení ustanovení čl. 33 odst. 1 nařízení GDPR tím, že bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se dozvěděla o porušení zabezpečení osobních údajů, neohlásila toto porušení Úřadu. Kontrolovaná osoba se o porušení zabezpečení prokazatelně dozvěděla 15. března 2021 (telefonicky) a 18. března 2021 (písemně), přičemž ohlášení porušení zabezpečení pak prokazatelně učinila až dne 23. listopadu 2021.

Kontrolovaná osoba dle kontrolujících nedoložila splnění povinnosti stanovené v ustanovení čl. 34 odst. 1 nařízení GDPR, tj. nedoložila, že by vhodným způsobem oznámila porušení zabezpečení osobních údajů subjektům údajů.

Dále bylo zjištěno, že kontrolovaná osoba porušila ustanovení čl. 33 odst. 5 nařízení GDPR, z důvodu, že jí vedená dokumentace porušení zabezpečení osobních údajů neobsahuje účinky daného porušení.

Kontrolovaná osoba podala proti kontrolním zjištěním námitky, přičemž bylo (částečně) vyhověno pouze námitce směřující proti kontrolnímu zjištění, ve kterém je konstatováno, že došlo k porušení zabezpečení ochrany osobních údajů z důvodu nedostatečného nastavení ochrany osobních údajů zpracovatelem. Z vyjádření NÚKIB totiž vyplynulo, že instalace opravy serverového software z 2. března 2021 nevyřeší situace, kdy je server již kompromitován. Zranitelnosti mohly být dle NÚKIB vyjádření využívány už od ledna 2021, přičemž k hackerskému útoku došlo 14. března 2021. Úřadu se ani z podkladů poskytnutých kontrolovanou osobou a zpracovatelem nepodařilo zjistit, kdy došlo k neoprávněnému přístupu na servery zpracovatele (neboť datum útoku se s datem porušení zabezpečení osobních údajů nemusí shodovat), a zda tedy zpracovatel reagoval na hrozbu pozdě. K tomu však Úřad dodal, že i v případě kybernetického útoku je správce povinen plnit povinnosti vyplývající z nařízení GDPR a jejich plnění v souladu s čl. 5 odst. 2 uvedeného nařízení doložit.

Kontrola byla ukončena v prosinci 2022 a spis byl předán k zahájení správního řízení.