Urzędu Ochrony Danych Osobowych (UODO) har utfärdat en sanktionsavgift på 40 000 zloty mot Publiczny Zespół Opieki Zdrowotnej z siedzibą w (SPZOZ) för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att SPZOZ anmälde ett dataintrång till OUDO som därefter utredde ärendet. SPZOZ hade utsatts för en ransomware-attack där personuppgifter stulits. Vårdinrättningens dataskyddsombud informerade dock inte de drabbade eftersom han felaktigt trodde att det inte fanns någon större risk för att känsliga uppgifter skulle gå förlorade.
UODO:s utredning visade att de åtgärder som vidtagits för att skydda de behandlade uppgifterna var otillräckliga, till exempel uppdaterades inte de program som användes regelbundet. Dessutom har SPZOZ inte gjort några riskbedömningar.
UODO konstaterade att SPZOZ underlåtit att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter i syfte att förhindra sådana incidenter. Vidare konstaterade UODO att SPZOZ underlåtit att underrätta de registrerade om incidenten. Enligt UODO utgjorde detta överträdelser av artiklarna 5.1 (f), 5.2, 24.1, 25.1, 32.1, 32.2 och 34.1 GDPR.