Slabá ochrana údajov môže odrovnať biznis

Bez ohľadu na to, aká veľká je obchodná spoločnosť či aký podiel na trhu tvorí práve jej kus koláča na grafoch, ochrana osobných údajov je prioritnou podmienkou, najmä keď súčasťou podnikania je aj spracúvanie osobných údajov. O to viac, keď ide o citlivé údaje desiatok tisíc klientov, nehovoriac o prípade, keď klienti sú pacienti a citlivé údaje sú informácie o ich zdravotnom stave. Presvedčila sa o tom aj verejnoprávna korporácia pôsobiaca v zdravotníctve Spojeného kráľovstva NHS trust, ktorá sa po fatálnom zlyhaní v oblasti informačnej bezpečnosti ocitla zoči-voči astronomickej finančnej sankcii nebývalých rozmerov.

Úrad anglického Komisára pre informácie ohodnotil predaj starých pevných diskov s informáciami o zdravotnom stave desiatok tisíc pacientov pokutou vo výške 325 000 LIBIER, čo je takmer 404 000 EUR. Pokuta uložená inštitúciou, ktorá ešte niekoľko rokov dozadu nemala dokonca ani právo finančné sankcie ukladať, presahuje aj možnosti nášho Úradu na ochranu osobných údajov SR , ktorého strop je niekde okolo 332 000 EUR.

Pevné disky mal zničiť dodávateľ IT služieb, ale namiesto zničenia boli predané na eBay. Hoci NHS trust uisťoval komisára, že išlo len o 4 kusy diskov, pol roka po prevalení incidentu sa objavil ďalší disk, ktorý si spolu s dátami trustu zakúpil istý študent.

Tento prípad nie je iba mementom dôležitosti dodržiavania princípov ochrany osobných údajov a dôsledného uplatňovania pravidiel informačnej bezpečnosti, ale aj praktickou ukážkou zodpovednosti prevádzkovateľa informačného systému za konanie či nekonanie sprostredkovateľa, u ktorého outsourcuje určité úkony či služby. Aj v zmysle našej legislatívy zodpovedá v konečnom dôsledku prevádzkovateľ, a preto by mal byť pri výbere sprostredkovateľa obozretný a prihliadať najmä na jeho záruky, pokiaľ ide o opatrenia v oblasti technickej, organizačnej a personálnej bezpečnosti. Je potrebné pamätať aj na to, že prevádzkovateľ nesmie zveriť spracúvanie osobných údajov sprostredkovateľovi, ak by tým mohli byť ohrozené práva a právom chránené záujmy dotknutých osôb.

Toto však nie je koniec prípadu bezpečnostného incidentu v NHS trust a podanie odvolania na seba nenechalo dlho čakať. Nemožno totiž ani len predpokladať, že 404 000 EUR by pokutovaný prevádzkovateľ dobrovoľne zaplatil bez využitia všetkých riadnych či mimoriadnych opravných prostriedkov.

Zdroj: http://www.dailymail.co.uk/health/article-2153285/NHS-trust-fined-record-325-000-auctioning-hard-drives-filled-HIV-patients-details-online.html

Pridaj komentár