Poskytovatel zdravotnických služeb (soukromá poliklinik v Praze) byl cílem úspěšného kybernetického útoku. Lékaři se týden nemohli dostat k dokumentaci skoro 250.000 pacientů. Naštěstí se to obešlo bez přímých negativních dopadů do života či zdraví dotčených lidí. I tento případ nám ale připomíná, že negativní důsledky do práv a svobod osob nemá jen únik osobních údajů či jejich neoprávněné zveřejnění, ale i jejich nedostupnost pro legitimní uživatele, například zdravotnického pracovníka.
Poliklinika po týdnu obnovila plný provoz a jelo se dál. Jenže ouha, ozval se Úřad pro ochranu osobních údajů. Ověřil především to, jak poliklinika o incidentu informovala – dotčené osoby i samotný úřad, a jak incident hodnotila z pohledu dopadu do osobních údajů. Poliklinika příliš neobstála a dostala pokutu 309.000 Kč. Snažila se bránit i soudně, ale Nejvyšší správní soud dne 21. května 2025 definitivně potvrdil, že k porušení GDPR došlo. Pokuta definitivně platí.
Tři časté chyby při řešení GDPR incidentů
Jaká pochybení ÚOOÚ poliklinice vytýkal? Za jaká porušení GDPR dostala pokutu?
1) Incident nebyl včas oznámen Úřadu pro ochranu osobních údajů
Všichni víme, že případy porušení zabezpečení osobních údajů musí být dozorovému úřadu oznámeny do 72 hodin. Výjimkou jsou jen ty incidenty, které představují nízké riziko pro práva a svobody dotčených osob, což jistě nebyl tento případ – útok s dopadem na dokumentaci zdravotnického zařízení.
Poliklinika ÚOOÚ ve lhůtě 72 hodin o incidentu neinformovala. A opravdu se nejednalo o minutové zpoždění. Zástupce polikliniky argumentoval tím, že oznámení měla na základě uzavřené smlouvy podat její mateřská společnost, takže oni za nic neodpovídají. Tato argumentace taky neuspěla.
Ponaučení do praxe: Ověřte si, že incidenty s dopadem do osobních údajů jsou eskalovány a vyhodnocovány ve lhůtách, které umožňují jejich reporting na ÚOOÚ v požadovaných 72 hodinách. Zkontrolujte, zda máte zavedený a popsaný proces pro řešení GDPR incidentů, včetně určení odpovědnosti konkrétního pracovníka za informování dozorového úřadu.
2) O incidentu nebyli prokazatelně informování pacienti
O porušení zabezpečení osobních údajů, které představuje vysoké riziko pro práva a svobody subjektů údajů, musí být dotčené osoby informovány. A to včetně možných rizik a opatření, které pro jejich snížení přijal správce nebo které mohou provést dotčené osoby samy.
Poliklinika údajně dotčené pacienty informovala na svých webových stránkách. To je obecně přijatelný postup, zejména v případě velkého množství dotčených osob, u kterých by individuální komunikace byla nepřiměřeně nákladná nebo trvala dlouho. Zástupce polikliniky ovšem nebyl schopen nijak doložit, kdy, kde a v jakém rozsahu byly informace na jeho webu dostupné. Nepořídil si otisk webu, nedokázal danou stránku rekonstruovat ani obnovit ze záloh. Čestné prohlášení jednatelky jako důkaz opravdu nestačilo.
Ponaučení do praxe: Co není zdokumentováno, to se nestalo! Platí to pro nastavení parametrů zpracování osobních údajů či bezpečnostních opatření, posouzení oprávněného zájmu i pro informování klientů o bezpečnostním incidentu. Při kontrole platí, že pokud správce nedokáže doložit, že klienty informoval, tak je neinformoval.
3) Incident nebyl vyhodnocen z pohledu dopadu do soukromí
Poliklinika úřadu při kontrole předložila dokumentaci týkající se řešení kybernetického útoku. Tato dokumentace byla z větší části technická a provozní a neobsahovala vyhodnocení, jestli a jak v důsledku incidentu bylo zasaženo do práv a svobod dotčených osob a jakým způsobem byla zasažena jejich osobní data.
Když jim to ÚOOÚ vytkl, zástupce polikliniky až ex post argumentoval, že data byla zašifrována, takže k zásahu do práv dotčených osob vlastně vůbec dojít nemohlo. Ovšem ani způsob šifrování či jiné ochrany dat poliklinika přesvědčivě nedoložila.
Ponaučení do praxe: Už v prvotních fázích řešení kybernetického incidentu hodnoťte, jestli incident může mít dopad na osobní údaje a na práva či svobody dotčených lidí. Tuto analýzu zopakujte v okamžiku, kdy už znáte všechny reálné důsledky incidentu. Pokud je ve vaší organizaci jmenován pověřenec pro ochranu osobních údajů, konzultujte to s ním. Výsledek posouzení opět zdokumentujte.
Jsou vaše GDPR procesy aktuální?
Řada organizací zavedla interní procesy pro zajištění souladu s GDPR už před řadou let a od té doby jede na autopilota. Proces jakž takž funguje, nic dramatického se neděje, tak není co řešit. Jenže ono se leccos změnilo: Okolní svět, hrozby, rizika, možnosti techniky – a také výklad GDPR a konkrétních povinností správců a zpracovatelů.
Chcete se vyhnout úniku osobních údajů, porušení GDPR, ztrátě důvěry klientů a pokutě? Ověřte si, zda vaše interní procesy a dokumentace stále odpovídají realitě, jsou aktuální a úplné. A zda je vaši zaměstnanci znají a vědí, že podle nich mají postupovat. Jen pak si budete moc být jistí, že vám nehrozí stejné problémy, jako naší pražské poliklinice.
