Naruszenie danych osobowych w GOPS – jak uniknąć kary?

Aktualności

Redakcja Portalu

26.06.2025

Aktualny

Atak ransomware na Gminny Ośrodek Pomocy Społecznej w Aleksandrowie ujawnił poważne braki w ochronie danych osobowych. UODO nałożył kary za zaniedbania, podkreślając, jak ważna jest rzetelna analiza ryzyka, skuteczne zabezpieczenia techniczne i regularna kontrola przetwarzania danych w OPS. Dowiedz się, jak unikać podobnych incydentów i chronić wrażliwe dane swoich podopiecznych.

Ochrona danych osobowych w GOPS – lekcja z incydentu ransomware

W 2022 roku Gminny Ośrodek Pomocy Społecznej w Aleksandrowie padł ofiarą ataku hakerskiego. W wyniku działania ransomware instytucja utraciła dostęp do szczegółowych danych 1500 osób korzystających z jej wsparcia. Jak wykazało postępowanie UODO, incydent ten mógł zostać skutecznie zapobiegnięty, gdyby wcześniej przeprowadzono rzetelną analizę ryzyka oraz wdrożono odpowiednie środki techniczne i organizacyjne.

Analiza ryzyka danych osobowych – najczęstsze błędy w ośrodkach pomocy społecznej

Choć GOPS oraz Wójt Aleksandrowa formalnie przeprowadzili analizę ryzyka, zidentyfikowane zagrożenie atakiem ransomware zostało zbagatelizowane. Nie wdrożono wystarczających środków zaradczych, mimo świadomości realnego ryzyka. Dodatkowo, dane przechowywano na serwerze z przestarzałym systemem operacyjnym, który już dwa lata wcześniej utracił wsparcie techniczne producenta. Kopie zapasowe, które miały chronić przed utratą danych, były przechowywane na tym samym dysku sieciowym i również zostały zaszyfrowane podczas ataku.

Kontrola przetwarzania danych w GOPS – obowiązek i praktyka

UODO podkreślił, że GOPS nie sprawował należytego nadzoru nad podmiotem przetwarzającym dane – Wójtem Aleksandrowa. Brak regularnych kontroli uniemożliwił wcześniejsze wykrycie słabości systemu ochrony danych. Gdyby taka kontrola była prowadzona, możliwe byłoby szybkie zidentyfikowanie i wyeliminowanie zagrożeń, zanim doszło do incydentu.

Bezpieczeństwo danych w opiece społecznej – konsekwencje zaniedbań

Za niedopełnienie obowiązków UODO nałożył kary administracyjne: 10 tys. zł na Wójta Aleksandrowa oraz 5 tys. zł na GOPS jako administratora danych. Dodatkowo, instytucje musiały odtwarzać utracone dane z pomocą zewnętrznej firmy, co wiązało się z dodatkowymi kosztami i ryzykiem dla bezpieczeństwa informacji.

Jak unikać incydentów? Rekomendacje dla ośrodków pomocy społecznej:

Regularnie przeprowadzaj rzetelną analizę ryzyka dla wszystkich przetwarzanych danych osobowych.
Stosuj aktualizowane systemy operacyjne i skuteczne zabezpieczenia techniczne.
Twórz kopie zapasowe na odseparowanych nośnikach, odpornych na ataki ransomware.
Prowadź regularne kontrole nad przetwarzaniem danych przez podmioty zewnętrzne.
Szkol personel z zakresu bezpieczeństwa informacji i reagowania na incydenty.

Źródło

Serwis UODO, DKN.5131.30.2022

Autor

Redakcja Portalu

Opieka Senioralna to portal dla opiekunów osób starszych, kierowników domów pomocy społecznej, domów opieki oraz osób odpowiedzialnych za politykę senioralną w gminach.