Úřad pro ochranu osobních údajů


International


Vyhledávání

 

Základní odkazy


Cesta: Titulní stránka > Hlavní menu > Zahraničí > Rada Evropy > Doporučení CM/Rec (2010) 13 Výboru ministrů členským státům o ochraně osob s ohledem na automatizované zpracování osobních údajů

 

Kontrola zabezpečení internetových stránek v souvislosti s předáváním výsledků zdravotních vyšetření

Kontrola provozovatele nestátního zdravotnického zařízení

 
 
 
Kontrola byla zahájena na základě ohlášení případu porušení zabezpečení osobních údajů a především na základě dalších skutečností, které byly Úřadem pro ochranu osobních údajů zjištěny v rámci úkonů předcházejících kontrole. V rámci těchto úkonů byly zjištěny nedostatky v zabezpečení internetových stránek, které v prvotním ohlášení porušení zabezpečení osobních údajů nebyly popsány. 

Předmětem kontroly bylo dodržování povinností stanovených kontrolované osobě nařízením (EU) 2016/679 a zákonem č. 110/2019 Sb., o zpracování osobních údajů, v souvislosti se zpracováním osobních údajů prostřednictvím elektronických komunikačních prostředků a jejich zabezpečení z hlediska ochrany osobních údajů. Konkrétně se kontrola zaměřila na možné porušení čl. 24 a čl. 32 nařízení (EU) 2016/679 při předávání výsledků zdravotních vyšetření prostřednictvím internetových stránek. 

Kontrolovaná osoba je provozovatelem nestátního zdravotnického zařízení, které poskytuje pacientům řadu diagnostických vyšetření. Na svých internetových stránkách následně předává výsledky vyšetření, a to jak pacientům, tak i lékařům, kteří vyšetření doporučili. Dochází tak ke zpracování údajů o zdravotním stavu, tj. zvláštních kategorií osobních údajů ve smyslu čl. 9 odst. 1 nařízení (EU) 2016/679. Předmětem ohlášení případu porušení zabezpečení bylo napadení internetové stránky neznámým útočníkem (později ztotožněným Policií ČR), který následně e mailovou zprávou kontrolovanou osobu upozornil na nedostatky týkající se hesla, jímž byly výsledky vyšetření zpřístupňovány, a na slabé zabezpečení protokolu samotné stránky. V návaznosti na tuto událost kontrolovaná osoba zastavila provoz předmětné internetové stránky a navrhla technická opatření pro vyšší zabezpečení. Úřad však zjistil, že i další internetové stránky, provozované kontrolovanou osobou za účelem předávání výsledků vyšetření, vykazují stejné nedostatky. Jejich provoz však nebyl omezen a ani nedošlo k implementaci nových technických opatření. 

Provedenou kontrolou bylo zjištěno porušení povinností správce osobních údajů, vyplývajících z čl. 24 a čl. 32 nařízení (EU) 2016/679, neboť kontrolovaná osoba nepřijala taková technická a organizační opatření, aby zajistila a byla schopna doložit, že zpracování osobních údajů je prováděno v souladu s nařízením (EU) 2016/679, resp. neprovedla taková technická a organizační opatření, aby bylo dosaženo úrovně zabezpečení odpovídající danému riziku. Kontrolovaná osoba využívala u internetových stránek zpřístupňujících výsledky vyšetření nezabezpečený protokol komunikace a slabě zabezpečené přístupové heslo. Totožné heslo ke zpřístupnění výsledků vyšetření bylo navíc předáváno jak subjektu údajů, tak i lékaři, který vyšetření vyžádal. Absentovalo vedení evidence přístupů k osobním údajům a administrátorský přístup k systému zpřístupňování výsledků vyšetření, kterým disponuje zpracovatel osobních údajů, nebyl evidován a byl zabezpečen pouze heslem o síle tří znaků. Kontrolovaná osoba tak postrádala schopnost zajistit neustálou důvěrnost osobních údajů obsažených ve výsledcích vyšetření. Závadný stav začala kontrolovaná osoba napravovat již v době probíhající kontroly, kdy zavedla zabezpečený protokol na internetových stránkách, změnila systém vytváření přístupových hesel a implementovala opatření, které má zabránit nahodilým pokusům získat neoprávněný přístup k výsledkům vyšetření, v podobě zablokování IP adresy v případě opakovaného zadávání nesprávného hesla. 

Přijatá nápravná opatření však byla pouze částečná a nebyla implementována na všech internetových stránkách zpřístupňujících výsledky vyšetření, proto bude Úřadem uloženo opatření k nápravě v rámci navazujícího správního řízení.

Doplňující informace:
Zabezpečení zpracování zvláštních kategorií osobních údajů musí být s ohledem na rizikovost a citlivost zpracování takových údajů věnována adekvátní a neustálá pozornost. Veškerá opatření zvyšující zabezpečení zpracování musí být implementována na příslušný informační systém jako celek a tato opatření musí být pravidelně revidována.
 

Kontext

Umístění: Složky dokumentů > Mapa stránek > Hlavní menu > Dozorová a rozhodovací činnost > Ukončené kontroly > Kontroly za rok 2020 > Kontrolní činnost v oblasti ochrany osobních údajů - 1. pololetí > Zdravotnictví > Kontrola zabezpečení internetových stránek v souvislosti s předáváním výsledků zdravotních vyšetření

Zobrazit aktuální dokumenty | archiv dokumentů | dokumenty včetně archivu

 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém