NARUSZENIE OCHRONY DANYCH OSOBOWYCH

Otwock, 8.04.2024r

KOMUNIKAT O NARUSZENIU OCHRONY DANYCH OSOBOWYCH W CENTRUM MEDYCZNYM TW-MED

Szanowni Państwo,

na polecenie Prezesa Urzędu Ochrony Danych Osobowych, TW-MED Wojciechowski Spółka Jawna, z siedzibą przy ul. Michała Elwiro Andriollego 34/3, 05-400 Otwock, NIP: 5322101904, KRS: 0001002541, ponownie powiadamia o naruszeniu ochrony danych osobowych dotyczących pacjentów Centrum Medycznego TW-MED w latach 2018 – 2023.

NA CZYM POLEGAŁO NARUSZENIE:

Naruszenie polegało na tym, że w dniu 13 stycznia 2023 r. doszło do ataku hackerskiego na infrastrukturę serwerową Centrum Medycznego TW-MED, w wyniku którego nieuprawniony podmiot dokonał zaszyfrowania danych zgromadzonych na serwerze w sposób uniemożliwiający Centrum Medycznemu TW-MED dostęp do danych, w tym wykonanie kopii bezpieczeństwa.

JAKI JEST ZAKRES DANYCH:

Zakres zaszyfrowanych danych obejmował bazę wszystkich pacjentów Centrum Medycznego TW-MED z lat 2018 – 2023, w tym takie dane jak: imię i nazwisko, numer PESEL, dane kontaktowe, wyniki badań i inne dane zgromadzone w dokumentacji medycznej pacjenta, w tym w szczególności dane dotyczące stanu zdrowia.

CZY NARUSZENIE ZOSTAŁO ZGŁOSZONE:

Naruszenie zostało zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych oraz organom ścigania.

Centrum Medyczne TW-MED podjęło działania zmierzające do przywrócenia bazy danych pacjentów.

JAKI ZAKRES DZIAŁAŃ NALEŻY PODJĄĆ,ABY ZMINIMALIZOWAĆ RYZYKO NEGATYWNYCH SKUTKÓW:

Nie wykryto innych działań niż zaszyfrowanie bazy danych pacjentów, które mogłyby wskazywać na dalsze wykorzystanie tych danych przez osoby nieuprawnione. Nie otrzymaliśmy informacji, aby na skutek ataku dane jakiejkolwiek osoby zostały wykorzystane w sposób sprzeczny z interesami tych osób, np. w celu uzyskania pożyczek, kredytów czy ubezpieczeń.

Na podstawie art. 34 RODO jesteśmy jednak zobowiązani do poinformowania Państwa o zidentyfikowanych, możliwych konsekwencjach naruszenia danych osobowych takich jak:

• uzyskania przez osoby trzecie (na szkodę osoby, której dane osobowe naruszono) kredytów w instytucjach poza bankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób (np. przez Internet lub telefonicznie) bez konieczności okazywania dokumentu tożsamości;
• uzyskania przez osoby trzecie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono oraz do jej danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL;
• podjęcia przez osoby trzecie próby wyłudzenia ubezpieczenia (lub środków z ubezpieczenia), co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu;
• zarejestrowania przedpłaconej karty telefonicznej (prepaid), która może posłużyć do celów przestępczych;
• próby zawarcia przez osoby trzecie umów cywilnoprawnych (np. najmu nieruchomości);
• wykorzystania danych przez osoby trzecie do ukrycia swojej tożsamości (np. przy otrzymywaniu mandatów).;
• naruszenia dóbr osobistych osób, których dane dotyczą, poprzez ich dyskryminację, w związku z ujawnieniem szczególnej kategorii danych osobowych, tj. danych dotyczących zdrowia

ŚRODKI ZASTOSOWANE LUB PROPONOWANE PRZEZ ADMINISTRATORA W CELU ZARADZENIA NARUSZENIU:

Pomimo braku informacji o nieuprawnionym wykorzystaniu danych, w celu zabezpieczenia się przed ewentualnymi negatywnymi skutkami zaistniałego naruszenia zalecamy, aby osoby których dane osobowe mogły ulec naruszeniu, rozważyły podjęcie kroków minimalizujących ryzyko wystąpienia negatywnych konsekwencji i nieuprawnionego wykorzystania danych m.in.

1. poprzez założenie konta w systemie informacji kredytowej i gospodarczej, celem monitorowania swojej aktywności kredytowej (na rynku dostępne są systemy, instytucje i przedsiębiorstwa, które oferują usługi pozwalające na monitorowanie swojej aktywności kredytowej:

• Biuro Informacji Kredytowej S.A. strona https://www.bik.pl,
• Biuro Informacji Gospodarczej InfoMonitor S.A. strona https://big.pl,
• Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. strona https://krd.pl,
• Serwis CHRONPESEL: https://www.chronpesel.pl

2. poprzez zastrzeżenie dowodu osobistego:
3. poprzez zastrzeżenie w Systemie DOKUMENTY ZASTRZEŻONE – w swoim banku (osobiście lub poprzez infolinię banku)lub w dowolnym banku przyjmującym zastrzeżenia także od osób niebędących jego klientami (wystarczy zgłosić zastrzeżenie tylko w jednym banku, a dane zostaną automatycznie przekazane do wszystkich pozostałych uczestników Systemu DZ).

Można skorzystać z konta na stronie www.bik.pl (tylko pod warunkiem, że osoba zastrzegająca miała tam już wcześniej założone konto z wykorzystaniem danych z utraconego dokumentu).

4. zawiadomienie najbliższego organu gminy i wyrobienie nowego dokumentu.

Informacje dotyczące konieczności zawiadomienia organu gminy o utracie dokumentu, znajdują się na stronie gov.pl.

W celu zminimalizowania ewentualnych negatywnych skutków naruszenia zalecamy, aby ignorować nieoczekiwane treści wiadomości, w tym telefonicznych, w trakcie których nastąpi próba uzyskania informacji na temat Państwa danych osobowych – w tym w szczególności numeru dowodu osobistego.

W takim przypadku, przed podaniem informacji zalecamy zweryfikowanie innym kanałem komunikacji czy dany podmiot, np. bank lub policja, kontaktował się z Państwem w celu otrzymania takich informacji.

W związku z faktem, iż naruszenie dotyczy danych dotyczących zdrowia, informujemy o możliwości skorzystania ze środków ochrony dóbr osobistych wskazanych w przepisach ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny oraz ustawy z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego, tj.:

1. możliwości dochodzenia zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy na cel społeczny,
2. możliwości wystąpienia z roszczeniem o zaniechanie działania zagrażającego dobru osobistemu,
3. możliwości wniesienia powództwa o ustalenie, że określone dobro osobiste zostało naruszone lub zagrożone,
4. możliwości wystąpienia z roszczeniem o usunięcie skutków naruszenia poprzez złożenie oświadczenia w odpowiedniej treści i formie.

Z KIM NALEŻY KONTAKTOWAĆ SIĘ W SPRAWIE NARUSZENIA:

W celu uzyskania wszelkich informacji związanych z dokonanym naruszeniem i podjętymi w związku z nim działaniami, prosimy kontaktować się z Panem Tadeuszem Wojciechowskim – Wspólnikiem TW-MED Sp. J.:

• pod numerem telefony: 602-668-182,
• za pośrednictwem adresu e-mail: tw-med@o2.pl,
• w siedzibie Centrum Medycznego TW-MED (po wcześniejszym umówieniu),

a także z powołanym przez TW-MED Sp. J. Inspektorem Ochrony Danych – Panem Pawłem Maliszewskim, za pośrednictwem adresu e-mail: iod@perfectinfo.pl.