Publiczny Komunikat
Ponowne zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych
Administrator danych osobowych, Niepubliczny Zakład Opieki Zdrowotnej „MELISA” Magdalena Kręt-Woźniewicz, Marcin Woźniewicz spółka jawna („Administrator”), , ul. 11 Listopada 4/18, 05-300 Mińsk Mazowiecki, realizując obowiązek zawarty w art. 34 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”) zawiadamia naruszeniu ochrony danych osobowych osób, których dane dotyczą,.
Opis charakteru naruszenia
W dniu 18 lipca 2022 r., wskutek zawiadomienia stwierdzono zaistnienie incydentu polegającego na tym, że poza przychodnię prowadzoną przez Administratora, została wyniesiona dokumentacja medyczna niektórych pacjentów, która była dokumentacją archiwalną przeznaczoną do utylizacji. Dokumentacja medyczna pochodziła z lat 2017-2022. Dokumentacja obejmowała następujące dane osobowe zwykłe: imię, nazwisko, numer PESEL oraz dane szczególne obejmujące dane dotyczące zdrowia – wyniki badań laboratoryjnych, bez rozpoznania choroby.
Podjęte działania związane z incydentem
W dniu 19 lipca 2022 r. Administrator odebrał wszystkie dokumenty, które obecnie znajdują się w jego posiadaniu. Administrator zażądał usunięcia wszelkich ewentualnych kopii danych osobowych, które mogły zostać wykonane. Administrator podjął działania prawne wymagane w zaistniałej sytuacji. Jednocześnie Administrator zaplanował także dodatkowe szkolenia z zakresu ochrony danych osobowych.
Informujemy, że naruszenie zostało także zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych.
Opis możliwych konsekwencji
Zdarzenie doprowadziło do wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, czego skutkiem może być szczególności:
- Próba uzyskania przez osobę trzecią na szkodę osób, których dane dotyczą, pożyczek w instytucjach pozabankowych, np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości;
- Próba uzyskania przez osobę trzecią dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskania wglądu do danych o stanie zdrowia tych osób (w przypadku systemów rejestracji pacjenta, w których tożsamość potwierdzana jest za pomocą numeru PESEL);
- Dane mogą zostać wykorzystane przez osobę trzecią w celu przeprowadzenia próby wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu;
- Osoby trzecie mogą podjąć próbę korzystania z praw obywatelskich osoby, której dane dotyczą, np.: w celu głosowania nad środkami budżetu obywatelskiego, co uniemożliwiałoby właściwej osobie skorzystanie z przysługującego jej prawa;
- Osoby trzecie mogą podjąć próbę zawarcia na szkodę podmiotu danych umów cywilnoprawnych, np. umowa najmu;
- Dane osobowe mogą zostać wykorzystane przez osoby trzecie do próby ukrycia swojej tożsamości, np. przy otrzymywaniu mandatu;
- W wyniku naruszenia mogło dojść do powstania uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, o których mowa w motywie 85 Preambuły RODO;
- Naruszenie może spowodować negatywne skutki emocjonalne u pacjentów;
- Dane mogą być wykorzystane w celu szantażowania pacjentów;
Zalecane środki do podjęcia
W celu zabezpieczenia się przed negatywnymi skutkami zaistniałego naruszenia, zalecamy podjęcie następujących kroków, mogących minimalizować ryzyko wystąpienia negatywnych konsekwencji i nieuprawnionego wykorzystania danych osobowych:
- założenie konta w jednym z oferowanych na rynku systemów informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej oraz włączenie funkcji powiadomień informujących o próbie wyłudzenia kredytu;
- zachowanie szczególnej ostrożności przy podawaniu swoich danych osobowych innym osobom;
- powiadomienie o incydencie podmiotów przetwarzających dane osobowe, których naruszenie dotyczy, np. pożyczkodawców lub sieć telekomunikacyjną;
- zmianę używanego loginu (o ile dany serwis dopuszcza taką zmianę) w systemach, w których, jako login wykorzystywali Państwo numer PESEL;
- w usługach, w których numer PESEL jest hasłem dostępowym, zalecamy rozważenie zmiany hasła lub zastosowanie uwierzytelniania dwuskładnikowego
Gdzie można uzyskać więcej informacji
Jeżeli ma Pani/Pan jakiekolwiek pytania lub chciałaby/chciałby Pani/Pan przekazać nam dodatkowe informacje w związku z zaistniałym zdarzeniem, prosimy o kontakt z naszym Inspektorem Ochrony Danych Osobowych:
Inspektor Ochrony Danych: Karolina Nowak-Różycka
Adres e-mail: iod@przychodniamelisa.pl
Publiczny Komunikat
Zawiadomienie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych
Administrator danych osobowych Niepubliczny Zakład Opieki Zdrowotnej „MELISA” Magdalena Kręt-Woźniewicz, Marcin Woźniewicz spółka jawna („Administrator”) ul. 11 Listopada 4/18, 05-300 Mińsk Mazowiecki, realizując obowiązek zawarty w art. 34 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”) zawiadamia o ryzyku naruszenia ochrony danych osobowych osób, których dane dotyczą.
Opis charakteru naruszenia
W dniu 18 lipca 2022 r., wskutek zawiadomienia stwierdzono zaistnienie incydentu polegającego na tym, że poza przychodnię prowadzoną przez Administratora, została wyniesiona dokumentacja medyczna niektórych pacjentów, która była dokumentacją archiwalną przeznaczoną do utylizacji. Dokumentacja medyczna pochodziła z lat 2017-2022. Dokumentacja obejmowała następujące dane osobowe zwykłe: imię, nazwisko, numer PESEL oraz dane szczególne obejmujące dane dotyczące zdrowia – wyniki badań laboratoryjnych, bez rozpoznania choroby.
Podjęte działania związane z incydentem
W dniu 19 lipca 2022 r. Administrator odebrał wszystkie dokumenty, które obecnie znajdują się w jego posiadaniu. Administrator zażądał usunięcia wszelkich ewentualnych kopii danych osobowych, które mogły zostać wykonane. Administrator podjął działania prawne wymagane w zaistniałej sytuacji. Jednocześnie Administrator zaplanował także dodatkowe szkolenia z zakresu ochrony danych osobowych.
Informujemy, że naruszenie zostało także zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych.
Opis możliwych konsekwencji
Zdarzenie doprowadziło do wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, czego skutkiem może być szczególności:
a. Próba uzyskania przez osobę trzecią na szkodę osób, których dane dotyczą, pożyczek w instytucjach pozabankowych, np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości;
b. Próba uzyskania przez osobę trzecią dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskania wglądu do danych o stanie zdrowia tych osób (w przypadku systemów rejestracji pacjenta, w których tożsamość potwierdzana jest za pomocą numeru PESEL);
c. Dane mogą zostać wykorzystane przez osobę trzecią w celu przeprowadzenia próby wyłudzenia ubezpieczenia;
d. Osoby trzecie mogą podjąć próbę zawarcia na szkodę podmiotu danych umów cywilnoprawnych, np. umowa najmu;
e. Dane osobowe mogą zostać wykorzystane przez osoby trzecie do próby ukrycia swojej tożsamości, np. przy otrzymywaniu mandatu;
f. W wyniku naruszenia mogło dojść do powstania uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, o których mowa w motywie 85 Preambuły RODO;
g. Naruszenie może spowodować negatywne skutki emocjonalne u pacjentów;
h. Dane mogą być wykorzystane w celu szantażowania pacjentów;
Gdzie można uzyskać więcej informacji
Jeżeli ma Pani/Pan jakiekolwiek pytania lub chciałaby/chciałby Pani/Pan przekazać nam dodatkowe informacje w związku z zaistniałym zdarzeniem, prosimy o kontakt z naszym Inspektorem Ochrony Danych Osobowych:
Inspektor Ochrony Danych: Karolina Nowak-Różycka
Adres e-mail: iod@przychodniamelisa.pl