Naruszenie ochrony danych osobowych

Aktualizacja z dnia 26.03.2020 r.
Szanowni Państwo,

 

Administrator danych osobowych, jakim jest Dolnośląski Wojewódzki Ośrodek Medycyny Pracy 
z siedzibą we Wrocławiu przy pl. Oławskiej 14 (zwany dalej DWOMP), niniejszym informuje
o możliwym naruszeniu ochrony danych osobowych związanych z incydentem do jakiego doszło
w dniu 03.03.2020.

Naruszenie polegało na zainfekowaniu złośliwym oprogramowaniem niektórych serwerów w Dolnośląskich Wojewódzkim Ośrodku Medycyny Pracy, co w konsekwencji doprowadziło do zaszyfrowania plików a nie ich pobrania, wycieku itp.  Nadmieniamy, że bazy danych nie zostały  naruszone, ani medyczne ani finansowe, były one wydzielone na osobnej maszynie do której sprawca nie uzyskał dostępu.


Na serwerze, do którego się włamano mogły znajdować się dane osobowe, pracowników
i współpracowników. W przypadku pracowników lub współpracowników: imię, nazwisko, PESEL, dane kontaktowe. Administrator podczas postępowania wyjaśniającego stwierdził, że istnieje znikome prawdopodobieństwo, iż podmiot trzeci pobrał wyżej wymienione dane osobowe. Nie mniej jednak nie może tego całkowicie wykluczyć, a co za tym idzie istnieje ryzyko zapoznania się przez podmiot trzeci z treścią ww. danych i wykorzystywania ich bez zgody osób uprawnionych.


Możliwymi konsekwencjami naruszenia jest nieuprawnione wykorzystanie danych osobowych w celu m. in.:

  • uzyskania przez osoby trzecie, na szkodę osób, których dane naruszono,
  • uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobom, których dane naruszono oraz ich danych o stanie zdrowia,
  • korzystania z praw obywatelskich osób, których dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego,
  • wyłudzenia ubezpieczenia lub środków z ubezpieczenia,
  • zarejestrowanie przedpłaconej karty telefonicznej (pre-paid).

Aby zabezpieczyć się przed negatywnymi skutkami zaistniałego naruszenia zalecamy, aby osoby, których dane osobowe mogły brać udział w wyżej opisanym naruszeniu, podjęły kroki minimalizujące negatywne ryzyko opisanego nieuprawnionego pozyskania danych np. poprzez:

  • założenie konta w Biurze Informacji Kredytowej w celu monitorowania swojej aktywności kredytowej np. na poniższych stronach: Biuro Informacji Kredytowej S.A. https://www.bik.pl/jak-zalozyc-konto, Biuro Informacji Gospodarczej InfoMonitor S.A. big.pl), Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. https://krd.pl, Serwis CHRONPESEL.PL https://chronpesel.pl
  • a w przypadku stwierdzenia jakichkolwiek nieprawidłowości – zgłoszenia tego faktu organom ścigania,
  • zachowanie szczególnej ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu.

Podjęcie tych działań ma na celu zabezpieczenie danych osobowych przed ich niewłaściwym wykorzystaniem.

W celu zaradzenia naruszenia i zminimalizowania negatywnych skutków dla osób, których dane dotyczą powiadomiliśmy także odpowiednie organy o zdarzeniu oraz o podjętych środkach zaradczych.

Zapewniamy także, że podejmujemy niezbędne działania, aby podobna sytuacja nie miała miejsca
w przyszłości. W razie dodatkowych pytań lub wątpliwości prosimy o kontakt z Inspektorem Danych Osobowych: Anną Duda , pod nr tel. 512 328 953 lub drogą mailową: iodo@dwomp.pl

 

Niniejszy komunikat został przygotowany zgodnie z wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz. U. UE. L. 2016.119.1. z dnia 4 maja 2016 r.

------------------------------------------------------------------------------------------------------------------------------------

Poniżej pierwszy komunikat:

Szanowni Państwo,

Administrator danych osobowych, jakim jest Dolnośląski Wojewódzki Ośrodek Medycyny Pracy 
z siedzibą we Wrocławiu przy pl. Oławskiej 14 (zwany dalej DWOMP), niniejszym informuje
o możliwym naruszeniu ochrony danych osobowych związanych z incydentem do jakiego doszło
w dniu 03.03.2020. Naruszenie polegało na złamaniu zabezpieczeń informatycznych.

Do możliwego naruszenia danych mogło dojść w wyniku nieuprawnionego dostępu osób trzecich poprzez włamanie na serwery DWOMP.


Na serwerze, do którego się włamano mogły znajdować się dane osobowe pacjentów, pracowników
i współpracowników. W przypadku pacjentów były to dane: imię, nazwisko, data urodzenia i PESEL, informacja o stanie zdrowia. W przypadku pracowników lub współpracowników: imię, nazwisko, PESEL, dane kontaktowe. Administrator podczas postępowania wyjaśniającego stwierdził, że istnieje znikome prawdopodobieństwo, iż podmiot trzeci pobrał wyżej wymienione dane osobowe. Nie mniej jednak nie może tego całkowicie wykluczyć, a co za tym idzie istnieje ryzyko zapoznania się przez podmiot trzeci z treścią ww. danych i wykorzystywania ich bez zgody osób uprawnionych.


Możliwymi konsekwencjami naruszenia jest nieuprawnione wykorzystanie danych osobowych w celu m. in.:

  • uzyskania przez osoby trzecie, na szkodę osób, których dane naruszono,

  • uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobom, których dane naruszono oraz ich danych o stanie zdrowia,

  • korzystania z praw obywatelskich osób, których dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego,

  • wyłudzenia ubezpieczenia lub środków z ubezpieczenia,

  • zarejestrowanie przedpłaconej karty telefonicznej (pre-paid).

Aby zabezpieczyć się przed negatywnymi skutkami zaistniałego naruszenia zalecamy, aby osoby, których dane osobowe mogły brać udział w wyżej opisanym naruszeniu, podjęły kroki minimalizujące negatywne ryzyko opisanego nieuprawnionego pozyskania danych np. poprzez:

  • założenie konta w Biurze Informacji Kredytowej w celu monitorowania swojej aktywności kredytowej np. na poniższych stronach: Biuro Informacji Kredytowej S.A. https://www.bik.pl/jak-zalozyc-konto, Biuro Informacji Gospodarczej InfoMonitor S.A. www.big.pl), Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. https://krd.pl, Serwis CHRONPESEL.PL https://chronpesel.pl

  • a w przypadku stwierdzenia jakichkolwiek nieprawidłowości – zgłoszenia tego faktu organom ścigania,

  • zachowanie szczególnej ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu.

Podjęcie tych działań ma na celu zabezpieczenie danych osobowych przed ich niewłaściwym wykorzystaniem.

W celu zaradzenia naruszenia i zminimalizowania negatywnych skutków dla osób, których dane dotyczą powiadomiliśmy także odpowiednie organy o zdarzeniu oraz o podjętych środkach zaradczych.

Zapewniamy także, że podejmujemy niezbędne działania, aby podobna sytuacja nie miała miejsca
w przyszłości. W razie dodatkowych pytań lub wątpliwości prosimy o kontakt z Inspektorem Danych Osobowych: Anną Duda , pod nr tel. 512 328 953 lub drogą mailową: iodo@dwomp.pl



Niniejszy komunikat został przygotowany zgodnie z wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych
w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz. U. UE. L. 2016.119.1. z dnia 4 maja 2016 r.

Kontakt
Badania uczniów, studentów...
Wykaz placówek, w których badani są uczniowie
Stanowisko w sprawie badań profilaktycznych
Biuletyn Informacji Publicznej
© 2011 Dolnośląski Wojewódzki Ośrodek Medycyny Pracy
Designed by INSPIRE5