Zawiadomienie o naruszeniu ochrony danych osobowych

niniejszym w trybie art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dr n. med. Michał Zabojszcz, dyrektor SP ZOZ MSWiA w Krakowie informuje, że w dniu 8 marca 2025 r. SP ZOZ MSWiA w Krakowie, będący Administratorem Państwa danych osobowych, zidentyfikował incydent związany z cyberatakiem typu ransomware, który spowodował naruszenie ochrony danych osobowych. Atak polegał na zastosowaniu złośliwego oprogramowania szyfrującego pliki przechowywane na naszych serwerach, co wiąże się z wysokim ryzykiem ich nieuprawnionego dostępu i potencjalnej kradzieży.

W wyniku tego zdarzenia doszło do utraty dostępności danych osobowych, a także, z dużym prawdopodobieństwem, naruszenia ich poufności. Dotyczy to m.in. informacji dotyczących pacjentów, pracowników, kontrahentów oraz innych osób, których dane były przetwarzane przez SP ZOZ MSWiA w Krakowie.

W związku z powyższym podjęto działania zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód. Jednocześnie SP ZOZ MSWiA w Krakowie dokonał zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformował uprawnione instytucje, a także złożył zawiadomienie o podejrzeniu popełnienia przestępstwa.

W dalszej części przekazujemy Państwu:

1. Opis charakteru naruszenia,
2. Możliwe konsekwencje z jakimi możecie się Państwo zetknąć w związku z naruszeniem.
3. Działania i środki, jakie zostały podjęte i jakie obecnie nadal są podejmowanie w celu zaradzenia naruszeniu a także w celu zminimalizowania jego ewentualnych skutków.
4. Informacje o możliwych działaniach, jakie mogą Państwo podjąć samodzielnie.

1. Opis charakteru naruszenia

Naruszenie ochrony danych osobowych miało charakter incydentu cybernetycznego polegającego na ataku z wykorzystaniem oprogramowania ransomware. Atak ten doprowadził do zaszyfrowania plików przechowywanych na wybranych serwerach, skutkując utratą dostępności do danych oraz potencjalnym naruszeniem ich poufności.

Ze względu na specyfikę działania ransomware istnieje wysokie prawdopodobieństwo, że dane osobowe zostały przejęte w sposób nieuprawniony przez cyberprzestępców przed ich zaszyfrowaniem. Może to oznaczać możliwość ich dalszego wykorzystania w sposób nieautoryzowany, np. poprzez sprzedaż, nielegalne rozpowszechnianie lub wykorzystanie do oszustw i kradzieży tożsamości.

Atak dotknął szeroki zakres danych osobowych, obejmujących m.in. informacje o pacjentach, pracownikach, kontrahentach oraz innych osobach, których dane były przetwarzane w systemach SP ZOZ MSWiA w Krakowie. W wyniku incydentu naruszona została dostępność danych, a także – z dużym prawdopodobieństwem – ich poufność i integralność.

Naruszenie to może prowadzić do negatywnych konsekwencji dla osób, których dane zostały objęte incydentem, w tym ryzyka nieuprawnionego wykorzystania Państwa danych w celach oszustw, nadużyć finansowych, czy naruszenia prywatności.

Rodzaje danych objętych atakiem:

1. Dane identyfikacyjne (m.in. imię, nazwisko, PESEL, nr dokumentu stwierdzającego tożsamość, organ wydający oraz data ważności, data urodzenia, obywatelstwo).
2. Dane adresowe (adres zamieszkania, zameldowania, korespondencyjny).
3. Dane kontaktowe (nr telefonu, adres e-mail).
4. Dane szczególnej kategorii o stanie zdrowia (dokumentacja medyczna).
5. W minimalnym zakresie dane dotyczące faktu aresztowania lub zatrzymania przez organy ścigania w zakresie w jakim osobom tym były udzielane świadczenia zdrowotne.
6. Dane finansowe (nr rachunków bankowych, informacja o wysokości wynagrodzenia pracowników i wysokości wynagrodzenia wynikających z umów kontraktowych).
7. Dane kadrowe (historia zatrudnienia, informacje potwierdzające kwalifikacje, dane dzieci i współmałżonków pracowników).

Kategorie osób objętych atakiem:

1. Pacjenci i osoby upoważnione przez pacjentów.
2. Pracownicy.
3. Kontrahenci/podwykonawcy.

Obecnie nie możemy jednoznacznie potwierdzić, czy Państwa dane zostały skradzione, jednak istnieje wysokie prawdopodobieństwo. Wciąż trwa analiza skali incydentu, dlatego w trosce o bezpieczeństwo zalecamy dokładne zapoznanie się z poniższymi wskazówkami oraz regularne sprawdzanie aktualnych komunikatów na stronie głównej www.zozmswiakrakow.pl.

2. Możliwe konsekwencje naruszenia

Administrator informuje, że niniejsze naruszenie dostępności i prawdopodobieństwo naruszenia poufności w/w danych powoduje bardzo wysokie ryzyko naruszenia praw i wolności osób fizycznych, i zdecydował o zawiadomieniu Prezesa Urzędu Ochrony Danych Osobowych oraz opublikowaniu niniejszego komunikatu o naruszeniu ochrony danych osobowych.

W związku z naruszeniem możliwe jest wystąpienie następujących, negatywnych konsekwencji:

1. Naruszenie prawa do prywatności, w związku z incydentem polegającym na ujawnieniu osobie nieupoważnionej danych osobowych zwykłych (tj. imię, nazwisko, adres zamieszkania i nr PESEL);
2. Naruszenie dóbr osobistych wynikające z możliwości ujawnienia imienia i nazwiska, oraz nr PESEL wraz z pozostałymi danymi;
3. Dyskryminacja wynikająca w szczególności z ujawnienia osobom nieupoważnionym wysokości Państwa wynagrodzenia wraz z pozostałymi danymi;
4. Ograniczenie możliwości korzystania z praw obywatelskich i usług kierowanych do ogółu obywateli, w związku z ujawnieniem imienia, nazwiska i nr PESEL (np. głosowania w ramach budżetu obywatelskiego, internetowej rejestracji wizyt w urzędach itp.);
5. Uzyskanie przez osoby trzecie pożyczek w instytucjach pozabankowych z użyciem imienia, nazwiska i nr PESEL osoby dotkniętej naruszeniem (np. przez Internet, bez konieczności okazywania dokumentu tożsamości);
6. Uzyskanie przez osoby trzecie dostępu do systemów obsługujących udzielanie świadczeń medycznych osoby dotkniętej naruszeniem (czasami w takich systemach tożsamość potwierdza się za pomocą numeru PESEL);
7. Próby zawarcia umów cywilnoprawnych na szkodę osoby, której dane ujawniono, w związku z ujawnieniem imienia, nazwiska i nr PESEL, np. umów z operatorami telekomunikacyjnymi czy dostawcami sygnału RTV;
8. Uzyskanie przez osoby trzecie możliwości podjęcia próby założenia firmy z wykorzystaniem Państwa danych osobowych, która następnie może posłużyć do wyłudzeń podatkowych, narażając Państwa na nieprzyjemności i konieczność wykazania Państwa braku związku ze sprawą;
9. Uzyskanie przez osoby trzecie możliwości złożenia fałszywej deklaracji podatkowej w Państwa imieniu, powodując tym działaniem wszczęcie postępowania wyjaśniającego w Urzędzie Skarbowym;
10. Ryzyko otrzymania wezwania do zwrotu środków, których faktycznie Państwo nie otrzymaliście;
11. Ryzyko podjęcia próby zamiany Państwa adresu korespondencyjnego, numeru telefonu lub adresu e-mail powiązanego z kontem bankowym oraz z innymi kontami (np. kontem kredytowym, leasingowym, kontami rozliczeniowymi za dostarczone media (gaz, prąd, wodę etc.), czy wszelkiego rodzaju abonamenty i subskrypcje), co może utrudnić Państwu dostęp do tych internetowych kont a także ryzyko przejęcia istotnych dokumentów w korespondencji z powiązanymi podmiotami;
12. Ryzyko uzyskania dostępu do Państwa świadczeń w ZUS lub NFZ;
13. Ryzyko otrzymania wezwania do złożenia wyjaśnień w sprawie, z którą nie macie Państwo nic wspólnego;
14. Ryzyko wystąpienia ukierunkowanych ataków socjotechnicznych, oszustw metodą “na wnuczka” czy “na policjanta”;
15. Wzrost zagrożenia fizycznego (np. włamania, stalking, niechciane wizyty);
16. Możliwość fałszowania historii zawodowej i wykorzystania danych do nielegalnych celów;
17. Ryzyko oszustw rekrutacyjnych, w tym podszywania się pod pracowników;

Informujemy, że obecnie istnieją wysokie ryzyka związane z ewentualnym wykorzystaniem Państwa danych osobowych w sposób nieuprawniony, narażające Państwa na ewentualne naruszenia praw i wolności.

3. Zastosowane środki zaradcze

Aktualnie trwają czynności prowadzone przez uprawnione służby, mające na celu oszacowanie zakresu ataku, identyfikację wektora ataku, przywrócenie danych i normalnej działalności podmiotu leczniczego a także szereg innych czynności mających na celu minimalizację skutków naruszenia. Zachęcamy do dodania tej strony do zakładek i regularnego odwiedzania – będziemy tę stronę  aktualizować.

4. Proponowane środki zaradcze – jakie działania możecie Państwo podjąć?

Należy podkreślić, że obecnie nie ma pewności czy Państwa dane zostały wykradzione, niemniej jednak zalecamy zachowanie szczególnej czujności i ostrożności, zwracania szczególnej uwagi na nietypowe zdarzenia czy na jakiekolwiek sygnały mogące świadczyć o wykorzystywaniu Państwa danych niezgodnie z przepisami prawa.

W związku z ujawnieniem Państwa danych osobowych, możecie Państwo zminimalizować wystąpienie opisanych wyżej ryzyk m.in. poprzez:

1. Zastrzeżenie numeru PESEL. Od 1 czerwca 2024 r. instytucje finansowe (np. banki) będą miały obowiązek weryfikować, czy numer PESEL jest zastrzeżony przy zawieraniu np. umowy kredytu lub pożyczki. W dowolnym momencie mogą Państwo cofnąć zastrzeżenie, wykonać przysługujące Państwu czynności a następnie zastrzec numer ponownie. Zastrzeżenie numeru PESEL w żaden sposób nie zablokuje Państwa możliwości rejestracji do lekarza, realizacji recepty czy załatwienia sprawy urzędowej, ale zabezpiecza Państwa przed zawarciem umowy kredytu/pożyczki w Państwa imieniu przez osoby do tego nieuprawnione.
   Zastrzec numer PESEL można na wiele sposobów, w tym elektronicznie, za pośrednictwem Internetu oraz osobiście w urzędzie. Wszelkie szczegóły tego jak to zrobić znajdują się na rządowej stronie: https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie
2. Wykupienie rocznego abonamentu tzw. Alertów w BIK (Biurze Informacji Kredytowej). Alerty takie, przychodzą w postaci krótkich wiadomości SMS wysyłanych na Państwa nr telefonów komórkowych zawsze, gdy ktoś złoży wniosek o kredyt/pożyczkę na Państwa dane lub spróbuje podpisać w Państwa imieniu umowę np. na świadczenie usług telekomunikacyjnych z operatorem sieci komórkowej lub usług RTV z dostawcą sygnału telewizyjnego.
3. Przejrzenie dostępnych informacji w Internecie na swój temat i usunięcie tych, które mogą wykorzystać przestępcy do nielegalnej działalności, w szczególności nr telefonów komórkowych, adresy e-mail, wizerunek, adresy zamieszkania, ale także zbędne informacje o miejscach pobytu czy zainteresowaniach i wszelkie inne szczegóły, które mogą zostać wykorzystane przez przestępców do podszywania się pod Państwa.
4. Możliwość skorzystania ze środków ochrony dóbr osobistych wskazanych w kodeksie cywilnym i kodeksie postępowania cywilnego. Przysługuje Państwu prawo do wytoczenia powództwa o ochronę dóbr osobistych na podstawie art. 24 k.c. Żądaniem pozwu może być żądanie usunięcia skutków naruszenia. Posiadają Państwo także prawo roszczenia o odszkodowanie za powstałą szkodę majątkową lub zadośćuczynienie za poniesioną krzywdę spowodowaną naruszeniem dobra osobistego – prawa do prywatności w zakresie autonomii informacyjnej co do decydowania o ujawnianiu informacji o swojej osobie z art. 23 k.c. w zw. z art. 24 k.c. w zw. z art. 448 k.c. (zadośćuczynienie za naruszenie dobra osobistego).
5. Zachowanie szczególnej rozwagi podczas umieszczania jakichkolwiek prywatnych danych na swój temat w Internecie. Obecnie zakres przestępczej działalności internetowej jest bardzo szeroki i aktywny.
6. Weryfikację swoich haseł wykorzystywanych w różnych portalach, sklepach internetowych, kontach pocztowych i ich zmianę w taki sposób by były w każdym takim miejscu niepowtarzalne.
7. Weryfikację występowania Państwa danych w bazie znanych wycieków danych, za pośrednictwem rządowego portalu https://bezpiecznedane.gov.pl.

Jeżeli dowiedzą się Państwo o upublicznieniu, wykorzystaniu lub o jakimkolwiek dalszym ujawnieniu danych osobowych, bardzo proszę o niezwłoczne przekazanie tej informacji do Inspektora Ochrony Danych SP ZOZ MSWiA w Krakowie, korzystając z danych podanych w niniejszym zawiadomieniu, i/lub o kontakt z najbliższą jednostką Policji lub o zgłoszenie na numer alarmowy 112. Ponadto mają Państwo prawo złożyć zawiadomienie do prokuratury o możliwości popełnienia przestępstwa w związku z wejściem nieuprawnionej osoby w posiadanie Państwa danych osobowych i wykorzystywanie ich w jakikolwiek niedozwolony sposób. Mają Państwo również prawo złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (00-193 Warszawa, ul. Stawki 2, https://uodo.gov.pl/pl/526/2464).

5. Dane kontaktowe

Inspektor Ochrony Danych:
W razie jakichkolwiek pytań, proszę o kontakt z Inspektorem Ochrony Danych, panem Rafałem Kosuń, telefonicznie: +48 12 6623117, za pośrednictwem poczty elektronicznej: iod@zozmswiakrakow.pl lub listownie, pisząc na adres siedziby Administratora danych, z dopiskiem „Inspektor Ochrony Danych”.

Administrator danych osobowych:
Samodzielny Publiczny Zakład Opieki Zdrowotnej Ministerstwa Spraw Wewnętrznych i Administracji w Krakowie, 30-053 Kraków, ul. Kronikarza Galla 25,
NIP 6772075248, REGON 350995109, KRS 0000006396
Kontakt telefoniczny: +48 12 6623100
Kontakt mailowy: sekretariat@zozmswiakrakow.pl

dr n. med. Michał Zabojszcz
Dyrektor SP ZOZ MSWiA w Krakowie