Najlepsi specjaliści we Wrocławiu
Przyjmujemy prywatnie i na NFZ. Zadzwoń i dowiedz się więcej +71 71 88 600
Najlepsi specjaliści we Wrocławiu
Przyjmujemy prywatnie i na NFZ. Zadzwoń i dowiedz się więcej +71 71 88 600
Zostań częścią zespołu!
Wyślij swoje CV na kontakt@dcg.wroclaw.pl albo zdzwoń pod numer +71 71 88 600
Współpracujemy z firmami
Indywidualne programy dla pracowników, podwykonawstwo medyczne
W wyniku działań, złożonych wyjaśnień i współpracy DCG Centrum Medyczne z Prezesem Urzędu Ochrony Danych Osobowych, prezes Urzędu Ochrony Danych Osobowych potwierdził brak jakiejkolwiek odpowiedzialności DCG Centrum Medyczne w zaistniałym zdarzeniu. Prezes UODO zakończył postępowanie wobec DCG Centrum Medyczne uznając opracowaną przez DCG argumentację za słuszną i potwierdzając brak winy DCG w wycieku danych.
Szanowni Państwo,
działając maksymalnie transparentnie oraz kierując się podstawową dla nas wartością, jaką jest ochrona interesów naszych Pacjentów, w tym w szczególności ich danych osobowych które były objęte incydentem, poniżej przedstawiamy zaktualizowaną informację w sprawie naruszenia ochrony danych osobowych.
Mimo, że biorąc pod uwagę obowiązujące przepisy o ochronie danych osobowych, w ocenie Spółki formalnie DCG Centrum Medyczne Sp. z o.o. (dalej także: „Spółka” lub „DCG”) nie pełniło w odniesieniu do danych osobowych objętych naruszeniem funkcji administratora danych osobowych, Spółka podejmuje wszystkie niezbędne działania w celu przekazywania informacji osobom, których dane osobowe zgodnie z wiedzą Spółki uległy naruszeniu. Poza informacjami zamieszczonymi na naszej stronie internetowej, przekazaliśmy informacje o zdarzeniu osobom nim objętym również za pośrednictwem poczty elektronicznej (e-mail) oraz wiadomości SMS. Dodatkowo na bieżąco odpowiadamy na wszystkie skierowane do nas zapytania i telefony.
Jednocześnie mając na uwadze, że m.in. z uwagi na upływ czasu, niewykluczoną zmianę przez osoby które mogło dotyczyć naruszenie, danych kontaktowych w ostatnich 5 latach, o czym Spółka nie została poinformowana, podejmując wszelkie dostępne działania i ograniczając ryzyko, że osoby, których mogło dotyczyć naruszenie – nie dowiedzą się o naruszeniu ich danych osobowych (mimo, że obowiązek poinformowania o naruszeniu spoczywa w ocenie Spółki formalnie na innym podmiocie), poniżej zamieszczamy aktualną informację dotyczącą zdarzenia.
Jednocześnie, wszelkie informacje przekazywane przez Spółkę wynikają z odpowiedzialnego podejścia do zaistniałego zdarzenia oraz zaangażowania w zabezpieczenie praw naszych pacjentów oraz ich praw i wolności, zwłaszcza, że Spółka nie ma wiedzy o podjęciu przez podmiot, który przetwarzał dane osobowe we własnych celach i na własnych podstawach (również nieznanych Spółce), jakichkolwiek działań wymaganych przez bezwzględnie obowiązujące przepisy prawa.
Niezależnie od powyższych okoliczności, przepraszamy za zaistniałą sytuację.
Zespół DCG Centrum Medyczne Sp. z o.o. we Wrocławiu.
Zdarzenie polegało na złamaniu zabezpieczeń, ataku hackerskim i kradzieży danych osobowych m.in. pacjentów DCG, które były przetwarzane przez Medily Sp. z o.o. w testowej wersji platformy auroero.com.
Oznacza to, że wbrew pojawiającym się nieprecyzyjnym doniesieniom medialnym i prasowym – atak hackerski nie dotyczył infrastruktury / danych osobowych przetwarzanych przez DCG, a był skierowany bezpośrednio na zasoby Medily Sp. z o.o.
Co ważne, Medily Sp. z o.o. przetwarzała dane osobowe naszych pacjentów wbrew wiedzy i woli DCG oraz bez jakiejkolwiek podstawy prawnej. DCG i Medily Sp. z o.o. nie łączą obecnie żadne relacje gospodarcze, a DCG nie przekazuje żadnych danych osobowych do Medily Sp. z o.o. Ponownie wyjaśniamy, że DCG w przeszłości przez ograniczony czas korzystała z usług tego podmiotu i dostarczanych przez niego funkcjonalności w ramach platformy aurero.com (program do zarządzania przychodnią), w którym przetwarzane były dane naszych pacjentów. DCG zakończył w tym zakresie współpracę z Medily Sp. z o.o. ponad 3 lata temu.
Po zakończeniu współpracy Medily Sp. z o.o. w zakresie w jakim dane osobowe nie podlegały zwrotowi do DCG, była bezwzględnie zobowiązana do usunięcia wszystkich powierzonych jej przez Spółkę danych osobowych w oparciu o obowiązujące przepisy prawa oraz zawartą z DCG umowę, czego jednak nie uczyniła.
W konsekwencji wszystkie podejmowane przez Medily Sp. z o.o. po zakończeniu przez DCG współpracy związane z przetwarzaniem jakichkolwiek danych osobowych naszych pacjentów były podejmowane bez jakiegokolwiek udziału i wiedzy DCG.
Zgodnie z informacjami przekazanymi przez Medily Sp. z o.o. naruszenie ochrony danych osobowych polegało na naruszeniu poufności danych osobowych przetwarzanych w testowej wersji platformy aurero.com. Na skutek naruszenia doszło do złamania zabezpieczeń (na skutek ataku hackerskiego) i kradzieży danych osobowych znajdujących się w ww. systemie. Następnie, baza danych skradziona z systemów Medily Sp. z o.o. została zamieszczona na forum cyberprzestępczym. Baza danych, zgodnie z oświadczeniem Medily Sp. z o.o., nie jest już dostępna w Internecie.
Zgodnie z przekazanymi przez Medily Sp. z o.o. informacjami zdarzenie (atak hackerski) miało miejsce w dniu 11 marca 2024 r. o godz. 17:55, natomiast Medily Sp. z o.o. dowiedziało się o ataku hackerskim w dniu 19 marca 2024 r., a informacje o naruszeniu otrzymał od CSIRT NASK / CERT. Z kolei Medily sp. z o.o. poinformowała DCG o zaistniałym zdarzeniu w dniu 21 marca 2024 r. za pośrednictwem wiadomości mailowej, a dane objęte naruszeniem DCG otrzymało od Medily 25 marca 2024 r.
Naruszenie dotyczyło części pacjentów, którzy korzystali z naszych usług przed 2020 rokiem.
Na skutek zdarzenia doszło do naruszenia następujących danych osobowych:
Dodatkowo (dotyczy pacjentów korzystających z usług DCG w dniu 23.08.2019 oraz w okresie między 29.08-04.09.2019) w stosunku do niewielkiego odsetka osób objętych naruszeniem tj. 0,2% (korzystających w ww. dniach z usług Centrum) incydent dotyczył również danych osobowych szczególnych kategorii, tj. danych dotyczących zdrowia, w tym informacji o wizytach lekarskich (data wizyty, wywiad medyczny, opis badania przedmiotowego, zalecenia po wizycie, recepta, imię i nazwisko specjalisty).
Na ten moment DCG nie otrzymało żadnych sygnałów, aby dane osobowe objęte naruszeniem zostały wykorzystane w sposób niezgodny z prawem lub posłużyły w celu wyłudzenia dodatkowych informacji. Jednak z uwagi na charakter naruszenia nie możemy w pełni wykluczyć takich przypadków w przyszłości.
Dlatego też wskazujemy, że następstwem naruszenia danych osobowych może być w szczególności:
Zgodnie z przekazanymi przez Medily Sp. z o.o. informacjami (informacje posiadane przez Spólkę pochodzą od tego podmiotu) Medily Sp. z o.o. podjęła następujące środki zaradcze:
Niezależnie DCG podejmuje liczne działania informacyjne związane z okolicznościami naruszenia oraz pozostaje w stałym kontakcie z Prezesem Urzędu Ochrony Danych Osobowych oraz innymi właściwymi instytucjami, w tym Narodowym Funduszem Zdrowia.
Aby zminimalizować ryzyko wystąpienia ewentualnych negatywnych konsekwencji zdarzenia, w tym w szczególności uniknięcia ryzyka zaistnienia jednej z sytuacji opisanych w pkt IV powyżej zalecamy:
Aby ograniczyć skutki wycieku danych osobowych możliwe jest również skorzystanie z możliwości monitorowania prób zawarcia umowy pożyczki lub zaciągnięcia innych zobowiązań z wykorzystaniem wykradzionych danych osobowych. Usługę w postaci powiadomień o próbach wyłudzenia pożyczki lub kredytu, a także raportów dotyczących zadłużenia wynikającego z niespłaconych należności oferuje Biuro Informacji Kredytowej (tzw. Alert BIK) oraz biura informacji gospodarczej (więcej informacji o tzw. Alertach BIK można znaleźć pod adresem: https://www.bik.pl/klienci-indywidualni/alerty-bik).
We wszystkich sprawach związanych z naruszeniem zalecamy bezpośredni kontakt z Medily Sp. z o.o. (adres: ul. Armii Krajowej 43A, 94-046 Łódź; adres e-mail: kontakt@aurero.com).
Niezależnie DCG pozostaje do Państwa dyspozycji w przypadku jakichkolwiek dodatkowych pytań lub wątpliwości związanych z naruszeniem. Na wszystkie kierowane do nas wiadomości staramy się odpowiadać na bieżąco.
W celu uzyskania dodatkowych informacji można kontaktować się z naszym inspektorem ochrony danych Anną Jaroszyńską pod następującymi danymi kontaktowymi:
Dziękujemy!