fbpx
Zadzwoń +48 71 71 88 600
Jesteśmy dostępni - zadzwoń teraz

Naruszenie danych z Aurero

Komunikat Centrum w sprawie incydentu bezpieczeństwa danych osobowych spółki Medily sp. z o. o., byłego dostawcy platformy oprogramowania medycznego AURERO.com, z dnia 19.03.2024.

Październik 2024: Prezes Urzędu Ochrony Danych Osobowych potwierdził brak odpowiedzialności DCG

W wyniku działań, złożonych wyjaśnień i współpracy DCG Centrum Medyczne z Prezesem Urzędu Ochrony Danych Osobowych, prezes Urzędu Ochrony Danych Osobowych potwierdził brak jakiejkolwiek odpowiedzialności DCG Centrum Medyczne w zaistniałym zdarzeniu.  Prezes UODO zakończył postępowanie wobec DCG Centrum Medyczne uznając opracowaną przez DCG argumentację za słuszną i potwierdzając brak winy DCG w wycieku danych.

Aktualizacja informacji w sprawie naruszenia danych osobowych przetwarzanych na platformie aurero.com

Szanowni Państwo,

działając maksymalnie transparentnie oraz kierując się podstawową dla nas wartością, jaką jest ochrona interesów naszych Pacjentów, w tym w szczególności ich danych osobowych które były objęte incydentem, poniżej przedstawiamy zaktualizowaną informację w sprawie naruszenia ochrony danych osobowych.

Mimo, że biorąc pod uwagę obowiązujące przepisy o ochronie danych osobowych, w ocenie Spółki formalnie DCG Centrum Medyczne Sp. z o.o. (dalej także: „Spółka” lub „DCG”) nie pełniło w odniesieniu do danych osobowych objętych naruszeniem funkcji administratora danych osobowych, Spółka podejmuje wszystkie niezbędne działania w celu przekazywania informacji osobom, których dane osobowe zgodnie z wiedzą Spółki uległy naruszeniu. Poza informacjami zamieszczonymi na naszej stronie internetowej, przekazaliśmy informacje o zdarzeniu osobom nim objętym również za pośrednictwem poczty elektronicznej (e-mail) oraz wiadomości SMS. Dodatkowo na bieżąco odpowiadamy na wszystkie skierowane do nas zapytania i telefony.

Jednocześnie mając na uwadze, że m.in. z uwagi na upływ czasu, niewykluczoną zmianę przez osoby które mogło dotyczyć naruszenie, danych kontaktowych w ostatnich 5 latach, o czym Spółka nie została poinformowana, podejmując wszelkie dostępne działania i ograniczając ryzyko, że osoby, których mogło dotyczyć naruszenie – nie dowiedzą się o naruszeniu ich danych osobowych (mimo, że obowiązek poinformowania o naruszeniu spoczywa w ocenie Spółki formalnie na innym podmiocie), poniżej zamieszczamy aktualną informację dotyczącą zdarzenia.

Jednocześnie, wszelkie informacje przekazywane przez Spółkę wynikają z odpowiedzialnego podejścia do zaistniałego zdarzenia oraz zaangażowania w zabezpieczenie praw naszych pacjentów oraz ich praw i wolności, zwłaszcza, że Spółka nie ma wiedzy o podjęciu przez podmiot, który przetwarzał dane osobowe we własnych celach i na własnych podstawach (również nieznanych Spółce), jakichkolwiek działań wymaganych przez bezwzględnie obowiązujące przepisy prawa.

Niezależnie od powyższych okoliczności, przepraszamy za zaistniałą sytuację.

Zespół DCG Centrum Medyczne Sp. z o.o. we Wrocławiu.

Tło zdarzenia

Zdarzenie polegało na złamaniu zabezpieczeń, ataku hackerskim i kradzieży danych osobowych m.in. pacjentów DCG, które były przetwarzane przez Medily Sp. z o.o. w testowej wersji platformy auroero.com.

Oznacza to, że wbrew pojawiającym się nieprecyzyjnym doniesieniom medialnym i prasowym – atak hackerski nie dotyczył infrastruktury / danych osobowych przetwarzanych przez DCG, a był skierowany bezpośrednio na zasoby Medily Sp. z o.o.

Co ważne, Medily Sp. z o.o. przetwarzała dane osobowe naszych pacjentów wbrew wiedzy i woli DCG oraz bez jakiejkolwiek podstawy prawnej. DCG i Medily Sp. z o.o. nie łączą obecnie żadne relacje gospodarcze, a DCG nie przekazuje żadnych danych osobowych do Medily Sp. z o.o. Ponownie wyjaśniamy, że DCG w przeszłości przez ograniczony czas korzystała z usług tego podmiotu i dostarczanych przez niego funkcjonalności w ramach platformy aurero.com (program do zarządzania przychodnią), w którym przetwarzane były dane naszych pacjentów. DCG zakończył w tym zakresie współpracę z Medily Sp. z o.o. ponad 3 lata temu.

Po zakończeniu współpracy Medily Sp. z o.o. w zakresie w jakim dane osobowe nie podlegały zwrotowi do DCG, była bezwzględnie zobowiązana do usunięcia wszystkich powierzonych jej przez Spółkę danych osobowych w oparciu o obowiązujące przepisy prawa oraz zawartą z DCG umowę, czego jednak nie uczyniła.

W konsekwencji wszystkie podejmowane przez Medily Sp. z o.o. po zakończeniu przez DCG współpracy związane z przetwarzaniem jakichkolwiek danych osobowych naszych pacjentów były podejmowane bez jakiegokolwiek udziału i wiedzy DCG.

Co się stało?

Zgodnie z informacjami przekazanymi przez Medily Sp. z o.o. naruszenie ochrony danych osobowych polegało na naruszeniu poufności danych osobowych przetwarzanych w testowej wersji platformy aurero.com. Na skutek naruszenia doszło do złamania zabezpieczeń (na skutek ataku hackerskiego) i kradzieży danych osobowych znajdujących się w ww. systemie. Następnie, baza danych skradziona z systemów Medily Sp. z o.o. została zamieszczona na forum cyberprzestępczym. Baza danych, zgodnie z oświadczeniem Medily Sp. z o.o., nie jest już dostępna w Internecie.

Zgodnie z przekazanymi przez Medily Sp. z o.o. informacjami zdarzenie (atak hackerski) miało miejsce w dniu 11 marca 2024 r. o godz. 17:55, natomiast Medily Sp. z o.o. dowiedziało się o ataku hackerskim w dniu 19 marca 2024 r., a informacje o naruszeniu otrzymał od CSIRT NASK / CERT. Z kolei Medily sp. z o.o. poinformowała DCG o zaistniałym zdarzeniu w dniu 21 marca 2024 r. za pośrednictwem wiadomości mailowej, a dane objęte naruszeniem DCG otrzymało od Medily 25 marca 2024 r.

Naruszenie dotyczyło części pacjentów, którzy korzystali z naszych usług przed 2020 rokiem.

Jakie dane osobowe obejmowało naruszenie:

Na skutek zdarzenia doszło do naruszenia następujących danych osobowych:

  • dane identyfikacyjne, w tym imię i nazwisko, płeć, data urodzenia, PESEL,

  • dane teleadresowe, w tym adres zamieszkania, adres e-mail, numer telefonu.

Dodatkowo (dotyczy pacjentów korzystających z usług DCG w dniu 23.08.2019 oraz w okresie między 29.08-04.09.2019) w stosunku do niewielkiego odsetka osób objętych naruszeniem tj. 0,2% (korzystających w ww. dniach z usług Centrum) incydent dotyczył również danych osobowych szczególnych kategorii, tj. danych dotyczących zdrowia, w tym informacji o wizytach lekarskich (data wizyty, wywiad medyczny, opis badania przedmiotowego, zalecenia po wizycie, recepta, imię i nazwisko specjalisty).

Możliwe konsekwencje naruszenia

Na ten moment DCG nie otrzymało żadnych sygnałów, aby dane osobowe objęte naruszeniem zostały wykorzystane w sposób niezgodny z prawem lub posłużyły w celu wyłudzenia dodatkowych informacji. Jednak z uwagi na charakter naruszenia nie możemy w pełni wykluczyć takich przypadków w przyszłości.

Dlatego też wskazujemy, że następstwem naruszenia danych osobowych może być w szczególności:

  • kradzież lub sfałszowanie tożsamości poprzez zaciągnięcie z wykorzystaniem skradzionych danych osobowych zobowiązań finansowych, w tym kredytów lub pożyczek w instytucjach finansowych lub pozabankowych,
  • zawarcie umów lub zaciągnięcie innych zobowiązań z wykorzystaniem danych osobowych objętych naruszeniem, co może prowadzić do powstania strat finansowych,
  • próba podszycia się pod instytucje lub podmiot trzeci w celu uzyskania lub wyłudzenia dodatkowych informacji lub danych osobowych z wykorzystaniem danych objętych naruszeniem,
  • uzyskanie przez osoby trzecie dostępu do świadczeń opieki zdrowotnej lub uzyskanie dostępu do danych o stanie zdrowia Państwa zdrowia z wykorzystaniem skradzionych danych osobowych,
  • nieuprawnione wykorzystywanie przysługujących Państwu praw publicznych lub obywatelskich,
  • dyskryminacja ze względu na stan Państwa zdrowia lub inne niepożądane zachowania, w tym rozpowszechnianie informacji na temat stanu Państwa zdrowia z wykorzystaniem skradzionych danych osobowych,
  • naruszenie dóbr osobistych.

Jakie kroki zostały podjęte?

Zgodnie z przekazanymi przez Medily Sp. z o.o. informacjami (informacje posiadane przez Spólkę pochodzą od tego podmiotu) Medily Sp. z o.o. podjęła następujące środki zaradcze:

  • zmiana haseł dostępu do systemów informatycznych Medily Sp. z o.o.,
  • przeprowadzenie dodatkowego audytu zabezpieczeń sieciowych (VPN, firewall) stosowanych przez Medily Sp. z o.o.,
  • rozpoczęto przebudowę środowisk testowych stosowanych przez Medily Sp. z o.o.,
  • złożenie przez Medily Sp. z o.o. zawiadomienia o możliwości popełnienia przestępstwa w organach ścigania (Policja).

Niezależnie DCG podejmuje liczne działania informacyjne związane z okolicznościami naruszenia oraz pozostaje w stałym kontakcie z Prezesem Urzędu Ochrony Danych Osobowych oraz innymi właściwymi instytucjami, w tym Narodowym Funduszem Zdrowia.

Proponowane dodatkowe kroki

Aby zminimalizować ryzyko wystąpienia ewentualnych negatywnych konsekwencji zdarzenia, w tym w szczególności uniknięcia ryzyka zaistnienia jednej z sytuacji opisanych w pkt IV powyżej zalecamy:

  • zastrzeżenie numeru PESEL (więcej informacji można znaleźć pod adresem: https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie),
  • zachowanie wszelkiej ostrożności w kontaktach z nieznajomymi osobami lub instytucjami (w szczególności jeżeli nie spodziewają się Państwo takiego kontaktu), które mogą próbować uzyskać od Państwa dodatkowe informacje lub wyłudzić dane osobowe na bazie informacji pozyskanych w wyniku naruszenia,
  • niepodawanie loginów lub haseł w podejrzanych lub niezaufanych witrynach oraz zachowanie ostrożności przy otrzymywaniu wiadomości (np. mailowych lub SMS) zawierających podejrzane linki lub odnośniki do zewnętrznych stron internetowych, w tym unikanie ich otwierania i zgłaszanie do odpowiednich służb (więcej informacji można znaleźć pod adresem: https://www.gov.pl/web/baza-wiedzy/phishing–widzisz-zglaszaj),
  • zwracanie szczególnej uwagi na przychodzące wiadomości mailowe, SMS lub korespondencję tradycyjną, z których może wynikać fakt zawarcia jakiejkolwiek umowy w Państwa imieniu lub prośba o potwierdzenie / weryfikację transakcji, której Państwo nie dokonywali,
  • niezwłoczne zgłaszanie właściwym organom ścigania (np. Policja) wszystkich podejrzeń dotyczących możliwości bezprawnego wykorzystania Państwa danych osobowych lub próbach wyłudzenia dodatkowych danych osobowych.

Aby ograniczyć skutki wycieku danych osobowych możliwe jest również skorzystanie z możliwości monitorowania prób zawarcia umowy pożyczki lub zaciągnięcia innych zobowiązań z wykorzystaniem wykradzionych danych osobowych. Usługę w postaci powiadomień o próbach wyłudzenia pożyczki lub kredytu, a także raportów dotyczących zadłużenia wynikającego z niespłaconych należności oferuje Biuro Informacji Kredytowej (tzw. Alert BIK) oraz biura informacji gospodarczej (więcej informacji o tzw. Alertach BIK można znaleźć pod adresem: https://www.bik.pl/klienci-indywidualni/alerty-bik).

Z kim można kontaktować się w sprawie naruszenia?

We wszystkich sprawach związanych z naruszeniem zalecamy bezpośredni kontakt z Medily Sp. z o.o. (adres: ul. Armii Krajowej 43A, 94-046 Łódź; adres e-mail: kontakt@aurero.com).

Niezależnie DCG pozostaje do Państwa dyspozycji w przypadku jakichkolwiek dodatkowych pytań lub wątpliwości związanych z naruszeniem. Na wszystkie kierowane do nas wiadomości staramy się odpowiadać na bieżąco.

W celu uzyskania dodatkowych informacji można kontaktować się z naszym inspektorem ochrony danych Anną Jaroszyńską pod następującymi danymi kontaktowymi:

  • numer telefonu: +48 71 71 88 600
  • adres e-mail: kontakt@dcg.wroclaw.pl

Jeśli masz dodatkowe pytania przejdz poniżej do FAQ

Masz zapytanie? prześlij je na: kontakt@dcg.wroclaw.pl

Najczęściej zadawane pytania
Czy dane wyciekły również z innych klinik?
Ukryj odpowiedź Pokaż odpowiedź
Wedle pozyskanych przez Centrum informacji, wyciek danych z platformy Aurero dotyczy ok. 40 podmiotów.
Czy dane wyciekły z DCG?
Ukryj odpowiedź Pokaż odpowiedź
Nie. Dane nie wyciekły z firmy DCG. Za utratę danych odpowiedzialna jest firma Medily sp. z o.o., producent oprogramowania medycznego dla placówek medycznych w całej Polsce. DCG korzystało z systemu AURERO w okresie 08.2019-01-2021.
Co to Medily?
Ukryj odpowiedź Pokaż odpowiedź
Medily sp. z o.o. to spółka z siedzibą w Łodzi, zajmująca się dostarczaniem oprogramowania medycznego AURERO dla placówek medycznych w całej Polsce. DCG korzystało z systemu AURERO przez ok. 18 miesięcy (od 08.2019 do 31.01.2021). Medily była zobowiązana usunąć dane niezwłocznie po rozwiązaniu Umowy.
Co to Aurero?
Ukryj odpowiedź Pokaż odpowiedź
Medily sp. z o.o. to spółka z siedzibą w Łodzi, zajmująca się dostarczaniem oprogramowania medycznego AURERO dla placówek medycznych w całej Polsce. DCG korzystało z systemu AURERO przez ok. 18 miesięcy (od 08.2019 do 31.01.2021). Medily była zobowiązana usunąć dane niezwłocznie po rozwiązaniu Umowy.
Jak zastrzeć numer pesel?
Ukryj odpowiedź Pokaż odpowiedź
1. Proszę zalogować się na aplikację mObywatel
2. Z menu na dole proszę wybrać ikonę „Usługi”
3. Pojawi się lista – na samej górze będzie opcja „Zastrzeż numer PESEL”
4. Przejdziemy do podstrony gdzie:
a) można suwakiem przesunąć by zastrzec numer PESEL
b) sprawdzić czy jakaś instytucja sprawdzała nasz PESEL.
https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie
Czy dokonali Państwo zgłoszenia do Prezesa Urzędu Ochrony Danych osobowych [PUODO]?
Ukryj odpowiedź Pokaż odpowiedź
Tak, 25 marca 2024 roku, DCG Centrum Medyczne dokonało zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych o wycieku danych z Medily sp. z o.o. – dostawcy oprogramowania AURERO.
Czy należy dokonać zgłoszenia na policję?
Ukryj odpowiedź Pokaż odpowiedź
Nie ma potrzeby zgłaszania incydentu na policję. Zgłoszenia wycieku danych dokonał prezes spółki Medily sp. z o. o. z siedzibą w Łodzi w dniu 20.03.2024 roku na Komisariat Policji Wrocław Śródmieście (nr sprawy JED-46010/24)
Czy dane nowsze niż z 2019 również wyciekły?
Ukryj odpowiedź Pokaż odpowiedź
Nie. DCG Centrum Medyczne nie korzysta z usług Medily sp. z o.o. od 31 stycznia 2021 roku, a według oświadczenia dostawcy programu medycznego Aurero (Medily sp. z o.o.), atak hakerski obejmował dane do 2019 roku.
Dlaczego Medily sp. z o.o. miał moje dane?
Ukryj odpowiedź Pokaż odpowiedź
Medily Sp. z o.o. jest firmą informatyczną, dostawcą oprogramowania medycznego Aurero dla placówek medycznych w całej Polsce. DCG Centrum Medyczne korzystało z programu Aurero w okresie od 15 sierpnia 2019 roku do 31 stycznia 2021. Od 1 lutego 2021 DCG Centrum Medyczne korzysta z innego systemu medycznego.
Kiedy i gdzie nastąpiło udostępnienie danych?
Ukryj odpowiedź Pokaż odpowiedź
Według Medily sp. z o.o. udostępnienie danych w wyniku przestępstwa nastąpiło 19 marca 2024 roku na forum cyberprzestępczym w sieci TOR. Nie otrzymaliśmy informacji od Medily sp. z o.o. o godzinie zdarzenia. Aktualizacja: dnia 27.03.2024 r. otrzymaliśmy informację od Medily sp. z o.o., że w toku wewnętrznego postępowania ustalili, że dane zostały wyprowadzone w dniu 11 marca 2024 o 17:55.
Nigdy nie byłem pacjentem/pacjentką, a dostałem SMS. Dlaczego?
Ukryj odpowiedź Pokaż odpowiedź
DCG Centrum Medyczne funkcjonuje na rynku wrocławskim od 2001 roku (23 lata). Do niedawna spółka funkcjonowała pod marką Dolnośląskie Centrum Ginekologii i Zdrowia Rodziny, a jeszcze wcześniej pod praktyką ginekologiczną MARIMAR – zarówno na Powstańców Śląskich 48 jak i na ul. Krynickiej 22/1A.

Jeżeli nigdy nie korzystaliście Państwo z konsultacji lekarskich w naszych placówkach, telewizyt, nie rejestrowaliście się przez portale zewnętrzne (tj. znany lekarz) lub nie korzystaliście z punktu pobrań, prosimy o skierowanie maila w tej kwestii na adres kontakt@dcg.wroclaw.pl.
Od którego roku wyciekły dane? Jeżeli byłem pacjentem przed 2019 rokiem, czy moje dane wyciekły?
Ukryj odpowiedź Pokaż odpowiedź
Jest to prawdopodobne. Znakomitą większość osób powiadomiliśmy poprzez SMS/e-mail, część rekordów jednak nie ma danych kontaktowych w bazie. Zachęcamy do sprawdzenia wycieku danych w naszym narzędziu.
Na czym polegało naruszenie?
Ukryj odpowiedź Pokaż odpowiedź
a) Nieuprawnione uzyskanie dostępu do informacji
b) Nieuprawnione uzyskanie dostępu do informacji poprzez złamanie zabezpieczeń
Czy wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych?
Ukryj odpowiedź Pokaż odpowiedź
Tak Uzyskanie dostępu do danych osobowych na skutek działalności przestępczej skutkuje wysokim ryzykiem wykorzystania tych danych w celach przestępczych (zaciąganie kredytów w placówkach pozabankowych, zaciąganie innego rodzaju zobowiązań na szkodę osób, których dane ujawniono, dyskryminacja ze względu na stan zdrowia).
Jakie kroki zaradcze podjęli Państwo w celu ograniczenia efektów wycieku?
Ukryj odpowiedź Pokaż odpowiedź
Link, pod którym dostępne były dane osobowe został usunięty przez Medily sp. z o.o. tj. podmiot, któremy powierzyliśmy przetwarzanie danych i z którego systemów doszło do wycieku tego samego dnia, w którym Medily sp. z o.o. pozyskała informację o pojawieniu się tego linku na formum cyberprzestępczym. Naruszenie zostało zgłoszone do PUODO, fakt popełnienia przestępstwa został zgłoszony do organów ścigania, firma Medily sp. z o.o. zmieniła hasła dostępowe do swoich systemów oraz została przez DCG zobowiązana do trwałego usunięcia Państwa danych ze swoich systemów.
Jakie odszkodowanie przewidują Państwo za zaistniałą sytuację?
Ukryj odpowiedź Pokaż odpowiedź
Zgodnie z RODO każda osoba, której dane dotyczą, ma prawo do złożenia powództwa do sądu, jeżeli uzna ona, że prawa przysługujące jej na mocy niniejszego rozporządzenia zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem przepisów RODO. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym RODO natomiast podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom. Administrator i podmiot przetwarzający są zwolnieni z odpowiedzialności, gdy nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.
Czy poinformowano organy ścigania, jeżeli tak, proszę o informację jakie, w jakim dniu – w celu umożliwienia zgłoszenia udziału jako osoba poszkodowana.
Ukryj odpowiedź Pokaż odpowiedź
Zgłoszenia wycieku danych dokonał prezes spółki Medily sp. z o. o. z siedzibą w Łodzi w dniu 20.03.2024 roku na Komisariat Policji Wrocław Śródmieście (nr sprawy JED-46010/24)
W banku zastrzegłem numer pesel, czy ktoś może wziąć chwilówkę?
Ukryj odpowiedź Pokaż odpowiedź
Zastrzeżenie numeru PESEL w banku nie chroni przed zaciągnięciem tzw. “chwilówek” w instytucjach parabankowych. Dlatego proszę zwracać uwagę na przychodzące maile, smsy, z których wynika, że zawarli Państwo jakąś umowę, o której Państwo nic nie wiedzą. Wszelkie podejrzenia o możliwości zawarcia jakiejkolwiek umowy przez osoby trzecie przy użyciu Pani/Pana danych osobowych prosze niezwłocznie zgłaszać organom ścigania. Aby ograniczyć skutki wycieku danych osobowych, można także skorzystać z możliwości monitorowania prób zawarcia umowy pożyczki lub zaciągnięcia innych zobowiązań z wykorzystaniem wykradzionych danych. Usługę w postaci powiadomień o próbach wyłudzenia pożyczki lub kredytu, a także raportów dotyczących zadłużenia wynikającego z niespłaconych należności oferują Biuro Informacji Kredytowej i biura informacji gospodarczej.Firmy pożyczkowe nie udzielają pożyczek wyłącznie na PESEL – podanie numeru jest niezbędne, ale nie wystarczy by przeprowadzić cały proces. Wyłudzenie pożyczki na PESEL zdarza się rzadko i zazwyczaj jest związane z nielegalnie działającymi firmami.
Czy istnieją jakieś procedury zabezpieczające przed tym, aby dane w ten sposób pozyskane nie mogły być użyte w celu wyłudzenia np. pożyczki w moim imieniu?
Ukryj odpowiedź Pokaż odpowiedź
Zastrzeżenie numeru PESEL jest sposobem na zwiększenie Pana/Pani ochrony przed nadużyciami wynikającymi z kradzieży danych i ma służyć ograniczeniu wyłudzania środków finansowych poprzez zaciąganie zobowiązań finansowych na inną osobę, m.in. umowy kredytu, umowy pożyczki, umowy sprzedaży nieruchomości. Jednak dopiero od 1 czerwca 2024 roku podmioty takie jak banki, instytucje kredytowe lub notariusze przed zawarciem umowy lub podjęciem czynności będą zobowiązane do tego by sprawdzać w rejestrze zastrzeżeń PESEL/ czy numer PESEL danej osoby został zastrzeżony. Dlatego zalecamy zachowanie wszelkiej ostrożności w kontaktach z osobami nieznajomymi, które mogą chcieć wyłudzić od Pana/Pani dodatkowe informacje na bazie informacji pozyskanych w wyniku ataku hakerskiego. Proszę nie podawać loginów, haseł, nie klikać w linki zawarte w korespondencji niewiadomego pochodzenia. Proszę zwracać uwagę na przychodzące maile, smsy, z których wynika, że zawarli Państwo jakąś umowę, o której Państwo nic nie wiedzą. Wszelkie podejrzenia o możliwości zawarcia jakiejkolwiek umowy przez osoby trzecie przy użyciu Pani/Pana danych osobowych prosze niezwłocznie zgłaszać organom ścigania. Aby ograniczyć skutki wycieku danych osobowych, można także skorzystać z możliwości monitorowania prób zawarcia umowy pożyczki lub zaciągania innych zobowiązań z wykorzystaniem wykradzionych danych. Usługę w postaci powiadomień o próbach wyłudzenia pożyczki lub kredytu, a także raportów dotyczących zadłużenia wynikającego z niespłaconych należności oferują Biuro Informacji Kredytowej i biura informacji gospodarczej.
Żądam, aby DCG usunęła moje dane osobowe
Ukryj odpowiedź Pokaż odpowiedź
Zgodnie z art. 17 RODO ma Pan/Pani prawo do żądania usunięcia Pani/Pana danych przez administratora, jedna zgodnie z ust. 3b tego przepisu uprawnienie to nie ma zastosowania, jeżeli przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator. Zgodnie z art. 29 ustawy o prawach pacjenta i rzeczniku Praw Pacjenta podmiot udzielający świadczeń zdrowotnych przechowuje dokumentację medyczną przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu z zastrzeżeniem wyjątków, które w tym przepisie zostały wymienione. Zatem w tej sytuacji nie możemy usunąć Pani/Pana danych osobowych z uwagi na obowiązek ich przechowywania przez okres wskazany w ustawie
Kiedy DCG otrzymało informację, których dokładnie pacjentów dane zostały wykradzione?
Ukryj odpowiedź Pokaż odpowiedź
W poniedziałek 25.03.2024 o godzinie 12:32 otrzymaliśmy plik z bazą pacjentów, po jej otrzymaniu niezwłocznie przygotowaliśmy komunikaty do wysyłki i tego samego dnia dokonaliśmy zawiadomienia pacjentów
Proszę podać na jakiej podstawie prawnej udostępnili Państwo moje dane temu podmiotowi?
Ukryj odpowiedź Pokaż odpowiedź
Możliwość powierzenia przez administratora przetwarzania danych innemu podmiotowi, uregulowana jest w art. 28 RODO. Istotą tego uprawnienia jest powierzania przetwarzania danych innemu podmiotowi w imieniu i na rzecz administratora na podstawie zawartej umowy.
Czy dane osób upoważnionych przez pacjentów również wyciekły?
Ukryj odpowiedź Pokaż odpowiedź
Nie, dane osób upoważnionych nie zostały wykradzione.
Formularz kontaktowy