• - Przypominamy, że osoby dotknięte naruszeniem ochrony danych osobowych powinny w pierwszej kolejności skontaktować się z podmiotem, który przetwarza ich dane osobowe - informuje prezes UODO
• Należy to zrobić, aby dowiedzieć się choćby o tym, jakie konkretne dane zostały np. wykradzione czy udostępnione osobie nieuprawnionej
• W przypadku wysokiego ryzyka np. kradzieży tożsamości zawiadomienie osób, których dotyczy naruszenie, jest bardzo ważne

UODO: należy zawiadomić poszkodowane osoby

Jak przekazał UODO, administrator, który zidentyfikuje u siebie naruszenie ochrony danych osobowych,  które generuje wysokie ryzyko naruszenia praw lub wolności osób fizycznych (czyli naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych), powinien zawiadomić o tym te osoby. Konieczność zawiadomienia osób może mieć miejsce, gdy zakres ujawnionych danych obejmuje szczególne kategorie danych osobowych np. nr PESEL czy dane o stanie zdrowia.

- W przypadku wysokiego ryzyka np. kradzieży tożsamości zawiadomienie osób, których dotyczy naruszenie, jest bardzo ważne. Osoby te, mając wiedzę o zdarzeniu i ryzykach z nim związanych, mogą szybko same podjąć działania, które zabezpieczą je przed kolejnymi zagrożeniami - zaznacza UODO w komunikacie.

"Takimi działaniami może być np. założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej oraz zachowanie jeszcze większej ostrożności podczas podawania danych przez Internet lub telefon, by np. osoby o nieuczciwych zamiarach nie uzyskały np. dodatkowych danych, które ułatwią im np. tzw. kradzież tożsamości" -przekazał urząd.

Spółka reaguje na komunikat UODO i wyjaśnia

Do sprawy wycieku danych ustosunkowało się po publikacji komunikatu UODO również DCG Centrum Medyczne.

- Spółka podejmuje wszelkie możliwe działania w tym zakresie, w szczególności na bieżąco informuje osoby, których dane osobowe mogły być dotknięte naruszeniem o okolicznościach sprawy, możliwych działaniach ograniczających ryzyko negatywnych konsekwencji, a także pozostaje w stałym kontakcie z organem nadzorczym – tj. Prezesem Urzędu Ochrony Danych Osobowych - brzmi stanowisko spółki.

Jak podała, dodatkowo: 

1. zwraca uwagę, że w jej ocenie naruszenie ochrony danych osobowych nie dotyczyło danych, co do których Spółka pełni rolę administratora danych osobowych (Spółka nie decyduje o sposobie, celach i podstawach przetwarzania danych osobowych, w zakresie funkcjonowania platformy aurero.com).

2. Naruszenie mogło m.in. dotyczyć, zgodnie z wiedzą Spółki, danych osobowych osób, które są pacjentami Spółki, jednak w żadnym zakresie naruszenie nie było spowodowane działaniami lub zaniechaniami Spółki, Spółka nie ma żadnego wpływu na działania podmiotu przetwarzającego dane osobowe na platformie aurero.com, jakiekolwiek działania tego podmiotu nie były ze Spółką konsultowane ani uzgadniane.

3. Spółkę i Medily sp. z o.o. (zgodnie z wiedzą Spółki, potwierdzoną informacjami znajdującymi się na stronie internetowej platformy aurero.com – podmiotem odpowiedzialnym za funkcjonowanie tej platformy) nie łączą obecnie żadne relacje gospodarcze, w szczególności Spółka w żaden sposób nie przekazuje danych osobowych Medily sp. z o.o. Spółka czasowo, przez ograniczony czas korzystała z usług tego podmiotu i funkcjonalności, przy czym współpraca zakończyła się w dniu 31.01.2021 r. (tj. 3 lata temu). Po zakończeniu współpracy Medily sp. z o.o. była bezwzględnie zobowiązana do usunięcia powierzonych jej przez Spółkę danych osobowych – na podstawie obowiązujących przepisów prawa oraz zobowiązań umownych. Od tego czasu Spółka nie utrzymuje z Medily sp. z o.o. żadnych relacji gospodarczych, w szczególności Medily sp. z o.o. nie jest odbiorcą żadnych danych osobowych administrowanych przez Spółkę. 

4. Wszelkie ewentualne działania podejmowane przez Medily sp. z o.o. (po zakończeniu przez Spółkę współpracy) związane z przetwarzaniem jakichkolwiek danych osobowych pacjentów Spółki były podejmowane bez jakiegokolwiek udziału i wiedzy Spółki, wyłącznie w celach i zakresie ustalanych przez Medily sp. z o.o., na podstawach nieznanych Spółce, na co Spółka nie miała żadnego wpływu.

5. Niezależnie od powyższego – wszelkie działania podejmowane przez Spółkę wynikają z priorytetowej i nadrzędnej dla Spółki kwestii dbałości o ochronę pacjentów Spółki i ich praw. W szczególności Spółka na bieżąco informuje pacjentów, których dane były objęte naruszeniem o jego okolicznościach, odpowiada na wszystkie kierowane do niej pytania oraz podejmuje inne niezbędne i wymagane działania.

- Atak hackerski dotyczył danych, które były również danymi pacjentów Spółki, jednak Spółka nie miała wpływu na działanie platformy, której dotyczyło naruszenie, jakiekolwiek działania na danych osobowych odbywały się bez wiedzy i zgody Spółki, a hackerzy uzyskali dostęp do danych przetwarzanych przez odrębny niezależny podmiot – zarządzający platformą aurero.com - czytamy w stanowisku spółki, podpisanym przez Maksymiliana Markuszewskiego, wiceprezesa zarządu DCG Centrum Medyczne sp. z o.o.

Materiał chroniony prawem autorskim - zasady przedruków określa regulamin.

• UODO
• CYBERBEZPIECZEŃSTWO
• DANE MEDYCZNE
• URZĄD OCHRONY DANYCH OSOBOWYCH