PISMO INFORMACYJNE w sprawie naruszenia danych osobowych

Szanowni Państwo, 

W dniu 19 listopada 2023 r. w wyniku ataku hackerskiego nastąpiło naruszenie poufności części danych osobowych znajdujących się w wynikach testów laboratoryjnych oraz umowach zawieranych przez ALAB laboratoria Sp. z o.o.

Do osób, których dane zostały ujawnione, stosownie do art. 34 RODO skierowaliśmy indywidualne powiadomienia za pomocą środków komunikacji elektronicznej lub poczty tradycyjnej.

Niezależnie od powyższego, z uwagi na wysokie ryzyko naruszenia praw lub wolności osób fizycznych, kierując się dobrem pacjentów i osób, do których z przyczyn od nas niezależnych nie możemy doręczyć indywidualnego powiadomienia, zamieszczamy jego treść również na naszej stronie internetowej.

Poniżej treść komunikatu.

Co się stało:

Naruszenie ochrony danych zostało stwierdzone w dniu 19 listopada 2023 r. Do zdarzenia doszło w wyniku ataku cyberprzestępców polegającego na przełamaniu zabezpieczeń. Następnie grupa cyberprzestępców udostępniła linki umożliwiające pobranie dwóch plików zawierających spakowane dane w których znajdowały się wyniki testów laboratoryjnych oraz umów zawieranych przez ALAB laboratoria Sp. z o.o.

Jakie dane osobowe obejmowało naruszenie:

Wskutek ataku doszło do naruszenia poufności Państwa danych osobowych:

• imię i nazwisko;
• numer PESEL;
• data urodzenia;
• miejsce zamieszkania;
• wynik badania laboratoryjnego (dane szczególnych kategorii).

Dane kontaktowe w sprawie naruszenia ochrony danych osobowych

W przypadku jakichkolwiek pytań związanych z naruszeniem mogą Państwo skontaktować się
z inspektorem ochrony danych Panią Martą Jędrzejczak, adres e-mail:iod@alab.com.pl

Jakie mogą być potencjalne konsekwencje naruszenia ochrony danych osobowych:

Następstwem naruszenia Państwa danych osobowych może być:

• publikacja lub ujawnienie danych osobowych, w szczególności informacji o stanie zdrowia, co może naruszać Państwa dobra osobiste;
• zagrożenie nękaniem lub szantażem przy wykorzystaniu ujawnionych danych;
• narażenie na wzmożone ataki phishingowe, zmierzające do wyłudzenia danych osobowych;
• założeniem przy wykorzystaniu danych osobowych konta internetowego (np. w serwisach społecznościowych);
• podjęciem przez osobę trzecią próby uzyskania na Państwa szkodę pożyczek w instytucjach pozabankowych, np. przez internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości;
• podjęciem przez osobę trzecią próby uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskania wglądu do danych o Państwa stanie zdrowia (często dostęp do systemów rejestracji pacjenta można uzyskać, potwierdzając swoją tożsamość za pomocą numeru PESEL);
• wykorzystaniem danych osobowych celem korzystania z praw obywatelskich np. poprzez oddanie głosu w głosowaniu nad środkami budżetu obywatelskiego;
• wykorzystaniem przez osobę trzecią danych osobowych do próby wyłudzenia ubezpieczenia lub środków z ubezpieczenia;
• wykorzystaniem przez osobę trzecią danych osobowych do próby zawarcia umów cywilno-prawnych;
• zarejestrowaniem przedpłaconej karty telefonicznej (pre-paid), która może służyć do celów przestępczych;
• przetwarzaniem danych osobowych w celach marketingowych bez uprzedniego uzyskania zgody (w przypadku prowadzenia marketingu drogą tradycyjną, tj. wysyłki treści marketingowych na adres zamieszkania);
• wykorzystaniem Państwa danych osobowych przez firmy z branży paramedycznej;
• wykorzystaniem Państwa danych osobowych oraz informacji o wynikach badań laboratoryjnych przy ocenie ryzyk ubezpieczeniowych.

Co zrobiliśmy w celu zaradzenia naruszeniu:

Bezpieczeństwo danych osobowych jest dla nas priorytetem, dlatego niezwłocznie po stwierdzeniu naruszenia zawiadomiliśmy Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowaliśmy uprawnione instytucje CERT (Computer Emergency Response Team) Polska, Ministerstwo Zdrowia, Centrum E-Zdrowia, a także złożyliśmy zawiadomienie o podejrzeniu popełnienia przestępstwa do Centralnego Biura Zwalczania Cyberprzestępczości. Dodatkowo prowadzone są inne działania mające na celu zwiększenie bezpieczeństwa danych.

Co możesz zrobić by zminimalizować negatywne skutki naruszenia:

W przypadku obawy, że Państwa dane osobowe mogą być wykorzystane do którejkolwiek z wyżej wymienionych czynności, w celu zminimalizowania ewentualnych negatywnych skutków zalecamy:

- zachowanie ostrożności w kontakcie z przedstawicielami koncernów farmaceutycznych lub placówek opieki zdrowia, w szczególności gdy rozmówca chce, powołując się na wyniki badań laboratoryjnych, uzyskać dodatkowe dane, takie jak np. nr dowodu osobistego, historia choroby lub zaproponować inną/alternatywną metodę leczenia;

- zachowanie ostrożności w kontakcie ze strony banków lub innych instytucji finansowych, w szczególności gdy rozmówca chce, powołując się na numer PESEL, uzyskać dane takie jak nr dowodu osobistego, nr konta bankowego, itp.;

- zachowanie ostrożności przy korzystaniu z mediów społecznościowych, w szczególności przy odbieraniu wiadomości prywatnych zawierających linki;

- zastrzec numer PESEL (więcej informacji na stronie:https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie );

- skorzystać z Alertów w Biurze Informacji Kredytowej celem monitorowania aktywności kredytowej;

- zmienić login lub hasło do systemów, w których loginem lub hasłem był numer PESEL;

- w razie stwierdzenia podszywania się pod Państwa - zawiadomić organy ścigania o możliwości popełnienia przestępstwa;

- w razie stwierdzenia naruszenia Państwa dóbr osobistych przez wykorzystanie danych osobowych, które zostały objęte niniejszym naruszeniem, rekomendujemy wykorzystanie środków ochrony dóbr osobistych określonych w przepisach Kodeksu cywilnego.

Bezpieczeństwo Państwa danych we własnym zakresie można sprawdzić na:

https://bezpiecznedane.gov.pl/.

Podjęcie tych działań powinno zminimalizować negatywne skutki naruszenia i zabezpieczyć dane osobowe przed ich niewłaściwym wykorzystaniem.

ALAB LABORATORIA SP. Z O.O.

Data publikacji: 08.12.2023