Realizując obowiązek wynikający z art. 34 RODO, NZOZ PsychoMedic.pl Klinika Psychologiczno-Psychiatryczna Michał Niewiński (dalej: „Klinika“) informujemy o możliwości naruszenia ochrony Pani/Pana danych osobowych, w związku z incydentem do jakiego doszło w dniu 12 – 14 kwietnia 2023r. u jednego z podmiotów, z którym współpracuje
Klinika, tj. w Vercom S.A. z siedzibą w Poznaniu (SerwerSMS.pl) , który obsługiwał system sms dotyczący zapisów na wizyty realizowane w Klinice. Szczegółowe informacje związane z incydentem, zostały wskazane poniżej.
W dniu 20.04.2023 r. Vercom S.A. z siedzibą w Poznaniu (SerwerSMS.pl), poinformował Klinikę, iż miał miejsce incydent bezpieczeństwa, w wyniku którego mogło dojść do naruszenia poufności Państwa danych osobowych. Zgodnie z informacjami przekazanymi Klinice przez Vercom S.A. z siedzibą w Poznaniu (SerwerSMS.pl), w dniach 12-14.04.2023r. miał miejsce atak hakerski, w wyniku którego soby trzecie uzyskały dostęp do fragmentu archiwalnej bazy danych o przeprowadzonych wysyłkach SMS, nieautoryzowany dostęp do części danych bilingowych, co umożliwiło im dostęp do Państwa danych osobowych w postaci: imienia, nazwiska, numeru telefonu oraz imienia i nazwiska specjalisty, do którego umawiana była wizyta oraz daty wizyty.
Z uwagi na okoliczności i powagę zaistniałej sytuacji Vercom S.A. z siedzibą w Poznaniu (SerwerSMS.pl) niezwłocznie poinformowała o powyższym Policję oraz zgłosiła naruszenie do Prezesa UODO. Dodatkowo otrzymaliśmy zapewnienie od Vercom S.A. z siedzibą w Poznaniu (SerwerSMS.pl), że podatność, która doprowadziła do incydentu została
niezwłocznie zidentyfikowana i usunięta.
Niezależnie od tych działań, także Klinika w dniu 21.04.2023 r. dokonała zgłoszenia naruszenia danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych oraz zastosowała środki mające na celu zminimalizowanie negatywnych skutków naruszenia.
Po dokonaniu analizy incydentu w kontekście przetwarzania danych osobowych, wskazujemy,że możliwe konsekwencje zdarzenia to:
– kierowanie do Państwa wiadomości SMS zawierających informacje handlowe, na które nie wyrazili Państwo zgody;
– podszycie się pod inną osobę lub instytucję w celu wyłudzenia od Państwa dodatkowych określonych informacji (np. danych do logowania, szczegółów karty kredytowej itp.);
– utratę poufności danych, dyskryminację oraz naruszenie dóbr osobistych w postaci prywatności w związku z zapisywaniem wizyty do lekarza lub innego specjalisty.
W celu zabezpieczenia się i zminimalizowania ewentualnych negatywnych skutków naruszenia podajemy informacje o krokach, które mogą Państwo podjąć w związku z incydentem:
– zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem internetu czy telefonu;
– ignorowanie nieoczekiwanych wiadomości SMS/MMS, w szczególności od nieznanych nadawców;
– nie otwieranie linków do stron internetowych oraz załączników otrzymanych od nieznanych nadawców w wiadomościach SMS/MMS;
– zachowanie ostrożności w sytuacji odbierania połączeń telefonicznych od nieznanych numerów telefonów;
– zachowanie szczególnej ostrożności przy odbieraniu połączeń telefonicznych czy wiadomości zawierających informacje na temat Państwa problemu zdrowotnego od nieznanych nadawców.
W uzupełnieniu tych informacji, w celu zabezpieczenia się i zminimalizowania ewentualnych negatywnych skutków naruszenia Państwa prywatności, poniżej przedstawiamy ponadto środki oraz propozycje działań, które mogą Państwo podjąć w celu ochrony Państwa dóbr osobistych i zminimalizowania ryzyka nieuprawnionego wykorzystania Państwa danych osobowych przez osoby trzecie.
W przypadku wystąpienia takiej sytuacji, zgodnie z art. 24 Kodeku cywilnego z dnia 23 kwietnia 1964r., mają Państwo możliwość korzystania ze środków ochrony dóbr osobistych.
W szczególności, w przypadku gdy osoba trzecia zamierza bezprawnie wykorzystać Państwa dane osobowe naruszając Państwa prywatność, mogą Państwo żądać zaniechania takiego działania. Gdyby zaś do takiego naruszenia już doszło, mogą Państwo żądać, aby osoba która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków.
Najmocniej przepraszamy za niedogodności wynikające z zaistniałej sytuacji w imieniu Vercom S.A. z siedzibą w Poznaniu (SerwerSMS.pl) oraz Kliniki.
Jeżeli dowiedzą się Państwo o upublicznieniu lub wykorzystaniu Państwa danych przez osobę nieuprawnioną, prosimy o natychmiastowe zawiadomienie Policji oraz o przekazanie tej informacji do Inspektora Ochrony Danych Kliniki.
W tym celu oraz w przypadku dalszych pytań, wątpliwości lub przekazania dodatkowych informacji w związku z zaistniałym zdarzeniem, uprzejmie prosimy o kontakt z naszym Inspektorem ochrony danych – dr Katarzyną Mączyńską poprzez kierowanie korespondencji na adres e-mail: inspektor@mbrk.pl
Pozostajemy do dyspozycji.
Z poważaniem
Zespół Kliniki PsychoMedic.pl