Powiatowa Stacja Sanitarno-
Epidemiologiczna w Policach

INFORMACJA DOTYCZĄCA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

              Realizując obowiązek wynikający z art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) przekazujemy informację o naruszeniu ochrony danych osobowych.

W ostatnim czasie doszło do incydentu wskutek, którego Twoje dane osobowe mogły dostać się w niepowołane ręce. Po dokonaniu analizy ryzyka incydentu wstępnie oszacowano ryzyko naruszenia praw i wolności osób fizycznych jako wysokie. Przekazujemy informacje na temat incydentu oraz działań jakie w związku z nim podjęliśmy. Podajemy też informacje o krokach, które możesz podjąć w związku z incydentem. Prosimy o zapoznanie się z treścią poniższego zawiadomienia.

OPIS CHARAKTERU I OKOLICZNOŚCI NARUSZENIA:

W dniu 30.10.2023 r. Państwowy Powiatowy Inspektor Sanitarny w Policach został poinformowany przez Zachodniopomorskiego Państwowego Wojewódzkiego Inspektora Sanitarnego w Szczecinie o otrzymaniu przez niego anonimowego pisma, z którego wynikało, iż przypadkowo odnaleziono pendrive z danymi osobowymi obejmującymi swoim zakresem również dane osób z terenu powiatu polickiego. Anonimowy znalazca przekazując ww. nośnik danych poinformował, iż należy on do pracownika Powiatowej Stacji Sanitarno-Epidemiologicznej w Szczecinie (wskazując jego imię i nazwisko). W dniu 31.10.2023 r. Państwowy Powiatowy Inspektor Sanitarny w Policach odebrał drogą elektroniczną email od Państwowego Powiatowego Inspektora Sanitarnego w Szczecinie z zaszyfrowanym plikiem dokumentów znajdujących się na tym pendrive. Po weryfikacji otrzymanych danych Państwowy Powiatowy Inspektor Sanitarny w Policach stwierdził, że nastąpiło naruszenie poufności danych osobowych i jeszcze tego samego dnia zgłosił niniejszy incydent do Urzędu Ochrony Danych Osobowych. Należy wskazać, że dane osobowe, m.in: imię, nazwisko, płeć, wiek, nr dokumentu, numer PESEL, numer telefonu, informacji na temat stanu zdrowia dot. przeprowadzonych testów (np. zleceniodawca, data uzyskania wyniku), informacja o wykonywanym zawodzie (dot. zawodów medycznych), adres zamieszkania lub pobytu pozyskane zostały w okresie pandemii do końca maja 2021 r. Wyżej wskazane dane osobowe zostały najprawdopodobniej zapisane na nośniku pendrive, który zabrał ze sobą pracownik w związku ze zmianą miejsca pracy (były już pracownik PSSE w Policach przeszedł do Powiatowej Stacji Sanitarno – Epidemiologicznej w Szczecinie). W okresie, w którym dane zostały skopiowane na prywatny nośnik w tutejszej Stacji obowiązywała Procedura przetwarzania i ochrony danych osobowych w Powiatowej Stacji Sanitarno-Epidemiologicznej w Policach, zgodnie z którą niedopuszczalne jest wykonywanie kopii i kopiowanie danych służbowych na prywatne nośniki. Pracownicy korzystali wyłącznie ze służbowych nośników pendrive, które były szyfrowane. Mając na uwadze niniejszy incydent, Państwowy Powiatowy Inspektor Sanitarny w Policach zgłosił sprawę do Urzędu Ochrony Danych Osobowych niezwłocznie, tj. w dniu 31.10.2023 r. gdy stwierdzono, że nastąpiło naruszenie ochrony danych osobowych. Ponadto w dniu 14.11.2023 r. Państwowy Powiatowy Inspektor Sanitarny w Policach skierował zawiadomienie do prokuratury o podejrzeniu popełnienia przestępstwa.

OPIS MOŻLIWYCH KONSEKWENCJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH:

• założenie na Twoje dane osobowe konta internetowego (np. w serwisach społecznościowych, sklepach internetowych);
• wykorzystania Twoich danych do zarejestrowania karty telefonicznej typu prepaid, która może posłużyć celom przestępczym;
• podszycie się pod inną osobę lub instytucję w celu wyłudzenia od Ciebie dodatkowych określonych informacji (np. danych do logowania, szczegółów karty kredytowej);
• podjęcie przez osoby trzecie próby uzyskania na Twoją szkodę, pożyczek w instytucjach poza bankowych np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości;
• podjęcie przez osoby trzecie próby założenia na Twoją szkodę abonamentu/konta internetowego telefonii komórkowej np. w celu wyłudzenia telefonów komórkowych o znacznej wartości;
• osoby trzecie mogą podjąć próbę uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskać wgląd do danych o Twoim stanie zdrowia, ponieważ czasem dostęp do systemów rejestracji pacjenta można uzyskać, potwierdzając swoją tożsamość za pomocą numeru PESEL;
• Twoje dane osobowe mogą być wykorzystane przez osobę trzecią do próby wyłudzenia ubezpieczenia.

W CELU ZMINIMALIZOWANIA EWENTUALNYCH NEGATYWNYCH SKUTKÓW NARUSZENIA DANYCH OSOBOWYCH PROPONUJE SIĘ:

• zachowanie ostrożności w sytuacji odbierania połączeń telefonicznych lub wiadomości email od nieznanych numerów telefonów;
• ignorowanie nieoczekiwanych wiadomości, w szczególności namawiających do podjęcia dodatkowego działania, jak odesłanie wiadomości SMS lub zrobienie mikroprzelewu;
• w związku z ryzykiem kradzieży tożsamości prosimy zachować ostrożność przy podawaniu danych osobowych innym osobom, w szczególności przez telefon;
• założyć konto w systemie informacji kredytowej lub gospodarczej w celu dodatkowego zabezpieczenia swoich danych przed nieuprawnionym wykorzystaniem, rozporządzenie RODO daje możliwość, uzyskania darmowego dostępu do zebranych na swój temat danych w formie „kopii danych“, którą mamy prawo uzyskać od BIK;
• zastrzec PESEL w serwisie mobywatel.gov.pl. lub w dowolnym urzędzie gminy, w banku krajowym, w spółdzielczej kasie oszczędnościowo – kredytowej lub poczcie.

Proszę o zachowanie czujności, a w przypadku uzyskania informacji o ewentualnych próbach wykorzystania Twoich danych, którymi dysponowała tutejsza Stacja – niezwłoczne zawiadomienie organów ścigania oraz kontakt z Powiatową Stacją Sanitarno – Epidemiologiczną w Policach.

ŚRODKI JAKIE ZOSTAŁY PODJĘTE PRZEZ ADMINISTRATORA W CELU USUNIĘCIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH, W TYM ZMINIMALIZOWANIA JEGO EWENTUALNYCH NEGATYWNYCH SKUTKÓW:

Powiatowa Stacja Sanitarno – Epidemiologiczna w Policach niezwłocznie po otrzymaniu danych zapisanych na pendrive poinformowała o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych. Podjęte zostały również działania, aby nie dopuścić do wystąpienia podobnej sytuacji w przyszłości:

• przeprowadzono natychmiast szkolenie przypominające pracownikom zasady obowiązujące w Powiatowej Stacji Sanitarno-Epidemiologicznej w Policach z zakresu przetwarzania danych osobowych;
• przypomniano pracownikom o konieczności użytkowania wyłącznie służbowych zaszyfrowanych nośników pendrive oraz o bezwzględnym stosowaniu ustalonych zasad bezpieczeństwa
  w zakresie wyznaczonych obszarów do przetwarzania danych;
• wzmożono nadzór nad pracownikami w zakresie przestrzegania zasad polityki przetwarzania danych;
• kontynuowane będą  szkolenia z zakresu ochrony danych osobowych;
• wprowadzono blokadę dostępu do nośników zewnętrznych na stacjach roboczych ograniczając użytkowanie nośników USB do nośników szyfrowanych autoryzowanych  przez pracownika IT Administratora Danych;
• zaktualizowano procedurę z zakresu ochrony danych osobowych;
• skierowano do prokuratury zawiadomienie o podejrzeniu popełnienia przestępstwa. 

KONTAKT Z INSPEKTOREM OCHRONY DANYCH:

Jeżeli będą Państwo mieli jakiekolwiek pytania lub uwagi w związku z zaistniałym zdarzeniem prosimy o kontakt z naszym Inspektorem Danych Osobowych, którym jest Pani Agnieszka Palusińska.

Adres e-mail: iod.psse.police@sanepid.gov.pl

Tel. 887437306

Adres korespondencyjny: PSSE w Policach ul. Kresowa 14, 72-010 Police

Zapewniamy, że przedmiotowe zdarzenie miało charakter incydentalny i wynikło ze złamania przez byłego pracownika tutejszej Stacji obowiązujących zasad i procedur. Dokładamy wszelkich starań, aby Twoje dane osobowe były przetwarzane w sposób gwarantujący ich bezpieczeństwo.

Podjęliśmy działania, aby skutki naruszenia były jak najmniej odczuwalne dla osób, których dane dotyczą, a za zaistniałe zdarzenie przepraszamy.