SP ZOZ Szpital Specjalistyczny
MSWiA w Złocieńcu

Powrót

Aktualizacja z dnia 05.05.2026 roku

05.05.2026

RODO

Niniejszym informujemy, że w związku z wydarzeniem, które miało miejsce 3 marca 2023 roku, gdzie doszło do infekcji oprogramowaniem typu ransomware, zaszyfrowane zostały dane niektórych plików i użytkowników w SP ZOZ Szpitalu Specjalistycznym MSWiA w Złocieńcu w podległej jednostce Centrum Zdrowia Psychicznego w Drawsku Pomorskim.

Na podstawie przeprowadzonego śledztwa przez Centralne Biuro Zwalczania Cyberprzestępczości (CBZC - Policja) oraz przeprowadzonych analiz technicznych przez ekspertów z zakresu cyberbezpieczeństwa CSIRT i NASK, nie posiadamy dowodów potwierdzających, że jakiekolwiek dane osobowe pacjentów lub pracowników zostały wykradzione (pobrane) poza sieć Szpitala.

Jednocześnie informujemy, że źródła, które potencjalnie mogłyby posłużyć do publikacji danych, są nadal monitorowane przez uprawnione organy, a w przypadku pozyskania nowych informacji o ujawnieniu danych — zostaną Państwo niezwłocznie poinformowani.

Niniejszym w trybie art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dyrektor SP ZOZ Szpitala Specjalistycznego MSWiA w Złocieńcu informuje, że w dniu 3 marca 2023 r, będący Administratorem Państwa danych osobowych, zidentyfikował incydent związany z cyberatakiem typu ransomware, który spowodował naruszenie ochrony danych osobowych. Atak polegał na zastosowaniu złośliwego oprogramowania szyfrującego pliki przechowywane na komputerze zawierającym archiwalną bazę danych pacjentów, co wiąże się z wysokim ryzykiem ich nieuprawnionego dostępu i potencjalnej kradzieży.

W wyniku tego zdarzenia doszło do utraty dostępności do danych osobowych archiwalnych, a także mogło wystąpić duże prawdopodobieństwo, naruszenia ich poufności.

W związku z powyższym podjęto działania zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód. Jednocześnie dokonano sprawdzenia innych komputerów nie ujawniając podobnych infekcji. Niezwłocznie dokonano zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych, poinformowano uprawnione instytucje oraz złożono zawiadomienie o podejrzeniu popełnienia przestępstwa.

Poniżej przedstawiamy następujące informacje:

  1. Opis charakteru naruszenia,
  2. Możliwe konsekwencje z jakimi możecie się Państwo zetknąć w związku z naruszeniem.
  3. Działania i środki, jakie zostały podjęte i jakie obecnie nadal są podejmowanie w celu zaradzenia naruszeniu a także w celu zminimalizowania jego ewentualnych skutków.
  4. Informacje o możliwych działaniach, jakie mogą Państwo podjąć samodzielnie.

Opis charakteru naruszenia

Naruszenie ochrony danych osobowych miało charakter incydentu cybernetycznego polegającego na ataku z wykorzystaniem oprogramowania ransomware. Atak ten doprowadził do zaszyfrowania plików przechowywanych na komputerze, skutkując utratą dostępności do danych oraz potencjalnym naruszeniem ich poufności.

Ze względu na specyfikę działania ransomware istnieje wysokie prawdopodobieństwo, że dane osobowe zostały przejęte w sposób nieuprawniony przez cyberprzestępców przed ich zaszyfrowaniem. Może to oznaczać możliwość ich dalszego wykorzystania w sposób nieautoryzowany, np. poprzez sprzedaż, nielegalne rozpowszechnianie lub wykorzystanie do oszustw i kradzieży tożsamości.

Atak dotknął szeroki zakres danych osobowych, obejmujących m.in. informacje o pacjentach, pracownikach oraz innych osobach, których dane były przetwarzane w systemie informatycznym w Centrum Zdrowia Psychicznego w Drawsku Pomorskim. W wyniku incydentu naruszona została dostępność danych, a także – z dużym prawdopodobieństwem – ich poufność i integralność.

Naruszenie to może prowadzić do negatywnych konsekwencji dla osób, których dane zostały objęte incydentem, w tym ryzyka nieuprawnionego wykorzystania Państwa danych w celach oszustw, nadużyć finansowych, czy naruszenia prywatności.

Rodzaje danych objętych atakiem:

  1. Dane identyfikacyjne (m.in. imię, nazwisko, PESEL, nr dokumentu stwierdzającego tożsamość, organ wydający oraz data ważności, data urodzenia, obywatelstwo).
  2. Dane adresowe (adres zamieszkania, zameldowania, korespondencyjny).
  3. Dane kontaktowe (nr telefonu, adres e-mail).
  4. Dane szczególnej kategorii o stanie zdrowia (dokumentacja medyczna).
  5. W minimalnym zakresie dane dotyczące faktu aresztowania lub zatrzymania przez organy ścigania w zakresie w jakim osobom tym były udzielane świadczenia zdrowotne.

Kategorie osób objętych atakiem:

  • Pacjenci i osoby upoważnione przez pacjentów.
  • Pracownicy.

Na podstawie przeprowadzonego dochodzenia przez CBZC oraz CSIRT i NASK nie możemy jednoznacznie potwierdzić, czy Państwa dane zostały skradzione, jednak istnieje wysokie prawdopodobieństwo kradzieży tych danych. Dlatego w trosce o bezpieczeństwo zalecamy dokładne zapoznanie się z poniższymi wskazówkami.

Możliwe konsekwencje naruszenia

Administrator informuje, że niniejsze naruszenie dostępności i prawdopodobieństwo naruszenia poufności w/w danych powoduje bardzo wysokie ryzyko naruszenia praw i wolności osób fizycznych, i zdecydował o zawiadomieniu Prezesa Urzędu Ochrony Danych Osobowych oraz opublikowaniu niniejszego komunikatu o naruszeniu ochrony danych osobowych.

Zgodnie z zaleceniami Prezesa UODO informujemy, że w związku z naruszeniem możliwe jest wystąpienie następujących, negatywnych konsekwencji:

  1. Naruszenie prawa do prywatności, w związku z incydentem polegającym na ujawnieniu osobie nieupoważnionej danych osobowych zwykłych oraz danych wrażliwych (tj. imię, nazwisko, adres zamieszkania i nr PESEL, danych medycznych);
  2. Naruszenie dóbr osobistych wynikające z możliwości ujawnienia imienia i nazwiska, oraz nr PESEL wraz z pozostałymi danymi;
  3. Dyskryminacja wynikająca w szczególności z ujawnienia osobom nieupoważnionym wysokości Państwa wynagrodzenia wraz z pozostałymi danymi;
  4. Ograniczenie możliwości korzystania z praw obywatelskich i usług kierowanych do ogółu obywateli, w związku z ujawnieniem imienia, nazwiska i nr PESEL (np. głosowania w ramach budżetu obywatelskiego, internetowej rejestracji wizyt w urzędach itp.);
  5. Uzyskanie przez osoby trzecie pożyczek w instytucjach pozabankowych z użyciem imienia, nazwiska i nr PESEL osoby dotkniętej naruszeniem (np. przez Internet, bez konieczności okazywania dokumentu tożsamości);
  6. Uzyskanie przez osoby trzecie dostępu do systemów obsługujących udzielanie świadczeń medycznych osoby dotkniętej naruszeniem (czasami w takich systemach tożsamość potwierdza się za pomocą numeru PESEL);
  7. Próby zawarcia umów cywilnoprawnych na szkodę osoby, której dane ujawniono, w związku z ujawnieniem imienia, nazwiska i nr PESEL, np. umów z operatorami telekomunikacyjnymi czy dostawcami sygnału RTV;
  8. Uzyskanie przez osoby trzecie możliwości podjęcia próby założenia firmy z wykorzystaniem Państwa danych osobowych, która następnie może posłużyć do wyłudzeń podatkowych, narażając Państwa na nieprzyjemności i konieczność wykazania Państwa braku związku ze sprawą;
  9. Uzyskanie przez osoby trzecie możliwości złożenia fałszywej deklaracji podatkowej w Państwa imieniu, powodując tym działaniem wszczęcie postępowania wyjaśniającego w Urzędzie Skarbowym;
  10. Ryzyko otrzymania wezwania do zwrotu środków, których faktycznie Państwo nie otrzymaliście;
  11. Ryzyko podjęcia próby zamiany Państwa adresu korespondencyjnego, numeru telefonu lub adresu e-mail powiązanego z kontem bankowym oraz z innymi kontami (np. kontem kredytowym, leasingowym, kontami rozliczeniowymi za dostarczone media (gaz, prąd, wodę etc.), czy wszelkiego rodzaju abonamenty i subskrypcje), co może utrudnić Państwu dostęp do tych internetowych kont a także ryzyko przejęcia istotnych dokumentów w korespondencji z powiązanymi podmiotami;
  12. Ryzyko uzyskania dostępu do Państwa świadczeń w ZUS lub NFZ;
  13. Ryzyko otrzymania wezwania do złożenia wyjaśnień w sprawie, z którą nie macie Państwo nic wspólnego;
  14. Ryzyko wystąpienia ukierunkowanych ataków socjotechnicznych, oszustw metodą “na wnuczka” czy “na policjanta”;
  15. Wzrost zagrożenia fizycznego (np. włamania, stalking, niechciane wizyty);
  16. Możliwość fałszowania historii zawodowej i wykorzystania danych do nielegalnych celów;
  17. Ryzyko oszustw rekrutacyjnych, w tym podszywania się pod pracowników;

Informujemy, że obecnie istnieją wysokie ryzyka związane z ewentualnym wykorzystaniem Państwa danych osobowych w sposób nieuprawniony, narażające Państwa na ewentualne naruszenia praw i wolności.

Zastosowane środki zaradcze

Obecnie trwają czynności sprawdzające także przez służby uprawnione. Administrator po swojej stronie zastosował adekwatne środki zmierzające do minimalizacji skutków naruszenia.

Zainfekowany serwer został wyłączony z użytkowania.

Proponowane środki zaradcze – jakie działania możecie Państwo podjąć

Należy podkreślić, że obecnie nie ma pewności czy Państwa dane zostały wykradzione, niemniej jednak zalecamy zachowanie szczególnej czujności i ostrożności, zwracania szczególnej uwagi na nietypowe zdarzenia czy na jakiekolwiek sygnały mogące świadczyć o wykorzystywaniu Państwa danych niezgodnie z przepisami prawa.

W związku z ujawnieniem Państwa danych osobowych, możecie Państwo zminimalizować wystąpienie opisanych wyżej ryzyk m.in. poprzez:

  1. Zastrzeżenie numeru PESEL. Od 1 czerwca 2024 r. instytucje finansowe (np. banki) będą miały obowiązek weryfikować, czy numer PESEL jest zastrzeżony przy zawieraniu np. umowy kredytu lub pożyczki. W dowolnym momencie mogą Państwo cofnąć zastrzeżenie, wykonać przysługujące Państwu czynności a następnie zastrzec numer ponownie. Zastrzeżenie numeru PESEL w żaden sposób nie zablokuje Państwa możliwości rejestracji do lekarza, realizacji recepty czy załatwienia sprawy urzędowej, ale zabezpiecza Państwa przed zawarciem umowy kredytu/pożyczki w Państwa imieniu przez osoby do tego nieuprawnione.

Zastrzec numer PESEL można na wiele sposobów, w tym elektronicznie, za pośrednictwem Internetu oraz osobiście w urzędzie. Wszelkie szczegóły tego jak to zrobić znajdują się na rządowej stronie: https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie

  1. Wykupienie rocznego abonamentu tzw. Alertów w BIK (Biurze Informacji Kredytowej). Alerty takie, przychodzą w postaci krótkich wiadomości SMS wysyłanych na Państwa nr telefonów komórkowych zawsze, gdy ktoś złoży wniosek o kredyt/pożyczkę na Państwa dane lub spróbuje podpisać w Państwa imieniu umowę np. na świadczenie usług telekomunikacyjnych z operatorem sieci komórkowej lub usług RTV z dostawcą sygnału telewizyjnego.
  2. Przejrzenie dostępnych informacji w Internecie na swój temat i usunięcie tych, które mogą wykorzystać przestępcy do nielegalnej działalności, w szczególności nr telefonów komórkowych, adresy e-mail, wizerunek, adresy zamieszkania, ale także zbędne informacje o miejscach pobytu czy zainteresowaniach i wszelkie inne szczegóły, które mogą zostać wykorzystane przez przestępców do podszywania się pod Państwa.
  3. Możliwość skorzystania ze środków ochrony dóbr osobistych wskazanych w kodeksie cywilnym i kodeksie postępowania cywilnego. Przysługuje Państwu prawo do wytoczenia powództwa o ochronę dóbr osobistych na podstawie art. 24 k.c. Żądaniem pozwu może być żądanie usunięcia skutków naruszenia. Posiadają Państwo także prawo roszczenia o odszkodowanie za powstałą szkodę majątkową lub zadośćuczynienie za poniesioną krzywdę spowodowaną naruszeniem dobra osobistego – prawa do prywatności w zakresie autonomii informacyjnej co do decydowania o ujawnianiu informacji o swojej osobie z art. 23 k.c. w zw. z art. 24 k.c. w zw. z art. 448 k.c. (zadośćuczynienie za naruszenie dobra osobistego).
  4. Zachowanie szczególnej rozwagi podczas umieszczania jakichkolwiek prywatnych danych na swój temat w Internecie. Obecnie zakres przestępczej działalności internetowej jest bardzo szeroki i aktywny.
  5. Pilną weryfikację swoich haseł wykorzystywanych w różnych portalach, sklepach internetowych, kontach pocztowych i ich zmianę w taki sposób by były w każdym takim miejscu niepowtarzalne, silne, bezpieczne oraz składające się co najmniej z 16 znaków.
  6. Weryfikację występowania Państwa danych w bazie znanych wycieków danych, za pośrednictwem rządowego portalu https://bezpiecznedane.gov.pl.

Jeżeli dowiedzą się Państwo o upublicznieniu, wykorzystaniu lub o jakimkolwiek dalszym ujawnieniu danych osobowych, bardzo proszę o niezwłoczne przekazanie tej informacji do Inspektora Ochrony Danych SP ZOZ Szpitala Specjalistycznego MSWiA w Złocieńcu, korzystając z danych podanych w niniejszym zawiadomieniu, i/lub o kontakt z najbliższą jednostką Policji lub o zgłoszenie na numer alarmowy 112. Ponadto mają Państwo prawo złożyć zawiadomienie do prokuratury o możliwości popełnienia przestępstwa w związku z wejściem nieuprawnionej osoby w posiadanie Państwa danych osobowych i wykorzystywanie ich w jakikolwiek niedozwolony sposób. Mają Państwo również prawo złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (00-193 Warszawa, ul. Stawki 2, https://uodo.gov.pl/pl/526/2464).

Dane kontaktowe

Inspektor Ochrony Danych:

W razie jakichkolwiek pytań, proszę o kontakt z Inspektorem Ochrony Danych

Damianem Śliwińskim, telefonicznie: +48 502 424 772, za pośrednictwem poczty elektronicznej: iod@szpitalkansk.pl lub listownie, pisząc na adres siedziby Administratora danych, z dopiskiem „Inspektor Ochrony Danych”.

Administrator danych osobowych:

Samodzielny Publiczny Zakład Opieki Zdrowotnej Szpital Specjalistyczny Ministerstwa Spraw Wewnętrznych i Administracji w Złocieńcu, 78-520 Złocieniec, ul. Kańsko 1,

NIP 253 00 98 261, REGON 330086948, KRS 0000027543

Kontakt telefoniczny: +48 94 367 12 22

Kontakt mailowy: sekretariat@szpitalkansk.pl

{"register":{"columns":[]}}