Na podstawie art. 34 ust. 3 lit. c RODO[1] uprzejmie informujemy, że w okresie od dnia 19 kwietnia do dnia 25 kwietnia 2025 r. miało miejsce naruszenie ochrony danych osobowych gromadzonych w tzw. systemie P1[2], których administratorem jest Minister Zdrowia. Naruszenie związane było z utratą atrybutu poufności w Internetowym Koncie Pacjenta[3], zwanym dalej „IKP”.

W dniu 28 kwietnia 2025 r. Centrum e-Zdrowia występujące w roli podmiotu przetwarzającego w systemie P1 przekazało do Ministerstwa Zdrowia informację o zgłoszonej podatności w IKP, którą otrzymało od jednego z użytkowników. Z przekazanych informacji wynikało, że w przypadku wprowadzenia zmian w adresie URL w przeglądarce internetowej podczas pracy z aplikacją IKP możliwy był nieuprawniony dostęp do dokumentacji medycznej (EDM) innych użytkowników. Zatem z poziomu aplikacji IKP możliwa była ręczna edycja adresu URL w przeglądarce, dokonanie zmiany fragmentu adresu i wykonanie operacji pobrania dokumentu EDM. Należy przy tym podkreślić, że standardowo pobranie dokumentacji z IKP możliwe jest po dokonaniu weryfikacji uprawnień po stronie podmiotu leczniczego w systemie P1. W opisanym zdarzeniu weryfikacja taka nie miała miejsca. Niezależnie od możliwości modyfikacji adresu URL, po stronie podmiotu leczniczego powinna być realizowana obowiązkowa weryfikacja uprawnień użytkownika, zgodnie z obowiązującą dokumentacją integracyjną. W związku ze zdarzeniem doszło do pozyskania przez zgłaszającego problem użytkownika IKP dokumentacji medycznej czterech innych osób fizycznych, wobec czego doszło do naruszenia poufności ich danych osobowych, przy czym zgłaszający nie przekazał tożsamości osób, których dokumentację pozyskał. W wyniku zdarzenia doszło do nieuprawnionego ujawnienia danych osobowych tych osób obejmujących: imiona i nazwiska, datę urodzenia, adresów zamieszkania lub pobytu, numeru PESEL, serii i numeru dowodu osobistego oraz danych dotyczących zdrowia.

W związku ze zidentyfikowanym naruszeniem i ryzkiem możliwości dalszego potencjalnego naruszania ochrony danych osobowych w celu weryfikacji podatności przeprowadzono testy przy użyciu konta IKP innej osoby i repozytorium innego podmiotu. Testy te nie potwierdziły możliwości pobrania dokumentów nieuprawnionego użytkownika, co wskazywało, że podatność była ograniczona do konkretnego repozytorium danych, w konkretnym podmiocie leczniczym. Zgodnie z dokumentacją użytkownika systemu P1, każde repozytorium po otrzymaniu żądania pobrania dokumentu powinno zweryfikować dostępność dokumentu dla danego użytkownika, opierając się na decyzji autoryzacyjnej P1. Dalsza analiza wykazała, że po stronie konkretnego podmiotu leczniczego (szpitala) nie zabezpieczono repozytorium danych w zakresie wymogu weryfikacji uprawnień użytkownika, w systemie P1. Z uwagi na zdarzenie dotyczące podmiotu leczniczego CSIRT CeZ skontaktował się z dostawcą repozytorium oraz podmiotem leczniczym (szpitalem), w którym doszło do zdarzenia, celem potwierdzenia stosowania mechanizmów weryfikacji uprawnień użytkowników przed udostępnieniem danych. Dostawca repozytorium potwierdził błąd w usłudze dostarczanej do podmiotu leczniczego, przez co podmiot leczniczy nie mógł dokonać weryfikacji użytkownika przed pobraniem danych z systemu P1. Dostawca repozytorium zadeklarował naprawę tego błędu do dnia 25 kwietnia i w dniu 25 kwietnia 2025 r. przekazał informacje o przygotowaniu poprawki do systemów repozytorium w podmiotach leczniczych.

W dniu 29 kwietnia 2025 r. Minister Zdrowia zgłosił przedmiotowe naruszenie ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych.

Potencjalnymi konsekwencjami dla osób, których dane mogły zostać naruszone przedmiotowym zdarzeniem, może być nieuprawnione wykorzystanie danych osobowych w następujący sposób:

1. możliwość umieszczenia danych osobowych w nielegalnych bazach danych oferowanych przez internet;
2. osoby trzecie mogą podjąć próbę uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i potencjalnie uzyskać wgląd do danych o stanie zdrowia właściciela dokumentu, ponieważ czasem dostęp do systemów rejestracji pacjenta (w placówkach medycznych) można uzyskać, potwierdzając swoją tożsamość za pomocą numeru PESEL;
3. składanie przez osoby trzecie dyspozycji w podmiotach leczniczych w zakresie wydawania dokumentacji medycznej w imieniu poszkodowanego lub wyrażania sprzeciwu dotyczącego uzyskiwania kopii dokumentacji;
4. próby wyłudzenia udostępniania informacji medycznych, w tym danych dotyczących stanu zdrowia za pomocą środków komunikacji zdalnej;
5. ryzyko wyłudzenia kredytu, pożyczki, zaciągnięcia zobowiązań w instytucjach pozabankowych na szkodę osoby, której dane osobowe naruszono;
6. wystąpienie szkód materialnych (np. strat finansowych) i niematerialnych (np. kradzież tożsamości lub oszustwo);
7. dane osobowe mogą zostać wykorzystane w przyszłości przez osobę trzecią do próby wyłudzenia ubezpieczenia;
8. dane osobowe mogą zostać wykorzystane w przyszłości do uzyskania przez osoby trzecie, na szkodę osób, których dane naruszono, dostępu do środków finansowych zgromadzonych na prywatnych kontach bankowych, wyłudzonych przez ww. osoby podszywające się pod instytucje finansowe za pomocą SMS-ów;
1. ułatwienie złamania/odgadnięcia haseł np. do bankowości elektronicznej w przypadku, gdy hasła te opierają się na informacjach zawartych w danych osobowych (np. imię, nazwisko, data urodzenia, PESEL);
10. dane mogą zostać wykorzystane do tzw. SIM swappingu, czyli wyrobienia duplikatu karty SIM, która następnie może zostać użyta w celu dokonania nielegalnej autoryzacji dokonanego w internecie zakupu;
11. ujawnione dane osobowe mogą być wykorzystywane do próby wyłudzenia kolejnych dodatkowych danych np. poprzez kontakt w mediach społecznościowych;
50. dane osobowe mogą zostać wykorzystane przez osoby trzecie do ukrycia swojej tożsamości, np. przy otrzymywaniu mandatu;
1000. dane osobowe mogą zostać wykorzystane w przyszłości do zawarcia umowy o świadczenie usług np. telewizji kablowej, telefonu, internetu a następnie zaprzestanie opłacania rachunków i spowodowanie dla osób, których dane dotyczą, negatywnych konsekwencji w postaci zadłużenia;
14. dane osobowe mogą zostać wykorzystane do założenia na dane właściciela dokumentu konta internetowego (np. w serwisach społecznościowych);
15. dane osobowe mogą zostać wykorzystane do zarejestrowania karty telefonicznej typu prepaid, która może posłużyć do celów przestępczych;
16. dane osobowe mogą zostać wykorzystane do podszycia się pod inną osobę lub instytucję w celu wyłudzenia dodatkowych określonych informacji;
17. dane osobowe mogą zostać wykorzystane do oddania w przyszłości głosu w głosowaniu nad środkami budżetu obywatelskiego.

Niezależnie od podjętych działań naprawczych, w celu minimalizacji ewentualnych negatywnych skutków podajemy informacje o krokach, które można podjąć w związku z incydentem:

1. w przypadku podejrzenia możliwości popełnienia przestępstwa tzw. „kradzieży tożsamości”, zgłoszenie faktu naruszenia ochrony danych właściwym organom ścigania w celu zapobieżeniu przestępczego działania;
2. monitorowanie wykorzystania swoich danych osobowych w systemach takich jak Biuro Informacji Kredytowej, Biuro Informacji Gospodarczej, Krajowy Rejestr Długów, serwis Chroń PESEL;
3. skontaktowanie się z placówkami medycznymi, w których znajduje się dokumentacja medyczna osoby, której dotyczy naruszenie, w celu upewnienia się, że w jej imieniu nie były składane żadne dyspozycje (np. sprzeciw wobec wydania dokumentacji medycznej konkretnej osobie);
4. zachowanie szczególnej ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem internetu czy telefonu;
5. należy ignorować nieoczekiwane wiadomości, w szczególności od nieznanych nadawców;
6. niepowiązywanie haseł np. do bankowości elektronicznej z własnymi danymi osobowymi (typu data urodzenia czy nazwisko);
7. wykorzystanie możliwości wprowadzonych ustawą z dnia 7 lipca 2023 r. o zmianie niektórych ustaw w celu ograniczania niektórych skutków kradzieży tożsamości (Dz. U.  z 2023 r. poz. 1394) – to jest zastrzeżenie swojego numeru PESEL[4] (możliwe m.in. w aplikacji mObywatel);
8. w przypadku materializacji któregoś ze wskazanych negatywnych skutków naruszenia rozważenie możliwości skorzystania ze środków ochrony dóbr osobistych, wskazanych w przepisach ustaw kodeks cywilny lub/i kodeks postępowania cywilnego.

Ewentualne pytania dotyczące zdarzenia w zakresie danych osobowych można kierować do p. Marka Mączewskiego Inspektora Ochrony Danych w Ministerstwie Zdrowia, pod adresem e-mail: iod@mz.gov.pl, za pośrednictwem e-Doręczeń, platformy ePUAP (Elektroniczna skrzynka podawcza: /8tk37sxx6h/SkrytkaESP) lub listownie na adres siedziby: Ministerstwo Zdrowia, ul. Miodowa 15, 00-952 Warszawa.

Ponadto istnieje możliwość skontaktowania się w tej sprawie z Centrum
e-Zdrowia, które jest odpowiedzialne za techniczną i organizacyjną obsługę systemów teleinformatycznych poprzez adres e-mail: biuro@cez.gov.pl, za pośrednictwem e-Doręczeń, platformy ePUAP (Elektroniczna skrzynka podawcza: /csiozgovpl/SkrytkaESP) lub listownie na adres siedziby: Centrum e-Zdrowia, ul. Dubois 5A, 00-184 Warszawa.

Informujemy, że dokładamy wszelkich starań, aby zapewnić bezpieczeństwo danych osobowych w ramach realizowanych procesów przetwarzania.