O największym w Polsce wycieku danych medycznych wciąż mówi się dużo. W ciągu zaledwie dwóch dób od upublicznienia danych, PESEL zastrzegło ok. 238 tys. Polaków. W ciągu 2 dni przyrost zastrzeżeń był na poziomie 70 proc. Jak zastrzec swój PESEL i dlaczego warto to zrobić?
Pod koniec listopada tego roku całe społeczeństwo zelektryzowała informacja o wycieku danych osobowych i medycznych tysięcy pacjentów w naszym kraju. Jako pierwszą informację o tym podała zaufanatrzeciastrona.pl, o czym również informowaliśmy w poniższym materiale:
Jak się okazało, eksperci do spraw cyberbezpieczeństwa mieli rację (tyle że mało kto dawał im wiarę). Hakerzy atakują nie tylko największe międzynarodowe koncerny, ale również znacznie mniejsze organizacje. Zagrożony jest praktycznie każdy.
Tym razem ofiarami padli pacjenci ogólnopolskiej sieci laboratoriów diagnostycznych ALAB (chodzi o wyciek danych osobowych). Ponieważ sprawa jest bardzo świeża, a świadomość społeczna w tej dziedzinie bardzo niska, wyjaśnijmy, co można w takiej sytuacji zrobić?
W tym przypadku można mówić o szczęściu w nieszczęściu. Tak się złożyło, że od 17 listopada tego roku każdy obywatel może zastrzec swój numer PESEL. Choć faktyczne skutki odczujemy bardziej po 1 czerwca 2024 roku. Dopiero wtedy właściwe instytucje będą miały obowiązek sprawdzania, czy nasz PESEL jest zastrzeżony, czy nie - zwraca uwagę Katarzyna Kopytowska, dyrektor Departamentu Rejestrów Państwowych w Centralnym Ośrodku Informatyki.
Reklama
Zastrzeżenia oraz cofania zastrzeżenia można dokonywać w dowolnym urzędzie gminy albo przez stronę internetową mobywatel.gov.pl, a już od połowy grudnia – również przez aplikację mObywatel.
Aby zastrzec numer PESEL w portalu mObywatel, należy wybrać sekcję „Twoje dane”, a następnie „Rejestr zastrzeżeń PESEL”. Kolejnym krokiem jest wybór opcji „Zastrzeż PESEL” lub „Cofnij zastrzeżenie”.
Ta operacja może być przydatna w sytuacjach takich jak zgubienie dowodu, w przypadku wycieku danych na skutek ataku hakerskiego, nieświadomego podania wrażliwych danych osobom trzecim. Jednak trzeba mieć świadomość, że zastrzeżenie numeru PESEL nie zabezpiecza przed utratą danych, a tylko przed konsekwencjami takiego zdarzenia.
Zastrzeżenie numeru PESEL nie ma naturalnie znaczenia przy wizycie u lekarza czy realizacji recept. Natomiast liczy się w przypadku zakładania czy likwidacji konta w banku, sprzedaży nieruchomości, wydania duplikatu karty SIM i tym podobnych działaniach.
Wdrożenie możliwości zastrzegania numeru PESEL jest odpowiedzią na potrzeby społeczne. W wystąpieniach obywateli kierowanych do Ministerstwa Cyfryzacji jako organu prowadzącego rejestr PESEL pojawiały się pytania dotyczące możliwości zabezpieczenia danych i ochrony numerów PESEL przed ich wykorzystaniem do przestępstw. W związku z tym opracowano przepisy, które umożliwiłyby każdemu szybkie zastrzeganie swego numeru PESEL w razie wycieku czy kradzieży danych osobowych.
W założeniu taka usługa miała być dostępna dla użytkowników Internetu (także poprzez aplikację mObywatel), ale również w tradycyjnej formie – na piśmie w dowolnym urzędzie gminy. Przepisy podlegały szerokim konsultacjom z instytucjami bankowymi, pożyczkowymi czy udzielającymi odroczonych płatności. Ostatecznie zapisy o możliwości zastrzegania numeru PESEL znalazły się w ustawie z 7 lipca 2023 r. o zmianie niektórych ustaw w celu ograniczania niektórych skutków kradzieży tożsamości, a zaczęły obowiązywać właśnie 17 listopada 2023 r.
Zastrzeżenie numeru PESEL oznacza możliwość zabezpieczania się przed konsekwencjami utraty danych osobowych. PESEL możemy zastrzec w dowolnym momencie i cofnąć to zastrzeżenie, kiedy potrzebujemy. Gorąco do tego zachęcamy, abyśmy ustrzegli się przed skutkami wejścia w posiadanie naszych danych osobowych przez osoby trzecie, na przykład w sytuacji, gdy zgubimy dowód osobisty - wyjaśnia Katarzyna Kopytowska.
Na razie zastrzeżenie nie ma twardego skutku. Dopiero po 1 czerwca przyszłego roku na niektóre przedsiębiorstwa, na przykład instytucje pożyczkowe czy operatorów telekomunikacyjnych, zostaną nałożone określone obowiązki. Między innymi obowiązek weryfikowania, czy numer PESEL jest zastrzeżony. Będzie się to stosować na przykład przy zakładaniu konta bankowego. Naturalnie w razie takiego zastrzeżenia bank będzie zobowiązany odmówić założenia konta.
Jednak zastrzeżenie numeru PESEL już teraz może ułatwić ofiarom wycieku danych obronę w sądzie. Bo w sytuacji, gdy ktoś wejdzie w posiadanie naszych danych osobowych i użyje ich np. do zaciągnięcia kredytu, to na nas spoczywa obowiązek udowodnienia, że to nie my podpisywaliśmy umowę. Gdy jednak przyniesiemy do sądu zaświadczenie, że w dniu, gdy dane zobowiązanie zostało zaciągnięte, my już mieliśmy zastrzeżony PESEL, postępowanie będzie łatwiejsze i szybsze. Sąd będzie miał dowód na to, że w danym dniu ten numer PESEL nie mógł być użyty do zaciągnięcia zobowiązania.
Od pierwszego dnia gdy zaistniała możliwość zastrzegania numeru PESEL, czyli od 17 listopada do 26 listopada (dnia poprzedzającego opublikowanie informacji o wycieku danych w firmie ALAB) swoje numery PESEL zastrzegło ponad 317 tysięcy osób. Po jej upublicznieniu, w ciągu zaledwie dwóch dób, PESEL zastrzegło kolejnych 238 tys. Polaków. W ciągu 2 dni zaobserwowaliśmy przyrost zastrzeżeń na poziomie 70 proc. 4 grudnia tych osób było już łącznie 714,6 tysięcy - informuje Sebastian Bukowski, dyrektor Pionu Operacji i Cyberbezpieczeństwa w Centralnym Ośrodku Informatyki.
Przewrotnie można więc powiedzieć, że tego typu wycieki mają charakter uświadamiający. Sprawiają, że ludzie zaczynają się interesować zagrożeniami i w konsekwencji im przeciwdziałać, czego przykładem jest wzmożone zainteresowanie możliwością zastrzegania numeru PESEL. Jest to ciekawy efekt, choć niestety dość smutny, bo pokazuje, że dopiero w przypadku tak dużych wycieków danych zaczynamy myśleć o cyberbezpieczeństwie.
- Chociażby ten przykład uzmysławia nam, jak ogromną rolę w dzisiejszych czasach odgrywa dbałość o cyberhigienę. Dlatego wszystkie organizacje powinny zwrócić uwagę na cyberbezpieczeństwo, ponieważ – jak pokazuje przykład ALAB Laboratoria – w krótkiej chwili można stracić bardzo wiele: dane klientów, partnerów, reputację, wywołać konsekwencje prawne dla organizacji, a dodatkowo utrudnić funkcjonowanie firmy w przyszłości. Ta historia uczy nas również tego, że konieczna jest aktywna współpraca instytucji publicznych z biznesowymi w obszarze cyberbezpieczeństwa i budowania ofert, które będą bezpieczne i odporne na ataki cybernetyczne. Ma to bardzo duże znaczenie, szczególnie w dzisiejszych czasach, w których usługi cyfrowe stają się podstawą funkcjonowania społeczeństwa - podkreśla Sebastian Bukowski.
Tymczasem skala zjawiska jest zatrważająca. Początkowo ujawniono dane pacjentów trzech placówek ALAB Laboratoria. Mówiło się wówczas o 55 tysiącach osób.
Jak informowaliśmy w ubiegłym tygodniu, portal zaufanatrzeciastrona.pl skorygował jednak tę liczbę. Według analizy, którą portal aufanatrzeciastrona.pl otrzymał od anonimowego informatora, w ujawnionych danych znajdują się wyniki 55 089 badań, ale dotyczą one tylko (lub aż) 12 076 unikatowych PESEL-i. Można zatem przyjąć, że próbka danych opublikowana przez włamywaczy zawiera dane nieco ponad 12 tys. osób.
Tak czy inaczej, nie można przejść obok tego zjawiska obojętnie. Zwłaszcza że sprawa nie zakończyła się w listopadzie. Cyberprzestępcy grożą, że jeśli firma nie zapłaci okupu, do 31 grudnia tego roku upublicznią dane pozostałych pacjentów. Tymczasem spółka chwali się, iż wykonuje 60 milionów badań rocznie.
Jak w takim razie wyjaśnia sprawę ALAB? Niestety, odnosi się wrażenie, że w tej kryzysowej sytuacji nie potrafi zadbać o swój wizerunek. Rzecznik prasowa firmy nie odpowiedziała nam na prośbę o wyjaśnienie przesłaną przez formularz umieszczony na stronie internetowej. Natomiast inspektor ochrony danych mailem zaprosiła do lektury komunikatu opublikowanego tamże 27 listopada.
ALAB laboratoria sp. z o.o. (dalej: spółka) jako administrator danych osobowych w trybie art. 34 pkt 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) informuje o możliwości naruszenia ochrony danych osobowych w związku z incydentem bezpieczeństwa w postaci ataku hakerskiego. Incydent ten jest wynikiem działalności przestępczej mającej na celu wymuszenie na spółce okupu.
Zwróćmy uwagę: atak na ALAB nastąpił 19 listopada. Tymczasem komunikat o zdarzeniu opublikowano dopiero osiem dni później. Dlaczego? Tej informacji oczekujemy od spółki.
Na razie nie wiadomo dokładnie, co się stało. Trwa postępowanie wyjaśniające. Ale konsekwencje dla firmy mogą być rzeczywiście poważne.
Atak ransomware połączony z wyciekiem danych z firmy ALAB poważnie zaniepokoił opinię publiczną, zarówno z uwagi na skalę wycieku, jak i potencjalny zakres danych, który może obejmować dane o zdrowiu wielu pacjentów. Dlatego Prezes UODO i Rzecznik Praw Pacjenta w ramach porozumienia między organami podejmują wspólne działania w związku z tym wydarzeniem, czytamy na stronie uodo.gov.pl.
UODO analizuje zgłoszone 21 listopada br. naruszenie ochrony danych w ALAB. Na obecnym etapie czekamy na dalsze ustalenia administratora danych, aby dysponować wiedzą na temat szczegółów związanych z naruszeniem i rzetelnie wyjaśnić jego przyczyny i skalę. W związku z głośnym wyciekiem danych, w ramach współpracy obie instytucje będą wymieniać się ustaleniami z podejmowanych działań oraz wynikami swoich prac. Celem tej współpracy jest przede wszystkim dobro pacjentów i ochrona ich danych osobowych - powiedział Jakub Groszkowski, zastępca prezesa UODO. –
Rozpoczynamy postępowanie, by we współpracy z Prezesem UODO i podmiotem ustalić szczegóły sprawy. Potencjalne naruszenie praw pacjenta traktujemy niezwykle poważnie, mając na uwadze nie tylko literę prawa, ale i zaufanie pacjentów do podmiotów leczniczych i systemu ochrony zdrowia – dodał Bartłomiej Chmielowiec, Rzecznik Praw Pacjenta.
Wspólne działania mają też pomóc w sprawnym ustaleniu przyczyn, jak i konsekwencji naruszenia ochrony danych osobowych. Informacje pozyskane zarówno przez Prezesa UODO, jak i Rzecznika Praw Pacjenta mają pomóc obu organom w realizacji ich ustawowych zadań. Ponadto połączone wysiłki tych instytucji mogą też przełożyć się na opracowanie w przyszłości rekomendacji, które pozwolą ograniczać ryzyka związane z tak poważnymi naruszeniami ochrony danych, jak i niwelować ich skutki.
Jednocześnie organ nadzorczy zaleca, by pacjenci przed podjęciem jakichkolwiek działań w związku z zaistniałym naruszeniem ochrony danych skorzystali z narzędzia udostępnionego przez ministra cyfryzacji i zweryfikowali, czy ich dane są objęte wyciekiem z ALAB w serwisie bezpiecznedane.gov.pl.
21 listopada UODO otrzymał zgłoszenie naruszenia ochrony danych osobowych od administratora danych firmy ALAB Laboratoria. Jest ono obecnie analizowane przez UODO. Jednocześnie informuję, że UODO nie udziela informacji o szczegółach dotyczących zgłoszeń naruszeń ochrony danych. Takich informacji może udzielić jedynie administrator danych, u którego doszło do naruszenia ochrony danych osobowych. Przy okazji informuję, że do organu nadzorczego trzeba zgłaszać te naruszenia, w przypadku których istnieje prawdopodobieństwo (wyższe niż małe) szkodliwego (niekorzystnego) wpływu na osoby, których dane dotyczą – potwierdza w rozmowie z portalem PolitykaZdrowotna.com Adam Sanocki, rzecznik prasowy UODO.
Chodzi na przykład o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy naruszenia tajemnic prawnie chronionych. Jeżeli natomiast istnieje wysokie ryzyko, że wystąpią niekorzystne skutki naruszenia dla osób, których dane dotyczą, wówczas RODO wymaga, aby oprócz organu ds. ochrony danych, administrator poinformował również osoby, których te dane dotyczą. Takie sytuacje mogą mieć miejsce, gdy zakres ujawnionych danych obejmuje np. informacje widniejące w dowodach tożsamości, a więc nie tylko imię i nazwisko, ale numer PESEL czy numer dokumentu. W każdym przypadku to administrator analizuje naruszenie pod kątem ewentualnego zgłoszenia organowi nadzorczemu i zawiadamiania osób, których ono dotyczy.
Celem zgłaszania naruszeń Prezesowi UODO jest m.in. dokonanie przez organ nadzorczy oceny, czy administrator prawidłowo wypełnił obowiązek zawiadomienia o naruszeniu praw osób, których dane dotyczą, o ile faktycznie wystąpiła sytuacja, w której ma obowiązek to zrobić, czy podjął też odpowiednie działania w celu zminimalizowania ryzyka wystąpienia podobnego naruszenia w przyszłości. Dlatego istotny jest czas zgłoszenia naruszenia ochrony danych osobowych, na co administratorzy mają co do zasady 72 godziny.
W przypadku poważnych naruszeń bardzo ważny jest czas reakcji. Dlatego, gdyby okazało się np., że administrator powinien powiadomić nie tylko UODO, ale także osoby, których dotyczy dane zdarzenie, a tego nie zrobił, wówczas można szybko wskazać mu taką konieczność. Bardzo ważne jest bowiem, by osoby, których dane zostały np. ujawnione czy skradzione albo w inny sposób naruszone, mogły po takim powiadomieniu jak najszybciej same podjąć działania, które zabezpieczą je przed kolejnymi zagrożeniami.
Takimi działaniami może być założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej oraz zachowanie jeszcze większej ostrożności podczas podawania danych przez Internet lub telefon, by np. osoby o nieuczciwych zamiarach nie uzyskały np. dodatkowych danych, które ułatwią im np. tzw. kradzież tożsamości.
- Odpowiadając na pytanie o ewentualne konsekwencje naruszenia informuję, że za nieprzestrzeganie zasad określonych w RODO administrator ponosi odpowiedzialność. Kary finansowe w RODO to tylko jeden z instrumentów oddziaływania, jakimi dysponuje Prezes UODO, by zapewnić przestrzeganie prawa. RODO zawiera bowiem całą gamę różnych rozwiązań, które służą wzmocnieniu ochrony danych osobowych obywateli. W przypadku stwierdzenia naruszenia przepisów może być bowiem m.in. wydane ostrzeżenie, udzielone upomnienie czy wydany nakaz dostosowania określonych działań do obowiązujących przepisów - mówi Adam Sanocki.
Takie jest stanowisko organu nadzorczego. Ale wydarzenie tej wagi rodzi ogromne emocje społeczne. Powtórzmy, w tej sytuacji przedsiębiorstwo może stracić bardzo wiele: nie tylko dane klientów, lecz także partnerów, reputację, a więc utrudnić funkcjonowanie firmy w przyszłości.
Dlatego warto wyciągnąć wnioski z całej tej historii. Po pierwsze, nie powinno się oszczędzać na nakładach na cyberbezpieczeństwo. Po drugie, trzeba lepiej zarządzać sytuacją kryzysową.
--
AUTOR MATERIAŁU: Mieczysław T. Starkowski
Chcesz być na bieżąco z wieściami z naszego portalu? Obserwuj nas na Google News!
Twoje zdanie jest ważne jednak nie może ranić innych osób lub grup.
Komentarze