]

Zawiadomienie o naruszeniu ochrony danych osobowych

Przejdź do Strona główna / RODO / Zawiadomienie o naruszeniu ochrony danych osobowych

ZAWIADOMIENIE O NARUSZENIU OCHRONY DANYCH osobowych W SAMODZIELNYM PUBLICZNYM WOJEWÓDZKIM SZPITALU ZESPOLONYM W SZCZECINIE (Arkońska i Zdunowo)

Na podstawie art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Samodzielny Publiczny Wojewódzki Szpital Zespolony w Szczecinie informuje, że w dniu 8 marca 2026 r. SPWSZ w Szczecinie, będący Administratorem Państwa danych osobowych, zidentyfikował incydent związany z cyberatakiem typu ransomware, który spowodował naruszenie ochrony danych osobowych. Atak polegał na zastosowaniu złośliwego oprogramowania szyfrującego, które doprowadziło do zaszyfrowania części zasobów informatycznych Szpitala, co wiąże się z wysokim ryzykiem nieuprawnionego dostępu i potencjalnej kradzieży. Niniejsze zawiadomienie dotyczy obu lokalizacji - placówek przy ul. Arkońskiej i w Zdunowie.

W wyniku tego zdarzenia doszło do utraty dostępności danych osobowych, a także, z dużym prawdopodobieństwem, naruszenia ich poufności. Dotyczy to m.in. informacji dotyczących pacjentów, pracowników, kontrahentów oraz innych osób, których dane były przetwarzane przez SPWSZ w Szczecinie.

Obecnie trwają działania wyjaśniające, mające na celu ustalenie zakresu incydentu.

Podjęto także działania zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód. Jednocześnie SPWSZ w Szczecinie dokonał zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformował uprawnione instytucje, a także złożył zawiadomienie o podejrzeniu popełnienia przestępstwa.

W dalszej części przekazujemy Państwu informację dotyczące naruszenia:

1. Opis charakteru naruszenia

Naruszenie ochrony danych osobowych miało charakter incydentu cybernetycznego polegającego na ataku z wykorzystaniem oprogramowania ransomware. Atak ten doprowadził do zaszyfrowania plików przechowywanych na wybranej infrastrukturze serwerowej, skutkując utratą dostępności do danych oraz potencjalnym naruszeniem ich poufności.

Ze względu na specyfikę działania ransomware istnieje wysokie prawdopodobieństwo, że dane osobowe zostały przejęte w sposób nieuprawniony przez cyberprzestępców przed ich zaszyfrowaniem. Może to oznaczać możliwość ich dalszego wykorzystania w sposób nieautoryzowany, np. poprzez sprzedaż, nielegalne rozpowszechnianie lub wykorzystanie do oszustw i kradzieży tożsamości.

Atak dotknął szeroki zakres danych osobowych, obejmujących m.in. informacje o pacjentach, pracownikach, kontrahentach oraz innych osobach, których dane były przetwarzane w systemach SPWSZ w Szczecinie. W wyniku incydentu naruszona została dostępność danych, a także z dużym prawdopodobieństwem ich poufność.

Naruszenie to może prowadzić do negatywnych konsekwencji dla osób, których dane zostały objęte incydentem, w tym ryzyka nieuprawnionego wykorzystania Państwa danych w celach oszustw, nadużyć finansowych, czy naruszenia prywatności.

2. Rodzaje danych objętych atakiem:

1) dane identyfikacyjne (m.in. imię, nazwisko, PESEL, nr dokumentu stwierdzającego tożsamość, organ wydający oraz data ważności, data urodzenia, obywatelstwo),
2) dane adresowe (adres zamieszkania, zameldowania, korespondencyjny),
3) dane kontaktowe (nr telefonu, adres e-mail),
4) dane szczególnej kategorii o stanie zdrowia (dokumentacja medyczna),
5) w minimalnym zakresie dane dotyczące faktu aresztowania lub zatrzymania przez organy ścigania w zakresie w jakim osobom tym były udzielane świadczenia zdrowotne,
6) dane finansowe (nr rachunków bankowych, informacja o wysokości wynagrodzenia pracowników i wysokości wynagrodzenia wynikających z umów kontraktowych),
7) dane kadrowe (historia zatrudnienia, informacje potwierdzające kwalifikacje, dane dzieci i współmałżonków pracowników).

3. Kategorie osób objętych atakiem:

1) pacjenci, przedstawiciele ustawowi pacjentów i osoby upoważnione przez pacjentów,
2) pracownicy,
3) kontrahenci/ podwykonawcy.

Obecnie nie możemy jednoznacznie potwierdzić, czy Państwa dane zostały skradzione, jednak istnieje wysokie prawdopodobieństwo. Wciąż trwa analiza skali incydentu, dlatego w trosce o bezpieczeństwo zalecamy dokładne zapoznanie się z poniższymi wskazówkami oraz regularne sprawdzanie aktualnych komunikatów na stronie https://spwsz.szczecin.pl.

4. Możliwe konsekwencje naruszenia

Administrator informuje, że niniejsze naruszenie dostępności i prawdopodobieństwo naruszenia poufności ww. danych powoduje bardzo wysokie ryzyko naruszenia praw i wolności osób fizycznych, i zdecydował o zawiadomieniu Prezesa Urzędu Ochrony Danych Osobowych oraz opublikowaniu niniejszego komunikatu o naruszeniu ochrony danych osobowych.

W związku z naruszeniem możliwe jest wystąpienie następujących, negatywnych konsekwencji:

1) naruszenie prawa do prywatności, w związku z incydentem polegającym na ujawnieniu osobie nieupoważnionej danych osobowych zwykłych (tj. imię, nazwisko, adres zamieszkania i nr PESEL);
2) naruszenie dóbr osobistych wynikające z możliwości ujawnienia imienia i nazwiska, oraz nr PESEL wraz z pozostałymi danymi;
3) dyskryminacja wynikająca w szczególności z ujawnienia osobom nieupoważnionym wysokości Państwa wynagrodzenia wraz z pozostałymi danymi;
4) ograniczenie możliwości korzystania z praw obywatelskich i usług kierowanych do ogółu obywateli, w związku z ujawnieniem imienia, nazwiska i nr PESEL (np. głosowania w ramach budżetu obywatelskiego, internetowej rejestracji wizyt w urzędach itp.);
5) uzyskanie przez osoby trzecie pożyczek w instytucjach pozabankowych z użyciem imienia, nazwiska i nr PESEL osoby dotkniętej naruszeniem (np. przez Internet, bez konieczności okazywania dokumentu tożsamości);
6) uzyskanie przez osoby trzecie dostępu do systemów obsługujących udzielanie świadczeń medycznych osoby dotkniętej naruszeniem (czasami w takich systemach tożsamość potwierdza się za pomocą numeru PESEL);
7) próby zawarcia umów cywilnoprawnych na szkodę osoby, której dane ujawniono, w związku z ujawnieniem imienia, nazwiska i nr PESEL, np. umów z operatorami telekomunikacyjnymi czy dostawcami sygnału RTV;
8) uzyskanie przez osoby trzecie możliwości podjęcia próby założenia firmy z wykorzystaniem Państwa danych osobowych, która następnie może posłużyć do wyłudzeń podatkowych, narażając Państwa na nieprzyjemności i konieczność wykazania Państwa braku związku ze sprawą;
9) uzyskanie przez osoby trzecie możliwości złożenia fałszywej deklaracji podatkowej w Państwa imieniu, powodując tym działaniem wszczęcie postępowania wyjaśniającego w Urzędzie Skarbowym;
10) ryzyko otrzymania wezwania do zwrotu środków, których faktycznie Państwo nie otrzymaliście;
11) ryzyko podjęcia próby zamiany Państwa adresu korespondencyjnego, numeru telefonu lub adresu e-mail powiązanego z kontem bankowym oraz z innymi kontami (np. kontem kredytowym, leasingowym, kontami rozliczeniowymi za dostarczone media (gaz, prąd, wodę etc.), czy wszelkiego rodzaju abonamenty i subskrypcje), co może utrudnić Państwu dostęp do tych internetowych kont a także ryzyko przejęcia istotnych dokumentów w korespondencji z powiązanymi podmiotami;
12) ryzyko uzyskania dostępu do Państwa świadczeń w ZUS lub NFZ;
13) ryzyko otrzymania wezwania do złożenia wyjaśnień w sprawie, z którą nie macie Państwo nic wspólnego;
14) ryzyko wystąpienia ukierunkowanych ataków socjotechnicznych, oszustw metodą “na wnuczka” czy “na policjanta”;
15) wzrost zagrożenia fizycznego (np. włamania, stalking, niechciane wizyty);
16) możliwość fałszowania historii zawodowej i wykorzystania danych do nielegalnych celów;
17) ryzyko oszustw rekrutacyjnych, w tym podszywania się pod pracowników;

Informujemy, że obecnie istnieją wysokie ryzyka związane z ewentualnym wykorzystaniem Państwa danych osobowych w sposób nieuprawniony, narażające Państwa na ewentualne naruszenia praw i wolności.

5. Zastosowane środki zaradcze

Aktualnie trwają czynności prowadzone przy udziale uprawnionych służb, mające na celu oszacowanie zakresu ataku, identyfikację wektora ataku, przywrócenie danych i normalnej działalności podmiotu leczniczego a także szereg innych czynności mających na celu minimalizację skutków naruszenia. Zachęcamy do dodania tej strony do zakładek i regularnego odwiedzania – będziemy tę stronę aktualizować.

6. Proponowane środki zaradcze – jakie działania mogą Państwo podjąć?

Należy podkreślić, że obecnie nie ma pewności czy Państwa dane zostały wykradzione, niemniej jednak zalecamy zachowanie szczególnej czujności i ostrożności, zwracania szczególnej uwagi na nietypowe zdarzenia czy na jakiekolwiek sygnały mogące świadczyć o wykorzystywaniu Państwa danych niezgodnie z przepisami prawa.

W związku z ujawnieniem Państwa danych osobowych, możecie Państwo zminimalizować wystąpienie opisanych wyżej ryzyk m.in. poprzez:

1) zastrzeżenie numeru PESEL. Od 1 czerwca 2024 r. instytucje finansowe (np. banki) mają obowiązek weryfikować, czy numer PESEL jest zastrzeżony przy zawieraniu np. umowy kredytu lub pożyczki. W dowolnym momencie mogą Państwo cofnąć zastrzeżenie, wykonać przysługujące Państwu czynności a następnie zastrzec numer ponownie. Zastrzeżenie numeru PESEL w żaden sposób nie zablokuje Państwa możliwości rejestracji do lekarza, realizacji recepty czy załatwienia sprawy urzędowej, ale zabezpiecza Państwa przed zawarciem umowy kredytu/pożyczki w Państwa imieniu przez osoby do tego nieuprawnione.
Zastrzec numer PESEL można na wiele sposobów, w tym elektronicznie, za pośrednictwem Internetu oraz osobiście w urzędzie. Wszelkie szczegóły tego jak to zrobić znajdują się na rządowej stronie: https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie.,
2) wykupienie rocznego abonamentu tzw. Alertów w BIK (Biurze Informacji Kredytowej). Alerty takie, przychodzą w postaci krótkich wiadomości SMS wysyłanych pod Państwa numery telefonów komórkowych zawsze, gdy ktoś złoży wniosek o kredyt/pożyczkę na Państwa dane lub spróbuje podpisać w Państwa imieniu umowę np. na świadczenie usług telekomunikacyjnych z operatorem sieci komórkowej lub usług RTV z dostawcą sygnału telewizyjnego.
3) przejrzenie dostępnych informacji w Internecie na swój temat i usunięcie tych, które mogą wykorzystać przestępcy do nielegalnej działalności, w szczególności numery telefonów komórkowych, adresy e-mail, wizerunek, adresy zamieszkania, ale także zbędne informacje o miejscach pobytu czy zainteresowaniach i wszelkie inne szczegóły, które mogą zostać wykorzystane przez przestępców do podszywania się pod Państwa.
4) możliwość skorzystania ze środków ochrony dóbr osobistych wskazanych w kodeksie cywilnym i kodeksie postępowania cywilnego. Przysługuje Państwu prawo do wytoczenia powództwa o ochronę dóbr osobistych na podstawie art. 24 k.c. W pozwie można żądać usunięcia skutków naruszenia. Przysługuje Państwu również prawo roszczenia o odszkodowanie za powstałą szkodę majątkową lub zadośćuczynienie za poniesioną krzywdę spowodowaną naruszeniem dobra osobistego – prawa do prywatności w zakresie autonomii informacyjnej co do decydowania o ujawnianiu informacji o swojej osobie z art. 23 k.c. w zw. z art. 24 k.c. w zw. z art. 448 k.c. (zadośćuczynienie za naruszenie dobra osobistego).
5) zachowanie szczególnej rozwagi podczas umieszczania jakichkolwiek prywatnych danych na swój temat w Internecie. Obecnie zakres przestępczej działalności internetowej jest bardzo szeroki i aktywny.
6) weryfikację swoich haseł wykorzystywanych w różnych portalach, sklepach internetowych, kontach pocztowych i ich zmianę w taki sposób by były w każdym takim miejscu niepowtarzalne.
7) weryfikację oraz odnowienie certyfikatów wykorzystywanych do komunikacji z systemami zewnętrznymi, w tym certyfikatów używanych przez lekarzy.
8) weryfikację występowania Państwa danych w bazie znanych wycieków danych, za pośrednictwem rządowego portalu https://bezpiecznedane.gov.pl.
Jeżeli dowiedzą się Państwo o upublicznieniu, wykorzystaniu lub o jakimkolwiek dalszym ujawnieniu danych osobowych, bardzo proszę o niezwłoczne przekazanie tej informacji do Inspektora Ochrony Danych SPWSZ w Szczecinie i/lub o kontakt z najbliższą jednostką Policji lub o zgłoszenie na numer alarmowy 112. Ponadto mają Państwo prawo złożyć zawiadomienie do prokuratury o możliwości popełnienia przestępstwa w związku z wejściem nieuprawnionej osoby w posiadanie Państwa danych osobowych i wykorzystywanie ich w jakikolwiek niedozwolony sposób. Mają Państwo również prawo złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych (00-193 Warszawa, ul. Moniuszki 1, https://uodo.gov.pl/pl/526/2464).

7. Dane kontaktowe

Inspektor Ochrony Danych:

W razie jakichkolwiek pytań, proszę o kontakt z Inspektorem Ochrony Danych, Panią Magdalena Łobacz, telefonicznie: +48 91 813 9236, za pośrednictwem poczty elektronicznej: iod@spwsz.szczecin.pl lub listownie, pisząc na adres siedziby Administratora danych, z dopiskiem „Inspektor Ochrony Danych”.

Administrator danych osobowych:

Samodzielny Publiczny Wojewódzki Szpital Zespolony w Szczecinie, 71-455 Szczecin, ul. Arkońska 4
NIP 851-25-37-954, REGON 000290274
Kontakt telefoniczny: +48 91 813 9000
Kontakt mailowy: spwsz@spwsz.szczecin.pl

Nasz system korzysta z plików cookies. Zgodnie z opracowaną polityką  cookies przedmiotowe pliki mogą być wykorzystywane  do zapamiętywania ułożenia poszczególnych elementów; zapamiętywania danych z wypełnianych formularzy zamówienia, prowadzenia anonimowych statystyk przedstawiających sposób korzystania ze strony portalu oraz badania potrzeb użytkowników, z wyłączeniem personalnej identyfikacji użytkownika Przeglądarka internetowa z której Państwo korzystacie umożliwia zmianę ustawień obsługi plików cookies. Korzystanie z tego serwisu internetowego bez zmiany ustawień oznacza, że będą one zapisywane w pamięci urządzenia oraz oznacza akceptację dla stosowanych tu plików cookies.W związku z wejściem w życie w dniu 25 maja 2018 roku Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (określane jako „RODO) informujemy, że Administratorem Państwa danych osobowych jest:  Samodzielny Publiczny Wojewódzki Szpital Zespolony w Szczecinie ul. Arkońska 4, 71-455 Szczecin. Szczegóły dotyczące zasad przetwarzania Państwa danych osobowych dostępne są  na stronie https://www.spwsz.szczecin.pl/ w zakładce Informacje Administratora Danych Osobowych.
Dowiedź się więcej Zamknij