Aktualności

Zgodnie z wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Dz. U. UE. L. 2016.119.1. z dnia 4 maja 2016 r. – RODO - administrator danych osobowych -  Szpital Uniwersytecki w Krakowie zawiadamia, że  2 marca 2026 r. stwierdzono naruszenie ochrony danych osobowych przetwarzanych w systemie poczty elektronicznej pracownika Szpitala. Niniejsze powiadomienie ma na celu wyjaśnienie charakteru zdarzenia, potencjalnych konsekwencji oraz przedstawienie działań podjętych przez Szpital Uniwersytecki w Krakowie i zaleceń dotyczących ochrony Państwa danych.

1. Charakter naruszenia

W systemie poczty elektronicznej Szpitala poprzez celowe i szkodliwe działanie przestępcy internetowego doszło do uzyskania dostępu do skrzynki e-mail pracownika Szpitala. Dotychczasowe ustalenia wskazują, że w skrzynce tej znajdowała się korespondencja zawierająca dane osobowe pacjentów Szpitala diagnozowanych przede wszystkim w ramach tzw. szybkiej ścieżki onkologicznej (Karta DILO). W przejętej skrzynce e-mail mogły się znajdować różne kategorie danych, w tym dane identyfikacyjne i kontaktowe takie jak imię, nazwisko, PESEL, numer telefonu, adres e-mail, miejsce zamieszkania oraz dane o stanie zdrowia.

W dniu opublikowania niniejszego powiadomienia, Szpital nie ma informacji i nie potwierdził, by dane te zostały w jakikolwiek sposób wykorzystane, w tym udostępnione do wiadomości publicznej. 

Niemniej, by temu zapobiec i ograniczyć skutki naruszenia, Szpital podjął niezbędne działania organizacyjno-techniczne, a także ściśle współpracuje z właściwymi organami.

2. Możliwe konsekwencje naruszenia

W zależności od przekazanych przez Państwa danych, możliwe konsekwencje powyższego zdarzenia to utrata kontroli nad własnymi danymi osobowymi, próby podszycia się pod Państwa tożsamość w celu uzyskania korzyści finansowych (np. zaciąganie pożyczek w instytucjach pozabankowych), próby uzyskania przez osoby trzecie dostępu do świadczeń opieki zdrowotnej (często do uzyskania pomocy lekarskiej wystarczy podanie numeru PESEL) lub uzyskania wglądu do danych, próby wyłudzania przez osoby trzecie informacji finansowych (często weryfikacja jest prowadzona jedynie przez podanie numeru PESEL), próby uzyskania dostępu do usług lub serwisów internetowych, w których stosowane jest potwierdzanie tożsamości za pomocą danych osobowych (np. PESEL, adres e-mail), naruszenie dóbr osobistych lub dyskryminacja ze względu na stan zdrowia, podejmowanie działań w Państwa imieniu, takich jak zakładanie kont w serwisach internetowych, rejestrowanie kart prepaid, podszycie się pod inną osobę lub instytucję w celu wyłudzenia od Państwa dodatkowych określonych informacji (np. danych do logowania, szczegółów karty kredytowej), wykonywanie innych czynności mogących wywołać skutki prawne, np. próby zawierania na Państwa szkodę umów cywilnoprawnych (np. najmu nieruchomości), próby wyłudzeń, oszustw lub tzw. ataków socjotechnicznych (phishing), próby wykorzystania informacji zawartych w Państwa korespondencji e-mail.

3. Środki zastosowane przez Szpital Uniwersytecki w Krakowie

Po wykryciu incydentu, niezwłocznie podjęliśmy działania by zdarzenie wyjaśnić, wdrożyć zabezpieczenia, które ograniczą skutki naruszenia oraz zapobiegną podobnym zdarzeniom
w przyszłości. W ciągu pierwszej doby zgłosiliśmy incydent zgodnie z ustawą o Krajowym Systemie Cyberbezpieczeństwa, usunęliśmy nieuprawniony dostęp i poświadczenia, wymusiliśmy zmianę haseł i odcięliśmy potencjalne kanały dostępu, wszczęliśmy wewnętrzne postępowania wyjaśniające, zgłosiliśmy naruszenie do Prezesa Urzędu Ochrony Danych Osobowych, a także zawiadomiono Policję o możliwości popełnienia przestępstwa.

4. Działania, które możecie Państwo wykonać już teraz:

W celu zminimalizowania ryzyka wykorzystania Państwa danych przez osoby nieuprawnione rekomendujemy zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu lub telefonu, zachowanie szczególnej ostrożności wobec nieoczekiwanych wiadomości e-mail i telefonów, nieotwieranie podejrzanych linków ani załączników, monitorowanie aktywności na rachunkach bankowych oraz w usługach elektronicznych, rozważenie założenia konta w systemie informacji kredytowej lub gospodarczej, rozważenie zastrzeżenia numeru PESEL w usłudze: https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie, lub aplikacji mObywatel, jak najszybsze poinformowanie właściwego podmiotu o każdej próbie wykorzystania Państwa danych w sposób nieuprawniony.

5. Kontakt

Jeżeli mają Państwo pytania, chcą przekazać lub uzyskać dodatkowe informacje związane z naruszeniem lub powzięliście Państwo informację o użyciu Państwa danych przez osoby nieuprawnione, prosimy o kontakt z Naszym Inspektorem Ochrony Danych:
Piotr Pawlikowski
Adres e-mail:  Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.
Telefon: 12 424 70 75
Listownie na adres: Szpital Uniwersytecki w Krakowie, ul. M. Orwid 11, 30-688 Kraków.