UODO bada wyciek danych z platformy telemedycznej
Do Urzędu Ochrony Danych Osobowych wpłynęło zgłoszenie naruszenia ochrony danych osobowych od Telmedicin sp. z o.o. odpowiedzialnej za platformę telemedyczną oraz zdalne konsultacje z lekarzami różnych specjalności. Sprawa jest obecnie analizowana.
Administrator otrzymał informację od osoby postronnej, o błędzie bezpieczeństwa w jednym z podsystemów, odpowiedzialnym za obsługę rozmów głosowych. Z powodu luki w systemie osoba nieuprawniona przez krótki czas mogła mieć nieuprawniony dostęp do numeru telefonu użytkownika, a jeśli konsultacja zawierała nagranie audio – możliwość jego pobrania.
Spółka niezwłocznie po uzyskaniu tej informacji usunęła błąd, blokując działanie podsystemu, bez innych konsekwencji dla zachowania ciągłości obsługi klientów. Ponadto administrator zabezpieczył dane przed nieuprawnionym dostępem. Zaistniały incydent może skutkować utratą poufności danych osobowych pacjentów, które są chronione tajemnicą zawodową.
Zgłoszenie naruszenia ochrony danych
Celem zgłaszania naruszeń jest m.in. dokonanie przez organ nadzorczy oceny, czy administrator prawidłowo wypełnił np. obowiązek zawiadomienia o naruszeniu osób, których dane dotyczą, o ile faktycznie wystąpiła sytuacja, w której ma obowiązek to zrobić.
W przypadku wycieku danych UODO współpracuje z administratorami, udziela porad czy konsultuje treść zawiadomienia o naruszeniu danych osób, których te dane dotyczą. Działalność organu nadzoru ma na celu zapewnienie, by administrator przetwarzał dane zgodnie z prawem.
Co robić, gdy naruszenie dotyczy moich danych?
Przede wszystkim należy zachować dużą ostrożność podczas podawania danych przez Internet. Dokładnie analizować komunikaty otrzymywane od administratora, zawarte np. w wiadomościach SMS, e-mail, by uniknąć np. ataku phishingowego, którego celem może być wyłudzenie dodatkowych danych.
Ataki hakerskie, czyli przełamywanie zabezpieczeń systemów informatycznych, w których przetwarzane są dane osobowe czy wykorzystywanie istniejących podatności (luk) w tych systemach ‒ to sytuacje, w przypadku których osoby do tego nieuprawnione wchodzą (bądź mają taką możliwość) w posiadanie danych osobowych. W sytuacji gdy administrator uzna, że istnieje ryzyko ich nieuprawnionego wykorzystania, które może skutkować zagrożeniem dla praw lub wolności osób (np. tzw. kradzież tożsamości), powinien powiadomić osobę, której dane dotyczą, o zaistniałym incydencie.
Osoby, które mają podejrzenie, że mogły paść ofiarami kradzieży tożsamości powinny w pierwszej kolejności zgłaszać się na Policję. Prezes UODO nie jest organem ścigania, nie ma uprawnień do prowadzenia postępowania zmierzającego do wykrycia sprawcy przestępstwa i oceny, czy doszło do jego popełnienia, oraz do kwalifikacji czynu przestępczego i wymierzenia stosownej kary.