Wyciek danych z ALAB

W drugiej połowie listopada 2023 r.,  cyberprzestępcy wykradli sieci laboratoriów diagnostycznych ALAB, 44,5 gigabajtów danych z wynikami badań pacjentów, w tym 187 tys. numerów PESEL oraz 190 GB danych firmowych. Niemal od razu zostało upublicznione 6,5 GB danych medycznych, 12,5 tys. numerów PESEL oraz 4 GB danych firmowych. W opublikowanych dokumentach, oprócz samych wyników badań, są dane osobowe pacjentów: imię, nazwisko, PESEL oraz adres, a także informacje o podmiocie zlecającym badanie oraz numeracja umożliwiająca identyfikację pliku w systemach ALAB i odnalezienie innych testów danego pacjenta. W innych dokumentach znajdują się zaś dane tysięcy współpracowników i dostawców sieci.

Co na to RODO, czyli kilka słów o naruszeniu ochrony danych

RODO definiuje “naruszenie ochrony danych osobowych” jako naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Takie naruszenie może być przypadkowe (a więc niezamierzone) – i najczęściej to właśnie z takimi mamy do czynienia,  bądź bezprawne, czyli takie, które przytrafiło się właśnie ALAB.

RODO nakłada na administratora obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, czyli w naszym przypadku PUODO. Obowiązek ten powinien zostać wykonany bez zbędnej zwłoki, jednak nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.  Obowiązek zgłoszenia nie powstanie w sytuacji, gdy jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

W przypadku ALAB, takie ryzyko oczywiście istniało, dlatego też dokonano stosownego zgłoszenie. Obowiązkiem ALAB było także zawiadomienie osób, których dane dotyczą, o takim naruszeniu. Kilku moich klientów otrzymało niestety takie zawiadomienia. Lista potencjalnych konsekwencji naruszenia danych, o których informuje ALAB, jest długa ….

  • publikacja lub ujawnienie danych osobowych, w szczególności informacji o stanie zdrowia, co może naruszać dobra osobiste;
  • zagrożenie nękaniem lub szantażem przy wykorzystaniu ujawnionych danych;
  • narażenie na wzmożone ataki phishingowe, zmierzające do wyłudzenia danych osobowych;
  • założeniem przy wykorzystaniu danych osobowych konta internetowego (np. w serwisach społecznościowych);
  • podjęciem przez osobę trzecią próby uzyskania na Pani szkodę pożyczek w instytucjach pozabankowych, np. przez internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości;
  • podjęciem przez osobę trzecią próby uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskania wglądu do danych o Pani stanie zdrowia (często dostęp do systemów rejestracji pacjenta można uzyskać, potwierdzając swoją tożsamość za pomocą numeru PESEL);
  • wykorzystaniem danych osobowych celem korzystania z praw obywatelskich np. poprzez oddanie głosu w głosowaniu nad środkami budżetu obywatelskiego;
  • wykorzystaniem przez osobę trzecią danych osobowych do próby wyłudzenia ubezpieczenia lub środków z ubezpieczenia;
  • wykorzystaniem przez osobę trzecią danych osobowych do próby zawarcia umów cywilno-prawnych;
  • zarejestrowaniem przedpłaconej karty telefonicznej (pre-paid), która może służyć do celów przestępczych;
  • przetwarzaniem danych osobowych w celach marketingowych bez uprzedniego uzyskania zgody (w przypadku prowadzenia marketingu drogą tradycyjną, tj. wysyłki treści marketingowych na adres zamieszkania);
  • wykorzystaniem Pani danych osobowych przez firmy z branży paramedycznej.
Jak sprawdzić, czy wyciekły nasze dane?

Teoretycznie powinno być tak, że jeśli ktoś nie dostał takiego zawiadomienia, oznacza to, że jego dane są bezpieczne. Nie ma konieczności kontaktowania się ze swoim lekarzem, nawet bowiem jeśli zlecał badania laboratoriom ALAB, to ALAB stał się administratorem danych osobowych i to na ALAB ciąży obowiązek zawiadomienia. Jeśli jednak ktoś chciałaby rozwiać wszelkie wątpliwości, można to zrobić w rządowym serwisie. Jak przeczytamy na gov.pl, wystarczy:

  1. wejść na stronę bezpiecznedane.gov.pl;
  2. zalogować się za pomocą m.in. aplikacji mObywatel, Profilu Zaufanego, e-Dowodu;
  3. kliknąć przycisk “Sprawdź wyciek z ALAB”.

UODO wręcz zaleca, by pacjenci przed podjęciem jakichkolwiek działań w związku z zaistniałym naruszeniem ochrony danych, skorzystali z narzędzia udostępnionego przez ministra cyfryzacji i zweryfikowali, czy ich dane są objęte wyciekiem z ALAB.

Co w przypadku, gdy wyciekły nasze dane?

Pierwszym krokiem powinno być zabezpieczenie danych. Można skorzystać z możliwości zastrzeżenia numeru PESEL. Obecnie można to zrobić na dwa sposoby – samodzielnie przez stronę internetową mobywatel.gov.pl lub w urzędzie gminy. ALAB w sowich zawiadomieniach informuje także o możliwości skorzystaniem z Alertów w Biurze Informacji Kredytowej na koszt ALAB. Poleca także, i słusznie, zmianę loginu lub hasła do systemów, w których loginem lub hasłem był numer PESEL.

Roszczenia przysługujące w związku z wyciekiem danych

Zgodnie z art. 82 RODO, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie. Poza tym, istnieje możliwość dochodzenia zadośćuczynienia za krzywdę, w oparciu o art. 23, 24 i 448 kodeksu cywilnego. W obu przypadkach, podstawą odpowiedzialności będzie przede wszystkim bezprawność działania podmiotu przetwarzającego dane lub administratora, określana jako niezgodność z przepisami lub zasadami współżycia społecznego. Bezprawnością w tym wypadku jest niezgodność z prawem działania administratora, który sprzecznie z wymogami RODO niedostatecznie zadbał o bezpieczeństwo naszych danych osobowych.

Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody. Natomiast dużym ułatwieniem dla osoby dochodzącej roszczeń jest tzw. domniemanie bezprawności. Czyli to administrator musi wykazać, że jego działanie nie było bezprawne, czyli w tym wypadku więc ciężar dowodu spoczywa na ALAB. Podmiot danych musi natomiast wykazać powstanie szkody.

Wysokość odkodowania, jakie można uzyskać, zależy od rozmiaru krzywdy. Dotychczas sądy w Polsce w sprawach dotyczących wycieku danych, zasądzały kwoty zadośćuczynienia na poziomie 1.000-1.500 zł . Mowa tu o zadośćuczynieniu za sam fakt, że dane wyciekły, co nie wywołało większych skutków dla skarżących (zazwyczaj wskazywano, że taka sytuacja wywołała niepokój).

Nie mieliśmy jednak jeszcze w Polce przypadku wycieku danych medycznych na taką skalę. Trzeba pamiętać, że dane dotycząc zdrowia należą do tzw. szczególnych kategorii danych osobowych, a RODO kładzie właśnie szczególny nacisk na ich ochronę. Każdemu z nas przysługuje prawo do prywatności, a informacje na temat stanu zdrowie uznaje się za wyjątkowo intymne i wrażliwe. Wyobraźmy sobie dla przykładu sytuację, w której wypływają na światło dzienne informacje o ciężkiej chorobie polityka startującego w wyborach prezydenckich. Czy taka informacja wpłynie na wyniki głosowania? Na pewno! Albo wyobraźmy sobie, że do publicznej wiadomości zostaje podana informacja o chorobie wenerycznej. Albo ciąży, wobec czego (nieuczciwy) pracodawca szybko wręcza wypowiedzenie umowy o pracę z powodu rzekomej likwidacji stanowiska pracy…

Nie trzeba jednak szukać ekstremalnych przykładów. Każdy, kto znalazł się niefortunnym gronie pacjentów, których dane wypłynęły, ma prawo dochodzić od administratora przysługujących mu roszczeń, jeśli została mu wyrządzona krzywda.