Wyciek danych osobowych z ALAB laboratoria

Jarosław Peplinski – radca prawny

W ostatnim czasie miał miejsce duży wyciek danych osobowych z ALAB laboratoria. Nastąpił on w wyniku ransomware i na chwilę pisania tego artykułu objął już dane zawarte w 54 000 wynikach badań. Liczba ta stanowi 3,5 GB danych, co – jeżeli wierzyć oświadczeniu przestępców – stanowi jedynie niewielki fragment całości wykradzionych danych, która ma ważyć 246 GB.

Dotychczas ujawniono dane pacjentów z obszaru Warszawy, Łodzi i Łomianek. Niewykluczone jednak, że wyciek danych z ALAB laboratoria będzie znacznie szerszy.

Jakich danych dotyczy wyciek?

Wyciek danych z ALAB laboratoria dotyczy dwóch zbiorów danych. Pierwszy z nich obejmuje informacje dotyczące działalności spółki, takie jak teksty zawieranych umów. Zawarte w nich dane osobowe dotyczą więc kontrahentów spółki.

Drugi, znacznie poważniejszy od strony ochrony danych osobowych, obejmuje dane osobowe pacjentów zawarte w wynikach ich badań. Wspomniałem już we wstępie, wyciek danych dotyczy na ten moment 54 000 wyników badań, które zostały zlecone w spółce. Jakie dane osobowe się w nich znajdują?

Ujawnione zostały dane dotyczące pacjentów w zakresie:

• numerów PESEL,
• dat urodzenia,
• imion i nazwisk,
• adresów,
• numerów identyfikacyjnych pacjentów,
• informacji o zleceniodawcy lub lekarzu zlecającym,
• dat wykonania badań;
• wyników badań.

Jak sprawdzić, czy wyciek dotyczy Twoich danych?

Aby sprawdzić, czy wyciek dotyczy także Twoich danych osobowych, wejdź na stronę https://bezpiecznedane.gov.pl/. Warto pamiętać o tej stronie, ponieważ nawet jeżeli wyciek danych nie dotyczy Ciebie obecnie, to niewykluczone, że ujawnione zostaną nowe dane.

Jakie mogą być konsekwencje ujawnienia Twoich danych?

Ujawnienie danych osobowych w zakresie objętym wyciekiem danych z ALAB laboratoria może doprowadzić do kradzieży tożsamości. Oznacza to, że przestępcy mogą wykorzystać ujawnione dane do podszycia się pod Ciebie i zaciągnięcia kredytu lub wyrobienia karty SIM na Twoje dane, z której następnie skorzystają w celach przestępczych łącząc Cię ze sprawą.

Możliwe jest też wykorzystanie ujawnionych danych do pozyskania innych informacji na Twój temat. Jest to potencjalnie możliwe w przypadku podszycia się pod Ciebie w kontaktach z instytucjami takimi jak banki czy urzędy, przy wykorzystaniu ujawnionych danych jako uwiarygodnienie tożsamości.

Co możesz z tym zrobić?

Przede wszystkim skorzystaj z możliwości zastrzeżenia numeru PESEL. Wprawdzie instytucje nie są jeszcze zobowiązane do weryfikacji, czy dokonano takiego zastrzeżenia – przepisy w tym zakresie wchodzą w życie dopiero 1 czerwca 2024 r. – to jednak już teraz może przyczynić się to do podniesienia poziomu bezpieczeństwa Twoich danych.

Jeżeli Twoje dane zostały objęte wyciekiem rozważ też utworzenia konta w informacji kredytowej, co pozwoli Ci śledzić ruchy dotyczące zaciąganych na Ciebie zobowiązań.

Współpraca placówki medycznej z ALAB laboratoria

Spośród wielu pytań, które trafiły do nas od klientów z branży medycznej w przedmiocie wycieku danych osobowych z ALAB laboratoria, najczęściej pojawiało się pytanie o odpowiedzialność za ten wyciek. Co więc w przypadku, gdy współpracujesz z ALAB laboratoria?

To zależy od formy w jakiej się ona odbywała. W przypadku, gdy udostępniałeś ALAB laboratoria dane swoich pacjentów, to ALAB laboratoria ponosi odpowiedzialność za naruszenie ochrony danych osobowych. Wynika to także z zawartego prawdopodobnie porozumienia, z którego wynika, że od chwili udostępnienia danych, ALAB laboratoria staje się ich administratorem.

Inaczej sytuacja przedstawiałaby się wtedy, gdy powierzyłeś ALAB laboratoria przetwarzanie danych osobowych, co do których to Ty pełnisz rolę administratora. W takim wypadku powinieneś zostać  poinformowany przez ALAB laboratoria o naruszeniu, abyś mógł zrealizować obowiązki prawne.

Pisząc o odpowiedzialności za naruszenie ochrony danych mam na myśli przede wszystkim ocenę i zgłoszenie naruszenia do Prezesa Urzędu Ochrony Danych Osobowych oraz powiadomienie osób dotkniętych naruszeniem o jego skutkach i sposobach ograniczenia negatywnych konsekwencji. Nie jest to oczywiście kompletne wyliczenie, zależy ono od dalszego toku sprawy, w tym obejmuje ewentualną odpowiedzialność finansową.

Niezależnie od tego, kto ponosi odpowiedzialność za wyciek danych, warto ustalić z ALAB laboratoria, czy dane osobowe Twoich pacjentów są zagrożone i czy zostały podjęte środki zmierzające do ograniczenia tego ryzyka lub jego skutków w przyszłości. To kluczowa informacja dotycząca bezpieczeństwa danych osobowych w związku z prowadzoną współpracą.

AKTUALIZACJA

Spółka ALAB laboratoria poinformowała, że nie zamierza płacić okupu, a w najgorszym wypadku wyciek obejmie dane osobowe 200 000 pacjentów.