Synevo sp. z o.o.

Zamieniecka 80 lok. 401, 04-158 Warszawa

NIP: 527-247-12-88, numer BDO: 000119492

Infolinia:  +48 22 120 24 00

Warszawa, 25.04.2023 r.

 Zawiadomienie o naruszeniu ochrony danych osobowych

Szanowna/y Pani/e,

Realizując obowiązek wynikający z art. 34 RODO, przekazujemy informację o naruszeniu ochrony Pani/a danych osobowych w związku z nieautoryzowanym dostępem do bazy, w której znajdowały się dane kontaktowe pacjentów/klientów Synevo (numer telefonu) i treści ogólnych komunikatów tekstowych sms wysyłanych przez Synevo. Szczegóły związane z naruszeniem, opisano poniżej.

Charakter oraz okoliczności naruszenia:

W dniu 20.04.2023 r. uzyskaliśmy informację od naszego partnera biznesowego świadczącego dla nas usługi teleinformatyczne w jego aplikacji, że osoby postronne mogły uzyskać dostęp do Pani/Pana numeru telefonu i treści ogólnych komunikatów tekstowych sms wysyłanych przez Synevo. Zdarzenie zostało wykryte i zatrzymane. Z ustaleń poczynionych przez Synevo wynika, że przyczyną naruszenia był atak hakerski osób z zewnątrz.

Pragniemy wyjaśnić, że usługi naszego partnera biznesowego polegają na tym, że na numery telefonów naszych klientów, pacjentów, w imieniu Synevo wysyłane są komunikaty tekstowe sms. Komunikaty sms mają z góry określoną, ogólną treść i nie zawierają dodatkowych danych osobowych naszych klientów i pacjentów, takich jak np. imię, nazwisko, Pesel, NIP, adres, dokumentacja medyczna. W związku z tym nie ma możliwości, aby na ich podstawie uzyskano dostęp do większej liczby danych dotyczących pacjenta/klienta.

Dane osobowe, których dotyczy naruszenie (numer telefonu), mogą być częściowo związane są z usługami zdrowotnymi, tj. numer telefonu i wiadomość tekstowa sms mogą być łączone z informacją o korzystaniu z usług podmiotu leczniczego lub ze zleconymi badaniami przez Synevo, ponieważ zostały wysłane przez Synevo – podmiot leczniczy i w niektórych przypadkach mogą zawierać listę zleconych badań.

W wyniku postępowania wyjaśniającego, w dniu 21.04.2023 r. Synevo stwierdziła wystąpienie naruszenia ochrony danych osobowych, a 24.04. zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych. Partner biznesowy również dokonał zgłoszenia do Urzędu oraz zawiadomił policję i prokuraturę.

Pragniemy wskazać, że naruszenie miało charakter incydentalny, zdarzyło się jednokrotnie i dotyczyło jedynie numeru telefonu i treści ogólnych komunikatów sms wysyłanych przez Synevo.

Naruszenie nie dotyczyło Pani/Pana danych osobowych w zakresie danych zawartych w dokumentacji medycznej, w szczególności: imienia, nazwiska, numeru PESEL, daty urodzenia, wyniku zleconego badania.

Podkreślamy, że w przypadku wysyłanych do Pani/a treści komunikatów ogólnych smsów nie ma możliwości, aby na ich podstawie uzyskano dostęp do większej liczby danych osobowych, np. Pesel, imię, nazwisko, dane medyczne, bez posiadania dostępu do odrębnej bazy, będącej odpowiednio zabezpieczonej w strukturach Synevo. Takiego dostępu osoba postronna nie ma.

Działania podjęte przez Synevo sp. z o.o.:

W związku z zaistniałą sytuacją zostały podjęte natychmiastowe działania polegające na tym, że:

• przeprowadziliśmy stosowną weryfikację procesu wysyłki komunikatów sms w celu zapobieżenia tego typu zdarzeniom w przyszłości;
• zaplanowaliśmy kolejne cykliczne szkolenia z zakresu bezpieczeństwa informacji i ochrony danych osobowych;
• zobowiązaliśmy partnera biznesowego do złożenia wyjaśnień co do przyczyn incydentu i zastosowanych środków zaradczych;
• wszczęliśmy wewnętrzną procedurę dotyczącą naruszenia ochrony danych osobowych oraz poinformowaliśmy Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu.

Możliwe dla Pani/a konsekwencje naruszenia ochrony danych osobowych:

Następstwem naruszenia Pani/a danych osobowych może być:

• uzyskanie Pani/a danych osobowych – numeru telefonu, przez osobę do tego nieuprawnioną;
• podejmowanie z Panią/em kontaktu przez osobę nieuprawnioną;

osoba nieuprawniona uzyskująca dostęp do danych może:

• udostępnić te dane innym osobom,
• podszywać się pod Panią/a w kontakcie telefonicznym z innymi firmami, osobami,
• wysyłać niechciane informacje handlowe – sms z propozycjami handlowymi,
• podejmować kontakt telefoniczny,
• próbować uzyskać poufne informacje udając pozornie zaufaną osobę (phishing),
• próbować uzyskać informację o korzystaniu z usług medycznych Synevo.

W celu zminimalizowania ewentualnych negatywnych skutków naruszenia zalecamy aby Pan/i:

• ignorował/a nieoczekiwane komunikaty, kontakty telefoniczne, w szczególności namawiające do podjęcia dodatkowego działania jak np. zrobienie przelewu, podania innych danych osobowych,
• zachował/a ostrożność w sytuacji wszelkich próśb finansowych od znajomych i nieznajomych osób,
• weryfikował/a nietypowe prośby znajomych osób,
• weryfikował/a przychodzące połączenia, wiadomości sms w celu uniknięcia podania dodatkowych danych osobie nieuprawnionej oraz w celu uniknięcia klikania w niebezpieczne linki, załączniki przesyłane w treści wiadomości.

Jednocześnie chcemy zapewnić, że podejmujemy wszelkie możliwe kroki, aby dochować należytej staranności, by taka sytuacja nie miała w przyszłości ponownie miejsca.

Więcej informacji:

Jeżeli ma Pan/i jakiekolwiek pytania w związku z zaistniałą sytuacją, prosimy o kontakt z naszą infolinią:

Numer telefonu: +48 22 12 02 400 lub

Adres e-mail: kontakt@synevo.pl

Kontakt z naszym Inspektorem Ochrony Danych – Anną Dąbrowską-Kordzińską, możliwy jest pod adresem:

e-mail: iod@synevo.pl

korespondencyjnym: IOD Synevo sp. z o.o., ul. Zamieniecka 80/401, 04-158 Warszawa

Z wyrazami szacunku,

Anna Dąbrowska-Kordzińska

Inspektor Ochrony Danych w Synevo sp. z o.o.