Komunikat o naruszeniu ochrony danych osobowych
04.02.2022
Na podstawie art. 34 ust. 3 lit. c RODO[1] uprzejmie informujemy, że w wyniku nieuprawnionego działania doszło do naruszenia ochrony danych osobowych przetwarzanych w systemie e-rejestracji[2], których administratorem jest Minister Zdrowia. Do naruszenia doszło za pośrednictwem jednego z kanałów rejestracji, tj. formularza szybkiej ścieżki rejestracji na szczepienie ochronne przeciwko COVID-19, który został wyłączony.
Formularz szybkiej ścieżki logowania pozwalał na umówienie wizyty na szczepienia w cyklu podstawowym (jeżeli wcześniej było ono nieumówione). Nie dawał natomiast możliwości umówienia się na szczepienie dawką uzupełniającą lub przypominającą.
Liczba logowań była ograniczona, tj. na jeden numer telefonu można było umówić 3 osoby (3 różne PESELE). Dodatkowo potencjalne ryzyko enumerowania numerów PESEL zostało ograniczone przez zastosowanie reCAPTCHA.
W dniu 25 stycznia 2022 r., biorąc pod uwagę spadającą liczbę uproszczonych rejestracji, Ministerstwo Zdrowia zdecydowało o wyłączeniu tego sposobu zapisywania na szczepienia. Z informacji przekazanych z CeZ wynikało, że istnieje zagrożenie, iż każda osoba uzupełniająca pola w formularzu mogła podać swój numer telefonu w celu potwierdzenia tożsamości i po wprowadzaniu danych osobowych innych osób (jeżeli takie posiadała) obejmujących ich imię, nazwisko oraz numer PESEL, wygenerować dodatkową informację dotyczącą tej osoby w zakresie jej rejestracji na szczepienie przeciwko COVID-19, a więc informacji o przyjęciu szczepionki. Na podany numer telefonu był bowiem wysyłany sms z kodem jednorazowym i po jego wprowadzeniu posiadacz tego numeru otrzymywał informację o możliwości zaszczepienia. W efekcie można było wywnioskować, czy osoba, której dane wprowadzono poddała się już szczepieniu. Po ewentualnym umówieniu trzech szczepień na jeden numer telefonu możliwość umawiania kolejnych wizyt była blokowana na 15 sekund. Z kolei sprawdzenie opcji rejestracji, czyli logowanie bez umówienia było możliwe bez ograniczeń.
Dodatkowo w niektórych przypadkach formularz pozwalał osobie podszywającej się pod użytkownika na uzyskanie informacji o miejscowości zamieszkania osoby, której dane zostały wykorzystane do nieuprawnionego logowania. Osoba, która logowała się poprzez formularz używała danych (obejmujących imię, nazwisko oraz numer PESEL) pozyskanych we własnym zakresie. Ustalono, że przedmiotem naruszenia były dane osobowe 192 osób. Naruszenie polegało na nieuprawnionym uzyskaniu dostępu do informacji, a jego przyczyną było zewnętrzne działanie zamierzone. Konsekwencją incydentu była utrata poufności danych i wystąpiła możliwość naruszenia dobrego imienia osób z uwagi na fakt, że przedmiotem zainteresowania były osoby, które są osobami publicznymi.
W związku ze zidentyfikowanym naruszeniem i ryzkiem możliwości dalszego potencjalnego naruszania ochrony danych osobowych za pośrednictwem ww. formularza podjęto decyzję o jego wyłączeniu. Sprawa jest analizowana pod kątem możliwości popełnienia przestępstwa i zostanie złożone zawiadomienie do organów ścigania.
Ewentualne pytania dotyczące zdarzenia w zakresie danych osobowych można kierować do p. Marka Mączewskiego Inspektora Ochrony Danych w Ministerstwie Zdrowia,
pod adresem e-mail: iod@mz.gov.pl, za pośrednictwem platformy e-PUAP (Elektroniczna skrzynka podawcza: /8tk37sxx6h/SkrytkaESP) lub listownie na adres siedziby: Ministerstwo Zdrowia, ul. Miodowa 15, 00-952 Warszawa.
Ponadto istnieje możliwość skontaktowania się w tej sprawie z Centrum e-Zdrowia, które jest odpowiedzialne za techniczną i organizacyjną obsługę systemów teleinformatycznych poprzez adres e-mail: biuro@cez.gov.pl za pośrednictwem platformy e-PUAP (Elektroniczna skrzynka podawcza: /csiozgovpl/SkrytkaESP) lub listownie na adres siedziby: Centrum e-Zdrowia, ul. Dubois 5A, 00-184 Warszawa.
Informujemy, że dokładamy wszelkich starań, aby zapewnić bezpieczeństwo danych osobowych w ramach realizowanych procesów przetwarzania.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony
osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119
z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35).
[2] Centralny elektroniczny system rejestracji na szczepienia ochronne przeciwko COVID-19, o którym mowa
w art. 21e ust. 1 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń u ludzi
(Dz. U. z 2021 r. poz. 2069, z późn. zm.).