Komunikat o potencjalnym naruszeniu ochrony danych osobowych
30.04.2021
Uprzejmie informujemy, że od dnia 11 kwietnia (godz. 23:50) do dnia 14 kwietnia (00:35) 2021 r. potencjalnie mogło dojść do naruszenia ochrony danych osobowych zawartych w systemie e-rejestracji1, których administratorem jest Minister Zdrowia.
We wskazanym okresie dostępne było rozwiązanie informatyczne, pozwalające na ustalenie w oparciu o numer PESEL, czy zostało wystawione skierowanie
na szczepienie. Narzędzie zaprojektowano i umiejscowiono w taki sposób, aby jego użycie poprzedzało logowanie do systemu e-rejestracji i odciążało Węzeł Krajowy służący do logowania się do systemów publicznych. Narzędzie zostało uruchomione, by ograniczyć ryzyko braku dostępu do systemu e-rejestracji i uniknąć trudności w rejestracji na szczepienia uprawnionej grupy obywateli.
W związku ze zidentyfikowanym ryzkiem możliwości naruszenia ochrony danych osobowych, aby nie narażać ich bezpieczeństwa, podjęto decyzję o wyłączeniu wyszukiwarki. Stwierdzono bowiem, że jej działanie mogło potencjalnie wiązać się z nieuprawnionym pozyskiwaniem numerów PESEL obywateli. Wyszukiwarka pozwalała na wprowadzenie kombinacji liczb aż do uzyskania poprawnego istniejącego, prawdziwego numeru PESEL, co teoretycznie pozwalało na jego nieuprawnione pozyskiwanie w oparciu o dowolne kombinacje cyfr za pośrednictwem specjalnej aplikacji pozwalającej na wyodrębnianie takich informacji. Zatem wyszukiwarka mogła potencjalnie być przedmiotem ataku hakerskiego.
Jednocześnie trzeba zaznaczyć, że do dziś nie odnotowano zdarzenia, które może wskazywać na faktyczny wyciek numerów PESEL. Niemniej jednak z uwagi na potencjalnie istniejącą możliwość we wskazanym okresie zalecamy zachowanie szczególnej czujności.
Ewentualne pytania dotyczące zdarzenia w zakresie dotyczącym danych osobowych można kierować do Inspektora Ochrony Danych w Ministerstwie Zdrowia https://www.gov.pl/web/zdrowie/inspektor-ochrony-danych.
Ponadto istnieje możliwość skontaktowania się w tej sprawie z Centrum e-Zdrowia, które jest odpowiedzialne za techniczną i organizacyjną obsługę systemu https://pacjent.gov.pl/skontaktuj-sie-z-nami. Zapewniamy, że dokładamy wszelkich starań, aby zapewnić bezpieczeństwo danych osobowych w ramach realizowanych procesów przetwarzania.
1Centralny elektroniczny system rejestracji na szczepienia ochronne przeciwko COVID-19, o którym mowa w art. 21e ust. 1 ustawy z dnia 5 grudnia 2008 r. o zapobieganiu oraz zwalczaniu zakażeń u ludzi (Dz. U. 2020 r. poz. 1845, z późn.zm.)