Prywatne dane lekarzy w państwowym rejestrze – czy to był wyciek?

Prywatne adresy e-mail i numery telefonów pojawiły się w nowym Rejestrze Podmiotów Wykonujących Działalność Leczniczą. Tych danych nie powinno tam być ale możliwe, że pojawiły się tam w wyniku błędów lub niedopatrzeń samych lekarzy (sprawdzamy to jeszcze). Tak czy owak jest to dobra okazja żeby zwrócić uwagę na problemy jakie powstają na styku prywatności i rejestrów publicznych.

Nie każdy o tym myśli, ale nasze państwo utrzymuje setki różnego rodzaju systemów informacyjnych. Czasami są to rejestry dostępne tylko dla wybranych instytucji, innym razem dostępne publicznie. Niektóre z nich są zaledwie małymi plikami XLSX publikowanymi na stronach urzędów, inne wiążą się z utrzymaniem potężnych baz danych, wyszukiwarek lub API. Niektóre są znane wszystkim, inne tylko ludziom z pewnych branż. Tego. Jest. Dużo.
Jednym z tych wielu systemów jest RPWDL czyli Rejestr Podmiotów Wykonujących Działalność Leczniczą, który ostatnio doczekał się wersji 2.0. Wcześniej wyglądał mniej więcej tak jak na grafice poniżej. Zawierał wyszukiwarkę praktyk lekarskich, pielęgniarskich, stomatologicznych itd. Można było w nim sprawdzić m.in. posiadane przez podmioty medyczne uprawnienia, cerytyfikaty itd.
RPWDL – wersja pierwsza, grafika z naszych archiwów
Teraz mamy nowy system RPWDL 2.0, z taką oto wyszukiwarką.
Wyszukiwarka nowego RPWDL
Wyszukiwarka daje dostęp do ksiąg rejestrowych, które wyglądają mniej więcej tak.

29 czerwca 2025 roku nastąpiło pełne przejście na system RPWDL 2.0. Przy okazji poinformowano, że w systemie obsługiwanych jest prawie 45 tysięcy ksiąg Podmiotów Leczniczych i ponad 250 tysięcy ksiąg Praktyk Zawodowych. Nowy system w wersji 2.0 wziął na siebie nie tylko ciężar przechowywania danych, [...]

#DaneOsobowe #Lekarze #OSINT #Prywatność #Rejestry #Rpwdl

https://niebezpiecznik.pl/post/prywatne-dane-lekarzy-w-panstwowym-rejestrze-czy-to-byl-wyciek/

Niemiecki sąd rejonowy przyznał użytkownikowi Facebooka odszkodowanie w wysokości €5000 za naruszenie przepisów o ochronie danych przez Meta Platforms Ireland.

Zdarzenie dotyczyło Meta Business Tools - zestawu narzędzi, pozwalających na śledzenie użytkownika w internecie, nawet jeżeli nie jest zalogowany na Facebooku lub Instagramie. Zbierane w ten sposób #DaneOsobowe trafiały następnie do państw trzecich, w tym USA, gdzie były przetwarzane w sposób, którego szczegółów użytkownicy nie znali.

W ocenie sądu w Lipsku takie postępowanie stanowiło poważne naruszenie #RODO. Określając wysokość odszkodowania, wzięto w szczególności pod uwagę zyski Mety z reklam, sięgające setek miliardów dolarów. Kwota pięciu tysięcy euro została uznana za adekwatną do sytuacji.

Więcej informacji na stronie internetowej sądu rejonowego w Lipsku (orzeczenie nosi numer 05 O 2351/23: https://www.medienservice.sachsen.de/medien/news/1088732

Krajowe Biuro Wyborcze poinformowało o naruszeniu #RODO, związanym z ostatnimi wyborami prezydenckimi. Na stronie https://wybory.gov.pl umieszczono niezanonimizowany protokół, zawierający #DaneOsobowe trzech osób: https://pkw.gov.pl/kbw/informacje-kbw/publiczny-komunikat-o-mozliwym-naruszeniu-ochrony-danych-osobowych

Dane pacjentów pewnego szpitala wyciekły przez Internetowe Konto Pacjenta

Zmiana adresu URL w przeglądarce pozwalała na pobranie dokumentacji medycznej różnych osób przez Internetowe Konto Pacjenta. Błąd dotyczył prawdopodobnie pacjentów jednego szpitala.

Ministerstwo Zdrowia na swojej stronie internetowej w dość niepozornej zakładce “komunikaty”  zamieściło “Komunikat o naruszeniu ochrony danych osobowych“. Czyje dane wyciekły? To nie jest pewne, natomiast komunikat mówi o dość poważnym incydencie. Otóż użytkownicy Internetowego Konta Pacjenta mogli podejrzeć dane innych osób.
Czerwone strzałki dodane przez redakcję Niebezpiecznik.pl
Co się stało?
Z komunikatu wynika 28 kwietnia 2025 r. Centrum e-Zdrowia powiadomiło ministerstwo o podatności w IKP. Polegała ona na tym, że:
w przypadku wprowadzenia zmian w adresie URL w przeglądarce internetowej podczas pracy z aplikacją IKP możliwy był nieuprawniony dostęp do dokumentacji medycznej (EDM) innych użytkowników. Zatem z poziomu aplikacji IKP możliwa była ręczna edycja adresu URL w przeglądarce, dokonanie zmiany fragmentu adresu i wykonanie operacji pobrania dokumentu EDM (elektronicznej dokumentacji medycznej – przyp. red.).
Na pierwszy rzut oka wydaje się to banalnym błędem podobnym do tego, który w przeszłości wystąpił w systemie wniosków paszportowych. Jednak w komunikacie jest jeszcze jedna ciekawostka. Otóż standardowo pobranie dokumentacji z IKP możliwe jest tylko po tym, jak podmiot leczniczy zweryfikuje uprawnienia po swojej stronie w systemie P1.
W opisanym zdarzeniu weryfikacja taka nie miała miejsca. Niezależnie od możliwości modyfikacji adresu URL, po stronie podmiotu leczniczego powinna być realizowana obowiązkowa weryfikacja uprawnień użytkownika, zgodnie z obowiązującą dokumentacją integracyjną.
Zdarzenie można [...]

#DaneOsobowe #IKP #OchronaDanych #Zdrowie

https://niebezpiecznik.pl/post/dane-pacjentow-pewnego-szpitala-wyciekly-przez-internetowe-konto-pacjenta/

TikTok ukarany w Europie za naruszenie RODO. Chodzi o dane użytkowników
https://rootblog.pl/tiktok-ukarany-w-europie-za-naruszenie-rodo/

Bezduszna decyzja PZPN dotycząca dzieci, firmowana przez markę Tymbark, Prezydenta i Ministerstwo Edukacji

Coraz częściej piszą do nas rodzice zaniepokojeni tym, jak różne firmy chcą wykorzystywać lub przetwarzać dane lub wizerunek ich dzieci i stawiają to jako warunek wykonania jakiejś usługi. Dziś przyjrzymy się takiemu zgłoszeniu, które dotyczy imprezy “Puchar Tymbarku” organizowanej przez PZPN pod patronatem Kacelarii Prezydenta oraz …Ministerstwa Edukacji. Smutny to będzie artykuł, ale naszym zdaniem każdy z Was — nawet jeśli nie ma dzieci — powinien się z nim zapoznać. Bo tu chodzi o coś więcej niż prawo dzieci do prywatności, o którym za mało mówi się w przestrzeni publicznej. I musimy to w końcu zmienić.
Przykład wykorzystania wizerunku dzieci w ramach Pucharu Tymbarku. Twarze dzieci zostały rozmyte przez nas. źródło: laczynaspilka.pl
Z tego tekstu dowiesz się:

Dlaczego PZPN zbiera tak szerokie zgody do wizerunku dzieci i jakie zagrożenie to stanowi dla dzieci?
Co na ten temat sądzi Rzecznik Praw Dziecka i prawnicy?
Jak odwołać zgodę na wykorzystanie wizerunku dziecka (nie tylko w tym przypadku)?
Jakie zdanie w tej sprawie ma Kancelaria Prezydenta i Ministerstwo Edukacji patronujące tej imprezie?
Co zrobić, aby chronić wizerunek dziecka podczas różnych podobnych imprez?

 
Zanim jednak przejdziemy do meritum, wszystkich tych, którzy nie rozumieją dlaczego należy unikać publikacji wizerunku dzieci w internecie i jakie ryzyka się z tym wiążą odsyłamy do naszego tekstu towarzyszącego pt. “Co może spotkać Twoje dziecko, jeśli publikujesz jego zdjęcia na Facebooku lub Instagramie“. Poniżej zakładamy, że Czytelnik jest świadomy takich zagrożeń i podstawowego prawa do prywatności, jakie dotyczy [...]

#DaneOsobowe #MinisterstwoEdukacji #OchronaDanych #PiłkaNożna #Prawo #PucharTymbarku #PZPN #Rodzice #Sport #Tymbark #Wizerunek

https://niebezpiecznik.pl/post/bezduszna-decyzja-pzpn-dotyczaca-dzieci-puchar-tymbarku/

33 tysiące złotych kosztowało zakład pogrzebowy z Puław naruszenie #RODO.

W listopadzie 2022 r. jeden z pracowników zakładu przewoził pudła z dokumentami. Dziesięć pojemników wypadło po drodze, gdzie znalazła je policja i ustaliła, że w środku były między innymi dokumenty zawierające #DaneOsobowe. Zakład nie zorientował się, że brakuje pudeł, ponieważ nie zostały policzone przed podróżą.

Więcej informacji na stronie internetowej #UODO: https://uodo.gov.pl/pl/138/3639

Już za miesiąc, 8 maja 2025 r., poprowadzę webinar "Jak skutecznie chronić dane pacjentów? RODO w praktyce medycznej".

Zapisanie się jest możliwe za pośrednictwem strony internetowej https://audytelsa.clickmeeting.com/497494392/register

Można było pozyskać dane dowolnego klienta InterRisk. Wystarczyło znać jego PESEL.

PESEL nigdy nie powinien służyć jako sekret w procesie uwierzytelniania. Piszemy o tym od lat. Niestety, niektóre firmy wciąż bazują na błędnym przekonaniu, że PESEL danej osoby jest znany tylko jej. A prawdziwy smutek ogarnia nas, jeśli takie założenie czyni firma ubezpieczeniowa, która przetwarza przecież dość istotne dane na temat ludzi…
Kilka dni temu pewien Czytelnik będący klientem InterRisk zgłosił nam niepokojący problem z formularzem odzyskiwania hasła w serwisie internetowym InterRisk o nazwie iKlient. Tak wyglądała strona do odzyskiwania hasła, którą Czytelnik zobaczył:
Strona odzyskiwania hasła w klient.interrisk.pl
Jak widać, odzyskanie hasła wymaga podania loginu i telefonu, ale…

Rolę loginu może pełnić PESEL.
Można podać dowolny numer telefonu, a zresetowane hasło przyjdzie na ten właśnie numer.

Widzicie już problem? Znając PESEL klienta InterRisk i podając jakikolwiek numer telefonu do którego mamy dostęp otrzymywaliśmy nowe hasło. Przychodziło SMS-em na podany przez nas numer, niezależnie od tego, czy był on wcześniej używany przez danego klienta. Dzięki temu można było się zalogować na konto dowolnego klienta InterRisk.

i zobaczyć taki panel, dający wgląd w wykupione usługi i różne zakresy danych (w zależności od typu ubezpieczenia):

Łatwo można ustalić dane klientów InterRisk (i nie tylko tej firmy)
Dodajmy, że jeśli ktoś chciałby zdobyć numery PESEL klientów konkretnej firmy ubezpieczeniowej (np. InterRisk, ale nie tylko) może spróbować użyć w tym celu choćby powszechnych wyszukiwarek. W trakcie pisania tego tekstu znaleźliśmy w internecie trochę polis takich jak ta poniżej. Została ona opublikowana w pewnym miejscu najprawdopodobniej wskutek [...]

#DaneOsobowe #Interrisk #PESEL #Ubezpieczenia

https://niebezpiecznik.pl/post/mozna-bylo-pozyskac-dane-dowolnego-klienta-interrisk-wystarczylo-znac-jego-pesel/

Zbankrutowała amerykańska spółka 23andMe, zajmująca się testami genetycznymi. Z jej usług korzystały miliony ludzi - od zainteresowanych predyspozycjami do chorób po osoby wykonujące testy dla celów genealogicznych.

Do złej sytuacji finansowej firmy przyczynił się między innymi ujawniony w październiku 2023 r. wyciek danych genetycznych, który dotknął ok. 7 milionów użytkowników (niemal połowę ówczesnych klientów).

W związku z decyzją spółki prokurator generalny amerykańskiego stanu Kalifornia (w którym ma siedzibę 23andMe) wydał komunikat dla użytkowników serwisu, których #DaneOsobowe są przechowywane w bazach danych.

Więcej informacji:
* https://www.bankier.pl/wiadomosc/Genetyka-konsumencka-padla-na-gieldzie-Badania-DNA-milionow-ludzi-moga-pojsc-na-sprzedaz-8913208.html,
* https://oag.ca.gov/news/press-releases/attorney-general-bonta-urgently-issues-consumer-alert-23andme-customers.

Anonimizacja zdjęć i nagrań wideo – kompendium wiedzy

Poniższy artykuł, to prawdopodobnie jedyne w polskim internecie kompendium wiedzy na temat anonimizacji fotografii i nagrań wideo. Temat jest istotny zarówno w kontekście prywatności jak i bezpieczeństwa informacji oraz przestrzegania przepisów o ochronie danych osobowych. Wymóg anonimizacji dotyczy głównie organizacji, które przechowują zdjęcia i nagrania wideo, udostępniają je osobom lub podmiotom trzecim, a także wykorzystują je np. do trenowania modeli AI. Na przykład niewiele firm budowlanych zdaje sobie sprawę, że wykonując dokumentację zdjęciową i filmową w ramach projektów, powinny wykonywać anonimizację zebranych materiałów jeśli pojawiają się w nich ludzie.
Ryzyka prawne związane z niewdrożeniem procedur i technicznych środków anonimizacji z każdym rokiem są coraz większe. Przybliżymy tę kwestię odwołując się do wiedzy zapytanych prawników. Następnie przedstawimy różne rozwiązania techniczne służące do anonimizacji, jakie są obecnie dostępne na rynku. Przedstawimy ich wady i zalety w przystępny sposób, aby osoby potrzebujące tego rodzaju rozwiązań zdobyły  w temacie podstawowe rozeznanie. Na koniec odpowiemy na najczęściej zadawane pytania w tym zakresie.

Zamazywanie twarzy i tablic rejestracyjnych w firmach od strony prawnej i technicznej
Jeszcze do niedawna o ochronie danych osobowych i bezpieczeństwie informacji mówiliśmy głównie w kontekście rekordów tekstowych. Anonimizacja materiałów wizualnych, czyli mówiąc potocznie “zamazywanie twarzy i tablic rejestracyjnych” kojarzy nam się z usługą Google Maps oraz telewizyjnymi relacjami ze spraw kryminalnych. Choć nie zawsze trzeba stosować taką anonimizację, to ci, którzy muszą, a tego nie zrobią [...]

#Anonimizacja #DaneOsobowe #GallioPRO #GDPR #Prywatność #RODO #RozpoznawanieTwarzy #TabliceRejestracyjne #UODO

https://niebezpiecznik.pl/post/anonimizacja-zdjec-nagran-wideo-kompendium-wiedzy/

Norwegia: administratorzy danych, przekazujący #DaneOsobowe do USA na podstawie decyzji o adekwatności, powinni być przygotowani na scenariusz rezygnacji z amerykańskich usług. KE i TSUE monitorują działania USA w tym zakresie: https://buff.ly/3QEw1xp #RODO

#DaneOsobowe wielu adwokatów zostały dotknięte naruszeniem #RODO, które zostało ogłoszone pod koniec zeszłego tygodnia. Więcej informacji w tej sprawie zostało opublikowanych przez CyberDefence24.pl: https://buff.ly/4hAg0V0

Zerknijcie sobie na ten film. Gościu opowiada jakie dane wyciąga #Windows z komputera z #Windows11. Jeśli to wszystko prawda, to jest jakaś masakra. W skrócie, człowiek nie instaluje sobie systemu operacyjnego, tylko zwykłą maszynkę do szpiegowania.

https://www.youtube.com/watch?v=d-9a1x6wvx0&t=1248

#szpiegowanie
#prywatność
#daneOsobowe
#ochronaDanychOsobowych
#win11
#Microsoft

Narodowy Fundusz Ochrony Środowiska i Gospodarki Wodnej poinformował o możliwym naruszeniu #RODO, dotyczącego programu "Mój Elektryk" (dofinansowania do zakupu aut elektrycznych).

Z komunikatu wynika, że 5 lutego 2025 r. jeden z pracowników funduszu wysłał zestawienie wnioskodawców jednocześnie do swojego przełożonego i na prywatne konto e-mail. Pracownik niezwłocznie miał usunąć tę wiadomość ze swojej skrzynki.

#DaneOsobowe objęte naruszeniem to "nazwiska i imiona, numer rachunku bankowego, adres zamieszkania lub pobytu, seria i numer dowodu osobistego, numer telefonu, numer ewidencyjny PESEL, adres e-mail, numer oraz data ważności karty dużej rodziny."

Więcej informacji o naruszeniu dostępnych jest na stronie funduszu:
https://www.gov.pl/web/nfosigw/informacja-o-potencjalnym-naruszeniu-ochrony-danych-osobowych https://www.gov.pl/web/elektromobilnosc/o-programie

Austriacki organ nadzorczy nałożył karę €2.000 (ok. 8.400 zł) na mężczyznę, który wykonał nagie zdjęcia kobiety i wysłał je do siebie bez jej zgody.

W lipcu 2024 r. kobieta (AV) pływała nago w basenie; towarzyszący jej mężczyzna (MD) zrobił jej kilka zdjęć należącym do niej telefonem. Następnie MD zgrał zdjęcia AV na swój telefon bez jej wiedzy i zgody.

Gdy AV dowiedziała się o tym, wezwała mężczyznę do usunięcia zdjęć. Ten bronił się, twierdząc, że chciał je jedynie wyretuszować, ale skasował pliki.

Sprawa została zgłoszona do Datenschutzbehörde (austriackiego organu nadzorczego), który uznał MD za administratora danych, winnego za przetwarzanie danych bez odpowiedniej podstawy prawnej. Jednocześnie nagie zdjęcia zostały zakwalifikowane jako #daneosobowe dotyczące seksualności w rozumieniu art. 9 ust. 1 #RODO.

Więcej informacji w treści decyzji DSB (w jęz. niemieckim): https://rdb.manz.at/document/ris.dsb.DSBT_20241212_2024_0_796_258_00

Sprawa udziału Poczty Polskiej w organizacji wyborów kopertowych w 2020 r., naruszającej #RODO, ma ciąg dalszy.

5 lat temu wybory prezydenckie miały odbyć się drogą korespondencyjną. W związku z tym Poczta Polska skierowała do samorządów i Ministerstwa Cyfryzacji wnioski o #daneosobowe, dotyczące 30 milionów Polaków. Działanie to zostało powszechnie uznane za niezgodne z przepisami o ochronie danych osobowych.

W związku z tym Wojciech Klicki @panoptykon złożył pozew przeciwko Poczcie Polskiej. W sierpniu 2024 r. Sąd Okręgowy w Warszawie wydał wyrok w sprawie, stwierdzając, że działanie operatora pocztowego było legalne: https://panoptykon.org/wybory-kopertowe-poczta-klicki-wyrok

Rzeczywistość RODO 2025: telemarketerzy i regularni przestępcy dysponują danymi milionów ludzi z przeróżnych wycieków; wielkie amerykańskie platformy cyfrowe, które dawno już powinny zostać w Europie zbanowane, wyprowadzają dane milionów użytkowników poza terytorium UE i robią z nimi wuj raczy wiedzieć co; a tymczasem ja latam jak kot z pęcherzem po członkach rodziny, zbierając po różnych miastach ich odręczne podpisy pod zgodą na przetwarzanie danych osobowych, żeby mój pracodawca mógł dysponować ich imieniem i nazwiskiem w celu wystawienia zniżkowych biletów lotniczych dla rodziny pracownika linii xD Kto by pomyślał, że RODO będzie najskuteczniej egzekwowalne w najmniej istotnych sprawach
#RODO #daneosobowe

Ponad 260 tys. kary za to, że IOD był podwładnym szefa działu bezpieczeństwa

To co Inspektor Ochrony Danych ma wpisane w umowie o pracę może mieć większe znaczenie niż się wszystkim wydawało. Po raz pierwszy w Polsce UODO ukarał firmę za “złe usytuowanie IOD” w organizacji.

W ubiegłym miesiącu Prezes UODO nałożył karę w wysokości pół miliona złotych (dokładnie 576.220 zł) na Toyota Bank. Decyzja w tej sprawie (DKN.5112.14.2022) była podwójnie ciekawa ponieważ dotyczyła:

pominięcia profilowania w rejestrze czynności przetwarzania danych (kara za to wyniosła 314.302 zł),
nieprawidłowego wyznaczenia Inspektora Ochrony Danych, czy też raczej jego nieprawidłowego “usytuowania” w organizacji (za to dodatkowe 261.918 zł).

Kary wydają się wysokie choć tak naprawdę stanowią 0,6% oraz 0,72% kar maksymalnych za te naruszenia. Były czynniki łagodzące, w tym dobra współpraca z organem nadzorczym.
Sama decyzja zapadła po tym jak UODO przeprowadził kontrolę w Toyota Banku. Zakres kontroli miał obejmować m.in. kwestie profilowania, prowadzenia rejestru czynności przetwarzania danych, dokonywania oceny skutków dla ochrony danych osobowych oraz… wyznaczenia Inspektora Ochrony Danych. Zacznijmy od omówienia tego ostatniego.
IOD podległy “bezpiece”
W trakcie kontroli ustalono, że Inspektorem Danych Osobowych był “Pan SJ”. Pracował on na stanowisku IT specjalisty w zespole ds. bezpieczeństwa, a następnie w departamencie bezpieczeństwa. Podlegał zatem bezpośrednio dyrektorowi tego departamentu co oznaczało, że musiał kontrolować swojego szefa.  Z treści opisu jego stanowiska pracy w dokumentacji firmy wynikało, że SJ “raportuje do Dyrektora Departamentu”. Trudniej o wyraźniejsze potwierdzenie zależności służbowej.
Co ciekawe, jako “specjalista od [...]

#DaneOsobowe #OchronaDanych #OchronaDanychOsobowych #Profilowanie #RODO

https://niebezpiecznik.pl/post/ponad-260-tys-kary-za-to-ze-iod-byl-podwladnym-szefa-dzialu-bezpieczenstwa/

Podmioty wykorzystujące #daneosobowe dzieci i o stanie zdrowia - między innymi one mogą być w 2025 r. sprawdzane w ramach kontroli sektorowych Prezesa #UODO: https://buff.ly/3DXzMeh #RODO