Komunikat dotyczący naruszenia bezpieczeństwa danych osobowych
KOMUNIKAT DOTYCZĄCY NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH
UWAGA! Poniższy komunikat jest kierowany do byłych Pacjentów Centrum Medycznego AMED sp. z o.o. sp.k. (KRS: 0000812192) bądź AMED Anna Dudek (NIP: 5311160949). Publikacja wynika z braku danych kontaktowych pozwalających na indywidualne zawiadomienia.
Informacja o naruszeniu bezpieczeństwa Państwa danych osobowych
Szanowni Państwo,
realizując obowiązek wynikający z art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: RODO), przekazujemy informację o naruszeniu ochrony Państwa danych osobowych.
Jeżeli byliście Państwo pacjentami Centrumww Medycznego AMED sp. z o.o. sp.k. (KRS: 0000812192) bądź AMED Anna Dudek (NIP: 5311160949), przekazujemy Państwu niniejszą informację, z uwagi na to, że aktualnie FutureMeds sp. z o.o. z siedzibą we Wrocławiu (KRS: 0000394487, dalej: FutureMeds) jest następcą prawnym ww. podmiotów, a w konsekwencji administratorem Państwa danych osobowych.
Z uwagi na brak danych pozwalających na indywidualne zawiadomienie pacjentów Centrum Medycznego AMED lub AMED Anna Dudek o zdarzeniu, FutureMeds zdecydowało się na opublikowane niniejszego publicznego komunikatu w tej sprawie.
Z uwagi na brak danych pozwalających na indywidualne zawiadomienie pacjentów Centrum Medycznego AMED lub AMED Anna Dudek o zdarzeniu, FutureMeds zdecydowało się na opublikowane niniejszego publicznego komunikatu w tej sprawie.
Charakter oraz okoliczności naruszenia
FutureMeds współpracowało z firmą zewnętrzną Arch-Data sp. z o.o. z siedzibą w Łomiankach (KRS: 0000164817, dalej: Arch-Data), której powierzono archiwizację dokumentacji medycznej dotyczącej badań klinicznych prowadzonych w latach 2015 - 2025. Podmiot ten bez uprzedzenia zaprzestał wykonywania umowy, zerwał kontakt z naszą placówką i prawdopodobnie zmienił adres i siedzibę bez poinformowania nas o nowym miejscu przechowywania dokumentów.
W praktyce oznacza to, że Arch-Data bez wiedzy i zgody FutureMeds przeniosło powierzoną dokumentację w nieznane miejsce i jako administrator utraciliśmy czasowo kontrolę nad fizyczną dokumentacją oraz dostęp do niej. W toku wewnętrznej weryfikacji uznano, że nieuprawnione przeniesienie dokumentacji mogło wystąpić w lipcu 2025 r. (data wystąpienia naruszenia).
Zgodnie z naszą najlepszą wiedzą, kontrahent, któremu powierzono przechowywanie dokumentacji, pozostaje profesjonalnym podmiotem specjalizującym się w archiwizacji dokumentów, co pozwala domniemywać (do czasu ustalenia inaczej), że dokumenty nie zostały porzucone w miejscu publicznym, lecz zostały przeniesione w sposób zorganizowany, choć bez naszej zgody i wiedzy. Na moment przekazywania niniejszej informacji nie stwierdziliśmy jednak okoliczności sugerujących, aby dane osobowe zostały wykorzystane lub ujawnione w sposób nieuprawniony.
Jednocześnie pragniemy podkreślić, że w zdecydowanej większości przypadków naruszenie dotyczy kopii dokumentacji medycznej, natomiast oryginały dokumentacji znajdują się w naszym posiadaniu i są bezpieczne. Oznacza to, że zdarzenie to nie powoduje przerwania ciągłości świadczeń medycznych, nie wpływa na możliwość realizacji Państwa praw (np. wynikających z Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta), ani nie pozbawia Państwa dostępu do informacji o stanie zdrowia. Nasza placówka posiada pełny dostęp do Pani/Pana historii choroby i wyników badań.
Za zaistniałą sytuację przepraszamy i zapewniamy, że dokładamy wszelkich starań, aby skutki zdarzenia były dla Państwa jak najmniej odczuwalne.
Jakiego zakresu danych dotyczy naruszenie?
Naruszenie dotyczy wyłącznie dokumentów przekazanych do archiwizacji, które zawierały następujące dane osobowe: imię, nazwisko, data urodzenia, adres zamieszkania, numer dokumentu tożsamości, numer PESEL oraz dane dotyczące zdrowia w postaci historii choroby, informacje o stanie zdrowia, przebiegu badania klinicznego, w tym świadoma zgoda na udział w badaniu klinicznym (o ile została przez Panią/Pana wyrażona).
UWAGA! W odniesieniu do pacjentów Centrum Medycznego AMED sp. z o.o. sp.k. bądź AMED Anna Dudek naruszenie dotyczy imienia, nazwiska, daty urodzenia, numeru dokumentu tożsamości, numeru PESEL oraz danych dotyczących zdrowia w postaci historii choroby, informacji o stanie zdrowia, przebiegu badania klinicznego, w tym świadomej zgody na udział w badaniu klinicznym (o ile została przez Panią/Pana wyrażona). Naruszenie nie obejmuje danych kontaktowych jak adres zamieszkania.
Czy naruszenie dotyczy wszystkich Pacjentów FutureMeds?
Naruszenie dotyczy wyłącznie pacjentów, którzy w latach 2015-2025 byli pacjentami ośrodków FutureMeds w Warszawie (Warszawa-Targówek, Warszawa Centrum) oraz Łodzi.
Dodatkowo, naruszenie dotyczy Państwa danych, jeżeli byliście pacjentami Centrum Medycznego AMED sp. z o.o. sp.k. (KRS: 0000812192) bądź AMED Anna Dudek (NIP: 5311160949) z uwagi na to, że aktualnie FutureMeds jest następcą prawnym ww. podmiotów, a w konsekwencji administratorem Państwa danych osobowych.
Pacjenci FutureMeds, którzy korzystają z usług naszych innych placówek (np. Wrocław, Kraków) mogą mieć pewność, że ich dane pozostają bezpieczne.
Czy incydent nadal trwa, czy został już zakończony?
Postępowania wyjaśniające oraz działania prawne pozostają w toku. Do momentu odzyskania dokumentacji i pełnego wyjaśnienia okoliczności zdarzenia incydent uznaje się za pozostający w toku. Jednocześnie informujemy, że nie stwierdziliśmy dotychczas przypadków nieuprawnionego wykorzystania danych osobowych.
Przeciwdziałanie negatywnym skutkom ujawnienia danych
W celu zminimalizowania ewentualnych negatywnych skutków naruszenia, zalecamy zachowanie standardowej ostrożności, w tym przede wszystkim:
1. skorzystanie z usługi Alert BIK, aby monitorować aktywność związaną z danymi kredytowymi - w celu uzyskania bezpłatnego dostępu do usługi lub zwrotu kosztów poniesionych w związku z jej uruchomieniem na okres 12 miesięcy, prosimy o kontakt mailowy (alert@futuremeds.com) lub telefoniczny (71 394 08 10) – szczegóły znajdą Państwo w dalszej części komunikatu;
2. bezpłatne zastrzeżenie numeru PESEL:
przy czym zwracamy uwagę, że instytucje finansowe (takie jak banki) są zobowiązane do weryfikowania statusu zastrzeżenia numeru PESEL przy zawieraniu umów wymagających potwierdzenia tożsamości, co stanowi dodatkowy mechanizm ochrony przed nieuprawnionym wykorzystaniem danych osobowych;
3. rozważenie zmiany danych, które uległy ujawnieniu (dokument tożsamości);
4. powiadomienie o możliwym ujawnieniu danych dot. dokumentu tożsamości instytucji finansowych, które mogą zaproponować dodatkową ochronę lub monitorowanie konta - np. zastrzeżenie dokumentu tożsamości w banku, w którym posiadacie Państwo rachunek bankowy;
5. zachowanie czujności w przypadku otrzymania nieoczekiwanej korespondencji od osób trzecich, powołujących się na uczestnictwo w badaniach klinicznych;
6. ignorowanie nieoczekiwanych wiadomości, w szczególności od nieznanych nadawców, w tym zwrócenie szczególnej uwagi na podejrzane wiadomości, za pośrednictwem których nieuprawnione podmioty mogą próbować wyłudzić dodatkowe informacje, podając się za oficjalne źródło w związku z naruszeniem danych (tzw. phishing);
7. powiadomienie o możliwym wycieku danych instytucji finansowych, które mogą zaproponować dodatkową ochronę lub monitorowanie konta – np. zastrzeżenie dokumentu tożsamości w banku, w którym posiadacie Państwo rachunek bankowy.
Alert BIK – refundacja kosztów
W związku z incydentem, FutureMeds zdecydowało się zapewnić Państwu bezpłatny dostęp do aktywacji usługi Alert BIK na okres 12 miesięcy.
Alert BIK jest narzędziem, które pozwala na rzeczywistą ochronę przed nieuprawnionym wykorzystaniem Państwa danych - szczególnie w zakresie zaciągania zobowiązań pieniężnych. Przykładowo: po uruchomieniu Alertu BIK, za każdym razem, gdy ktoś złoży wniosek o kredyt lub pożyczkę na Państwa dane lub będzie próbował podpisać w Państwa imieniu umowę (np. na abonament komórkowy), otrzymacie Państwo wiadomość SMS, która daje szansę zareagować i zapobiec wyłudzeniom.
Koszt aktywacji usługi w Alert BIK na okres 12 miesięcy zostanie pokryty przez FutureMeds, co oznacza, że pacjenci nie będą musieli ponosić opłat związanych z tym działaniem.
W celu uzyskania informacji dotyczących procedury uzyskania dostępu do Alertu BIK, zainteresowane osoby prosimy o kontakt telefoniczny pod numerem: 71 394 08 10 lub wiadomość na adres mailowy: alert@futuremeds.com.
Możliwe skutki naruszenia ochrony danych osobowych
UWAGA! Na moment przekazywania niniejszej informacji nie stwierdziliśmy okoliczności sugerujących, aby Państwa dane osobowe zostały porzucone, czy też wykorzystane lub ujawnione w sposób nieuprawniony.
Jednak z daleko idącej ostrożności wskazujemy, że następstwem wyżej wskazanego zdarzenia mogłoby być:
1. kradzież lub sfałszowanie tożsamości poprzez uzyskanie przez osoby trzecie kredytów w instytucjach poza bankowych (przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości);
2. wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować negatywne konsekwencje związane z próbą przypisania Państwu odpowiedzialności za dokonanie takiego oszustwa;
3. osoby trzecie mogą podjąć próbę zawarcia na Państwa szkodę umów cywilno-prawnych, np. najmu nieruchomości;
4. Państwa dane osobowe mogą zostać wykorzystane przez osoby trzecie do ukrycia swojej tożsamości, np. przy otrzymywaniu mandatu;
5. wobec tego, że ujawniono także Państwa dane osobowe dotyczące zdrowia, czyli dane osobowe szczególnej kategorii, może się to wiązać z naruszeniem Państwa dóbr osobistych lub dyskryminacją.
Działania podjęte w związku z wykrytym naruszeniem
Zgodnie z obowiązkiem prawnym ciążącym na FutureMeds, naruszenie zostało zgłoszone Prezesowi Urzędu Ochrony Danych Osobowych. Głównym celem takiego działania jest udzielenie ochrony praw i wolności jednostek. W kontekście powagi naruszenia, kluczowa była szybka reakcja i niezwłoczne powiadomienie organu nadzorczego o incydencie. Kolejnym krokiem jest skierowanie do Państwa niniejszego zawiadomienia.
W ramach działań podejmowanych w celu odzyskania powierzonej dokumentacji oraz przywrócenia kontroli nad przetwarzanymi danymi osobowymi, skierowaliśmy do Arch-Data wezwania do wydania dokumentacji oraz przekazania informacji na temat aktualnej lokalizacji. Oprócz powyższych działań, przeprowadzaliśmy również wizję lokalną w ostatnim znanym miejscu prowadzenia działalności Arch-Data oraz podjęliśmy próby ustalenia nowej lokalizacji archiwum.
Dodatkowo, w dniu 20 stycznia 2026 roku do Sądu Rejonowego dla m.st. Warszawy w Warszawie (XIV Wydział Gospodarczy Krajowego Rejestru Sądowego), złożyliśmy zawiadomienie o podejrzeniu niezgodności danych ujawnionych w Krajowym Rejestrze Sądowym z rzeczywistym stanem faktycznym. Sprawa została zarejestrowana pod sygnaturą: WA.XIV Ns-Rej.KRS 3563/26/867 i jest obecnie w toku.
Ponadto, w dniu 22 stycznia 2026 roku zgłosiliśmy podejrzenie popełnienia przestępstwa związanego z samowolnym przeniesieniem dokumentacji, bezprawnym uzyskaniem informacji oraz przetwarzaniem danych osobowych, choć ich przetwarzanie nie jest dopuszczalne. Komisariat Policji w Łomiankach (ul. Warszawska 87, 05-092 Łomianki) zarejestrował sprawę pod sygnaturą 4317-4.DS.390.2026. Postępowanie jest w toku. FutureMeds deklaruje pełną współpracę z odpowiednimi służbami w celu ustalenia okoliczności zdarzenia oraz zapobieżenia jego negatywnym skutkom.
Co robimy, aby taka sytuacja nie powtórzyła się w przyszłości?
FutureMeds traktuje bezpieczeństwo danych osobowych priorytetowo, dlatego w związku z incydentem zaostrzamy kryteria wyboru partnerów biznesowych. Wprowadziliśmy nowe, rygorystyczne procedury weryfikacji kontrahentów, którym powierzana jest dokumentacja medyczna. Od teraz każdy podmiot przechowujący dane będzie musiał przejść audyt stabilności finansowej i prawnej, a preferowane będą firmy posiadające certyfikaty bezpieczeństwa informacji (np. ISO/IEC 27001) lub certyfikaty branżowe w zakresie archiwizacji.
Czy moje dane są bezpieczne?
W zdecydowanej większości przypadków naruszenie dotyczy kopii dokumentacji medycznej, natomiast oryginały dokumentacji znajdują się w naszym posiadaniu i są bezpieczne. Oznacza to, że Państwa dane są bezpieczne, zdarzenie to nie powoduje przerwania ciągłości świadczeń medycznych, nie wpływa na możliwość realizacji Państwa praw (np. wynikających z Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta), ani nie pozbawia Państwa dostępu do informacji o stanie zdrowia. Nasza placówka posiada pełny dostęp do Pani/Pana historii choroby i wyników badań.
Dlaczego Arch-Data miało dostęp do danych?
FutureMeds, jako administrator Państwa danych osobowych, powierzyło ich przetwarzanie Arch-Data - podmiotowi, który świadczy usługi archiwizacji dokumentacji. Powierzenie przetwarzania danych jest standardową operacją na danych w przypadku korzystania z zewnętrznych usług przechowywania dokumentacji. Podmiot ten nie był uprawniony do wykorzystywania danych w żadnym innym celu.
Gdzie mogą Państwo uzyskać więcej informacji?
W przypadku jakichkolwiek pytań lub chęci przekazania nam dodatkowych informacji w związku z zaistniałym zdarzeniem, prosimy o kontakt z naszym Inspektorem Ochrony Danych lub zespołem powołanym do obsługi zaistniałego naruszenia:
Inspektor Ochrony Danych – Roksana Lejpamer
adres e-mail: alert@futuremeds.com
infolinia: 71 394 08 10
Adnotacja prawna do zawiadomienia
Przekazana informacja stanowi realizację obowiązku wynikającego z art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO).
W przypadku powzięcia przez Państwo informacji o wykorzystaniu Państwa danych przez osobę nieuprawnioną, prosimy o jak najszybsze przekazanie nam tej informacji.
