Zgodnie z postanowieniami ogólnego rozporządzenia o ochronie danych (RODO) Szpital Uniwersytecki w Krakowie, jako administrator danych osobowych, zawiadamia o stwierdzonym incydencie bezpieczeństwa. W dniu 2 marca 2026 r. wykryto nieuprawniony dostęp do skrzynki e-mail jednego z pracowników Szpitala.

W wyniku celowego działania przestępców elektronicznych nastąpiło przejęcie konta pocztowego. W skrzynce znajdowała się korespondencja zawierająca dane pacjentów, w szczególności osób kierowanych w ramach szybkiej ścieżki onkologicznej (Karta DILO). Wśród potencjalnie dostępnych informacji mogły się znaleźć dane identyfikacyjne i kontaktowe (np. imię i nazwisko, PESEL, numer telefonu, adres e‑mail, miejsce zamieszkania) oraz dane dotyczące stanu zdrowia.

Zakres incydentu

Na dzień publikacji zawiadomienia Szpital nie posiada informacji potwierdzających, że przejęte dane zostały w jakikolwiek sposób wykorzystane lub upublicznione. Aby zapobiec takim zdarzeniom i ograniczyć ewentualne skutki, placówka podjęła stosowne działania organizacyjno‑techniczne oraz współpracuje z odpowiednimi organami.

Możliwe konsekwencje ujawnienia tych danych obejmują m.in. utratę kontroli nad danymi osobowymi, ryzyko kradzieży tożsamości (np. w celu uzyskania pożyczek), nieuprawniony dostęp do świadczeń medycznych przy wykorzystaniu danych identyfikacyjnych (np. numeru PESEL), próby wyłudzeń informacji finansowych, przejęć kont i usług online potwierdzanych danymi osobowymi, naruszenie dóbr osobistych z powodu informacji o stanie zdrowia oraz inne działania powodujące skutki prawne lub finansowe (np. zawieranie umów na cudzy rachunek, oszustwa typu phishing).


Po wykryciu incydentu Szpital natychmiast podjął działania mające na celu jego wyjaśnienie i ograniczenie skutków. W pierwszej dobie zgłoszono zdarzenie w ramach obowiązującego systemu cyberbezpieczeństwa, zlikwidowano nieuprawniony dostęp i unieważniono przejęte poświadczenia, wymuszono zmianę haseł i odcięto potencjalne kanały dostępu. Rozpoczęto wewnętrzne postępowania wyjaśniające, zgłoszono naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowano Policję o podejrzeniu popełnienia przestępstwa.

Co mogą Państwo zrobić teraz

Aby zmniejszyć ryzyko wykorzystania Państwa danych przez osoby nieuprawnione, zalecamy: zachować ostrożność przy udostępnianiu danych osobowych, szczególnie przez Internet i telefon; uważać na nieoczekiwane wiadomości e‑mail i telefony; nie otwierać podejrzanych linków i załączników; monitorować operacje na rachunkach bankowych i w usługach elektronicznych; rozważyć założenie konta w systemie informacji kredytowej; rozważyć zastrzeżenie numeru PESEL w odpowiedniej usłudze rządowej lub za pośrednictwem aplikacji mObywatel; oraz niezwłocznie zgłaszać każdą próbę nieuprawnionego użycia danych odpowiednim instytucjom.

W razie pytań, chęci przekazania dodatkowych informacji lub otrzymania informacji o wykorzystaniu Państwa danych przez osoby nieuprawnione, prosimy o kontakt z Inspektorem Ochrony Danych:

Piotr Pawlikowski
Adres e‑mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.
Telefon: 12 424 70 75
Korespondencja: Szpital Uniwersytecki w Krakowie, ul. M. Orwid 11, 30-688 Kraków.

Źródło: su.krakow.pl