Informacje

Informacja o naruszeniu danych osobowych

piątek, 21 kwietnia 2023

Szanowny Panie / Szanowna Pani,

realizując obowiązek wynikający z art. 34 RODO, Burmistrz Radłowa z siedzibą w Radłowie, ul. Kolejowa 7, zwany dalej Administratorem, przekazuje informację o naruszeniu ochrony Pani/Pana danych osobowych. Szczegółowe informacje związane z naruszeniem, zostały wskazane poniżej.

Charakter oraz okoliczności naruszenia
W dniach 01-10-2022 godź 00:00 do 10-11-2022 godz. 08:30 doszło do zdarzenia polegającego na nieuprawnionym dostępie byłego pracownika Urzędu Miejskiego w Radłowie do platformy ePUAP Urzędu Miasta Radłowa. Naruszenie ochrony danych polegało na braku odebrania byłemu pracownikowi Administratora uprawnień do platformy ePUAP, co skutkowało, że osoba ta pomimo ustania stosunku pracy mogła mieć dostęp do danych osobowych zwykłych w postaci: imię nazwisko, data uradzenia, adres zamieszkania, a w niektórych przypadkach nr PESEL oraz wizerunku. Były to dane pracowników oraz klientów Urzędu Miejskiego w Radłowie. Z otrzymanych przez Administratora od operatora platformy ePUAP informacji wynika, że były pracownik w całym okresie nieuprawnionego dostępu wykonał skuteczne logowania na służbowej skrzynce  ePUAP  jedynie w dniach 03 i 09 listopada 2022 r. Wszyscy pracownicy Administratora obecni, a także byli pracownicy są pisemnie zobowiązywani do zachowania poufności  również po ustaniu zatrudnienia.

Podjęte działania w związku z wykrytym naruszeniem
Natychmiast po stwierdzeniu naruszenia Administrator odebrał uprawnienia do platformy ePUAP byłemu pracownikowi. Niezwłoczne wystąpił do operatora platformy ePUAP z wnioskiem o udzielenia dokładnych informacji o historii logowań wskazując adres służbowej skrzynki oraz czasookres. Na podstawie dokonanej analizy naruszenia Administrator udoskonalił własne procedury nadawania i cofania uprawnień pracowników, tak aby w przyszłości wykluczyć podobny przypadek.
Współpracujemy również z organem nadzorczym – Prezesem Urzędu Ochrony Danych Osobowych (PUODO). Dnia 10 listopada 2022 r. dokonaliśmy zgłoszenia naruszenia ochrony danych osobowych PUODO. Obecnie podjęliśmy działania, o których podjęcie zwrócił się organ.

Możliwe konsekwencje naruszenia ochrony danych osobowych
Informujemy, że na dzień dzisiejszy nie stwierdzono naruszenia poufności Państwa danych (tzn. nie stwierdzono tego, że Państwa dane osobowe wyciekły i mogły zostać w jakikolwiek sposób opublikowane i/lub wykorzystane przez nieuprawnione osoby trzecie).

Kierując się zatem wyłącznie ostrożnością i troską o bezpieczeństwo Państwa danych, wskazujemy na następujące potencjalne konsekwencje powyższego zdarzenia, takich jak: 
a)    uzyskanie przez osoby trzecie (na szkodę osoby, której dane osobowe naruszono) kredytów w instytucjach poza bankowych - ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób (np. przez Internet lub telefonicznie) bez konieczności okazywania dokumentu tożsamości;
b)    uzyskanie przez osoby trzecie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono oraz do jej danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL;
c)    skorzystanie przez osoby trzecie z praw obywatelskich osoby, której dane naruszono (np.: do głosowania nad środkami budżetu obywatelskiego) - uniemożliwiałoby to właściwej osobie skorzystanie z przysługującego jej prawa;
d)    podjęcie przez osoby trzecie próby wyłudzenia ubezpieczenia (lub środków z ubezpieczenia), co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu;
e)    zarejestrowanie przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych;
f)    próby zawarcia przez osoby trzecie umów cywilno-prawnych (np. najmu nieruchomości);
g)    wykorzystanie danych przez osoby trzecie do ukrycia swojej tożsamości (np. przy otrzymywaniu mandatów);
h)    otrzymywanie niezamówionej informacji handlowej na adres zamieszkania;
i)    wykorzystanie pozyskanych danych do założenia kont internetowych na Państwa dane.

Proponowane środki i działania w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków 
W celu zminimalizowania ewentualnych negatywnych skutków naruszenia zalecamy, aby osoby których dane osobowe mogły ulec naruszeniu, rozważyły podjęcie kroków minimalizujących ryzyko wystąpienia negatywnych konsekwencji i nieuprawnionego wykorzystania danych m.in. poprzez:
a)    założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej   aktywności kredytowej (na rynku dostępne są systemy, instytucje i przedsiębiorstwa, które oferują usługi pozwalające na monitorowanie swojej aktywności kredytowej. Podajemy przykładowe: Biuro Informacji Kredytowej S.A. strona https://www.bik.pl, Biuro Informacji Gospodarczej InfoMonitor S.A. strona https://big.pl, Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. stron https://krd.pl, Serwis CHRONPESEL strona https://www.chronpesel.pl). W przypadku stwierdzenia jakichkolwiek nieprawidłowości – zgłoszenie tego faktu organom ścigania oraz Administratorowi;
b)    zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu, gdyż osoby, które w sposób nieuprawniony mogły wejść w posiadanie danych osobowych, mogą je wykorzystać lub przekazać innym podmiotom;
c)    zachowanie ostrożności w przypadku niezamówionych  przesyłek, usług;
d)    ignorować prośby od nieznanych nadawców o podanie dodatkowych danych;
e)    każdorazowo niezwłocznie informować Administratora po uzyskaniu informacji 
o nieuprawnionym wykorzystaniu/próbie wykorzystania Państwa danych.

Podkreślamy, że  podjęliśmy skuteczne działania organizacyjne mające na celu wyeliminowanie podobnych zdarzeń w przyszłości.

Więcej informacji:
Jeżeli ma Pan/i jakiekolwiek pytania lub chciałby/aby nam Pan/i przekazać dodatkowe informacje w związku z zaistniałym zdarzeniem, prosimy o kontakt z Inspektorem Ochrony Danych Piotrem Chrupkiem  pod adresem: e-mail: iod@gminaradlow.pl  lub numerem telefonu 695-301-015.                              

 Administrator Danych Osobowych