Przejdź do informacji o dostępności Przejdź do strony głównej Przeskocz do menu Przeskocz za menu Przeskocz do głównej treści Przejdź do mapy strony

Zaktualizowana informacja o naruszeniu ochrony danych osobowych

Szanowni Państwo,

W uzupełnieniu wcześniej przekazanych informacji Urząd Marszałkowski Województwa Małopolskiego
z siedzibą w Krakowie przy ul. Basztowej 22 (dalej UMWM), niniejszym przekazuje ponowne i zaktualizowane zawiadomienie o naruszeniu ochrony danych osobowych (m.in. klientów, kontrahentów i pracowników UMWM), zgodnie z poniższym zaktualizowanym zakresem informacji:

1. Opis charakteru naruszenia (co się stało?):

W dniu 8 lutego 2021 r. stwierdzono incydent bezpieczeństwa informacji polegający na ataku złośliwego oprogramowania szyfrującego pliki. Zdarzenie to doprowadziło do utraty dostępności danych osobowych (m.in. klientów, kontrahentów i pracowników UMWM), za przywrócenie której atakujący zażądał zapłaty okupu, jednak żądanie to zostało stanowczo odrzucone.

2. Działania podjęte przez UMWM:

Bezzwłocznie po stwierdzeniu naruszenia podjęto wszelkie działania mające na celu powstrzymanie naruszenia oraz zminimalizowanie ewentualnych negatywnych skutków dla osób, których dane dotyczą. Powiadomiono także odpowiednie służby, a zaistniała sytuacja została jednocześnie zgłoszona do Prezesa Urzędu Ochrony Danych Osobowych.
UMWM zrealizował działania związane z przywróceniem systemów informatycznych urzędu z kopii zapasowych. Systemy zostały odtworzone i ponownie uruchomione dla pracowników oraz klientów urzędu.

3. Możliwe konsekwencje naruszenia:

Obecnie nie posiadamy żadnych sygnałów o pozyskaniu danych osobowych przez osoby nieuprawnione i dalszym wykorzystaniu tych danych. Nie otrzymaliśmy informacji, aby na skutek ataku dane jakiejkolwiek osoby spośród klientów, kontrahentów czy pracowników UMWM zostały wykorzystane w sposób sprzeczny z interesami tych osób, w tym w celu uzyskania pożyczek, kredytów czy ubezpieczeń.
Na podstawie art. 34 RODO jesteśmy jednak zobowiązani do poinformowania Państwa o zidentyfikowanych, możliwych konsekwencjach naruszenia danych osobowych takich jak:
a. uzyskanie przez osoby trzecie (na szkodę osoby, której dane osobowe naruszono) kredytów w instytucjach pozabankowych - ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób (np. przez Internet lub telefonicznie) bez konieczności okazywania dokumentu tożsamości;
b. uzyskanie przez osoby trzecie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono oraz do jej danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL;
c. skorzystanie przez osoby trzecie z praw obywatelskich osoby, której dane naruszono (np.: do głosowania nad środkami budżetu obywatelskiego) - uniemożliwiałoby to właściwej osobie skorzystanie z przysługującego jej prawa;
d. podjęcie przez osoby trzecie próby wyłudzenia ubezpieczenia (lub środków z ubezpieczenia), co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu;
e. zarejestrowanie przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych;
f. próby zawarcia przez osoby trzecie umów cywilno-prawnych (np. najmu nieruchomości);
g. wykorzystanie danych przez osoby trzecie do ukrycia swojej tożsamości (np. przy otrzymywaniu mandatów).

4. Środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu (co należy zrobić?):

Pomimo braku informacji o nieuprawnionym wykorzystaniu danych w celu zabezpieczenia się przed ewentualnymi negatywnymi skutkami zaistniałego naruszenia zalecamy, aby osoby których dane osobowe mogły ulec naruszeniu, rozważyły podjęcie kroków minimalizujących ryzyko wystąpienia negatywnych konsekwencji i nieuprawnionego wykorzystania danych m.in. poprzez:
a. założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej (na rynku dostępne są systemy, instytucje i przedsiębiorstwa, które oferują usługi pozwalające na monitorowanie swojej aktywności kredytowej. Podajemy przykładowe: Biuro Informacji Kredytowej S.A. strona https://www.bik.pl, Biuro Informacji Gospodarczej InfoMonitor S.A. strona https://big.pl, Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. stron https://krd.pl, Serwis CHRONPESEL strona https://www.chronpesel.pl).
W przypadku stwierdzenia jakichkolwiek nieprawidłowości – zgłoszenie tego faktu organom ścigania;
b. zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu.

5. Gdzie możecie Państwo uzyskać więcej informacji:

W razie dodatkowych pytań lub wątpliwości prosimy o kontakt z Inspektorem Ochrony Danych p. Katarzyną Wojtyłą pod adresem korespondencyjnym: Inspektor Ochrony Danych UMWM, Urząd Marszałkowski Województwa Małopolskiego, ul. Racławicka 56, 30-017 Kraków; za pośrednictwem numer telefonu: 012 63-03-400 lub e-mailem:.

Przepraszamy za wszelkie niedogodności, których doświadczyli Państwo w związku z zaistniałą sytuacją. Służby UMWM dołożyły wszelkich starań aby zminimalizować skutki ataku oraz przywrócić pełną funkcjonalność systemów informatycznych w możliwie najkrótszym czasie.

Niniejszy komunikat opublikowany został również w Biuletynie Informacji Publicznej pod adresem: https://bip.malopolska.pl/umwm,a,1885117,zaktualizowana-informacja-o-naruszeniu-ochrony-danych-osobowych.html

26.10.2021r.