Zawiadomienie o naruszeniu poufności danych osobowych
ZAWIADOMIENIE O NARUSZENIU POUFNOŚCI DANYCH OSOBOWCY Z DNIA 13 MARCA 2023 R.
Szanowni Państwo,
Podkarpacki Zarząd Dróg Wojewódzkich w Rzeszowie (dalej „PZDW”), na podstawie 34 pkt 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej „RODO”) niniejszym informuje o możliwości naruszenia ochrony (naruszenie poufności danych osobowych) Państwa danych osobowych, w związku z incydentem do jakiego doszło w dniu 13 marca 2023 r.
1. OPIS NARUSZENIA
W dniu 13 marca 2023 r. PZDW opublikowało na portalu e-zamowienia.pl dwa ogłoszenia o udzieleniu zamówienia publicznego:
- Przetarg nr 1 – Budowa DW 869 pomiędzy autostradą A4 a DK9 i drogą ekspresową S19 – etap V”. Dokumentacja przetargowa zwierała 11 plików – wypisów uproszczonych z rejestrów gruntów, zawierających dane osobowe;
- Przetarg nr 2 - „Modernizacja podkarpackich dróg wojewódzkich w Bieszczadach – DW894 Polańczyk–Wołkowyja. Zad.Nr1–Rozbudowa DW Nr 894 na odc. w km 11+070–15+000. Zad.Nr2 – Rozbudowa DW Nr 894 na odc. w km 15+000–18+770”. W dokumentacji przetargowej został zamieszczony plik „SWZ WI-3-2023 Modernizacja DW 894 w Bieszczadach” zawierający wypisy uproszczone z rejestru gruntów zawierające dane osobowe.
W dokumentacji przetargowej Przetargu nr 1 i Przetargu nr 2 doszło do zamieszczenia łącznie 12 plików z wypisami uproszczonymi z rejestru gruntów, zawierających dane osobowe. Nieuprawniona osoba poprzez pobranie ze strony internetowej dokumentacji przetargowej zawierającej pliki z danymi osobowymi (wypisy uproszczone z rejestru gruntów) mogła uzyskać dostęp do Państwa danych osobowych, takich jak: imię (imiona) i nazwisko, imiona rodziców, numer księgi wieczystej, numer ewidencyjny działki, miejsce położenia działki, jej powierzchnię, wielkość udziału w prawie własności. Dane osobowe dotyczą właścicieli nieruchomości, przez które będą przebiegać w/w inwestycje.
W dniu 14 marca 2023 r. po powzięciu informacji o naruszeniu dokonano natychmiastowego zablokowania plików z danymi osobowymi w sposób uniemożliwiający ich pobranie.
PZDW informuje, iż istnieje ryzyko nieuprawnionego dostępu do ww. danych osobowych i zapoznania się z ich treścią.
2. MOŻLIWE KONSEKWENCJE NARUSZENIA
Konsekwencją tego naruszenia dla Państwa mogą być:
- naruszenie prawa do prywatności,
- pozyskanie danych osobowych przez nieokreślone osoby (istnieje prawdopodobieństwo, że również do celów przestępczych),
- wykorzystanie danych osobowych do zawierania umów, w tym pożyczek, kredytów w instytucjach pozabankowych (również na odległość) na szkodę osoby której dane dotyczą,
- wykorzystanie danych osobowych do założenia kont na portalach internetowych,
- wykorzystanie danych osobowych do rejestracji kart typu prepaid, w tym do celów przestępczych,
- próby wyłudzenia dodatkowych danych osobowych (np. danych z kart płatniczych, numerów rachunków bankowych),
- uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono oraz do jej danych o stanie zdrowia; często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL;
- wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje (np. próba przypisania odpowiedzialności za czyn niedozwolony).
3. ŚRODKI ZASTOSOWANE W CELU ZARADZENIA NARUSZENIU
Podkarpacki Zarząd Dróg Wojewódzkich w Rzeszowie podjął następujące działania w związku z naruszeniem:
- Niezwłoczne zgłoszono naruszenie naruszenia ochrony danych osobowych Urzędzie Ochrony Danych Osobowych, zgodnie z przepisami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Niezwłocznie zablokowano dostęp do plików zawierających dane osobowe w sposób trwały, uniemożliwiających ich pobranie.
- Wdrożono obowiązująca w PZDW Procedurę Reagowania na Naruszenie Ochrony Danych Osobowych, w tym powołano Zespół Reagowania na Naruszenie Ochrony Danych Osobowych. Zaplanowano czynności związane z przeprowadzeniem audytu wewnętrznego mającego na celu przegląd obowiązujących procedur i polityk z zakresu ochrony danych osobowych oraz wprowadzenie dodatkowych środków organizacyjnych i technicznych, w tym kontroli pracowników w zakresie przetwarzania danych osobowych. Mechanizmy te mają na celu dodatkowe zabezpieczenie danych osobowych przed wystąpieniem w przyszłości ewentualnych naruszeń danych osobowych.
- Do Pracowników Podkarpackiego Zarządu Dróg Wojewódzkich wystosowano informacje przypominającą o konieczności stosowania obowiązujących w PZDW polityk z zakresu ochrony danych osobowych, bezwzględnym obowiązku ochrony danych osobowych oraz o konieczności zachowania szczególnej staranności przy przetwarzaniu danych osobowych
- PZDW stale monitoruje wpływ ewentualnych sygnałów od osób trzecich o naruszeniu danych osobowych związanym z zamieszczeniem w dokumentacji przetargowej plików z danymi osobowymi.
4. MOŻLIWE DZIAŁANIA W CELU DODATKOWEGO ZABEZPIECZENIA SIĘ PRZED NEGATYWNYMI KONSEKWENCJAMI NARUSZENIA
W celu dodatkowego zabezpieczenia przed negatywnymi konsekwencjami opisanymi w pkt 2) niniejszego Komunikatu, mogą Państwo podjąć następujące działania:
- Zachować ostrożność podczas rozmów telefonicznych z nieznanymi numerami.
- Ignorować prośby od nieznanych nadawców o podanie dodatkowych danych.
- Dokonać założenia konta w systemie informacji kredytowej i gospodarczej celem dodatkowego zabezpieczenia swoich danych przed nieuprawnionym wykorzystaniem oraz celem monitorowania swojej aktywności kredytowej (przykładowe systemy informacji kredytowej i gospodarczej: Biuro Informacji Kredytowej S.A. - strona: https://www.bik.pl, Biuro Informacji Gospodarczej InfoMonitor S.A. - strona: https://big.pl, Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. - strona: https://krd.pl).
- Poinformować PZDW lub właściwe organy ścigania (policja, prokuratura) o nieuprawnionym wykorzystaniu Państwa danych.
5. KONTAKT W SPRAWIE BARDZIEJ SZCZEGÓŁOWYCH INFORMACJI
W celu uzyskania szerszych informacji o zaistniałym naruszeniu lub wyjaśnieniu jakichkolwiek wątpliwości prosimy o kontakt z Inspektorem Ochrony Danych – panem Jakubem Baraniewskim, adres e-mail: bok@baraniewski.pl, tel. 604 578 999