Zakres danych zawartych w bazie, do której utracono dostęp dot. imienia, nazwiska, danych adresowych, numerów telefonów, adresów poczty elektronicznej oraz informacji o wysokości faktur i ilości zużytej wody. Do naruszenia doszło najprawdopodobniej na skutek przełamania mechanizmów dostępowych do serwera przez osobę trzecią. Obecnie we współpracy z zewnętrznymi specjalistycznymi podmiotami trwają prace nad ustaleniem dokładnych przyczyn powodujących powstanie opisywanego zdarzenia. 

Z analizy systemów wdrożonych w Urzędzie nie odnotowano wzrostu ruchu wychodzącego, co pozwala zakładać, iż Państwa dane nie zostały wytransferowane przez atakującego, a jedynie został zablokowany do nich dostęp. 

Jednak mając na uwadze zaistniałą sytuacje, informuję, iż nieuprawniony dostęp osoby trzeciej do danych dla niej nieprzeznaczonych może, może rodzić skutki w zakresie ingerencji w sferę Pani/ Pana praw i obowiązków. Charakter oraz okoliczności zdarzenia wskazały, że w przedmiotowej sprawie wystąpiło naruszenie ochrony danych, o którym mowa w art. 4 pkt. 12 RODO polegające na możliwości nieuprawnionego ujawnienia danych osobie trzeciej, przy czym ze względu na rodzaj ujawnionych danych, charakter zaistniałego naruszenia oceniono jako wysoki. W związku z powyższym, Administrator zgłosił naruszenie do organu nadzorczego tj. Prezesa Urzędu Ochrony Danych Osobowych. Ustalony – w trakcie przeprowadzonych czynności wyjaśniających – stan faktyczny pozwolił przyjąć, że zaistniałe naruszenie poufności danych osobowych, w szczególności danych dotyczących numeru telefonu, adresu poczty elektronicznej oraz imienia i nazwiska, a także informacji o wysokości faktur, poprzez ich ujawnienie osobie trzeciej, w przypadku złych intencji tejże osoby może rodzić skutki w zakresie ingerencji w sferę Pani/ Pana praw, wolności i obowiązków. 

Powyższe może prowadzić do sytuacji, w których nieuprawnione osoby trzecie – wykorzystując Pani/ Pana dane osobowe – mogą chcieć wykorzystać Pani/ Pana tożsamość celu dokonania czynów zabronionych takich jak chociażby: 

1. Przestępstwo kradzieży tożsamości (stypizowana w art. 190 a § 2 ustawy z dnia 6 czerwca 1997 r Kodeks karny) lub oszustwa (stypizowane w art. 286 ustawy z dnia 6 czerwca 1997 r Kodeks karny) np. 
   1. podszycie się w korespondencji mailowej do innej osoby i nakłonienie do wykonania określonych czynności np. kliknięcia i wejście na zainfekowaną stronę internetową;
   2. stworzenie fałszywego konta w mediach społecznościowych na Pani/ Pana dane
      i w następstwie publikowanie treści które są powszechnie uznawane za obraźliwe; stworzenie fałszywego konta i publikowanie na nim treści nie autoryzowanych przez Pana/ Panią może wpłynąć również na postrzeganie Pani/ Pana w środowisku lokalnym, m.in. na utratę reputacji bądź dobrego imienia. 
2. Możliwą konsekwencją naruszenia ochrony Pani/ Pana danych osobowych może być ponadto zaistnienie ryzyka naruszenia dóbr osobistych (art. 23 i 24 ustawy z dnia 23 kwietnia 1964 r. Kodeksu cywilnego) w wyniku treści publikowanych w mediach społecznościowych z fałszywego konta o którym mowa w powyższym pkt.
3. powstanie uszczerbku fizycznego;
4. powstanie szkód niemajątkowych takich jak utrata kontroli nad własnymi danymi lub ograniczenie praw, dyskryminacja, naruszenie dobrego imienia;
5. wszelkie inne znaczne szkody gospodarcze lub społeczne mogące powstać w przypadku przekazywania nieprawdziwych informacji na temat osoby fizycznej, której dane osobowe ujawniono;
6. negatywne konsekwencje wizerunkowe, czy negatywny odbiór społeczny, który może być konsekwencją upublicznienia danych osobowych w połączeniu z nieprawdziwymi informacjami (plotkami) na temat osoby fizycznej, której dane osobowe ujawniono.

W związku z powyższym Administrator podjął decyzję o zawiadomieniu Pani/ Pana o zaistniałym zdarzeniu w celu możliwości podjęcia przez Panią/ Pana czynności zapobiegawczych. 

Mając na uwadze zminimalizowanie ewentualnych negatywnych skutków naruszenia, o których jest mowa powyżej, w tym zabezpieczenie przed możliwymi konsekwencjami naruszenia ochrony danych wskutek ewentualnej kradzieży tożsamości, bądź popełnienia na szkody szeroko rozumianego przestępstwa oszustwa lub innych czynów zabronionych, Administrator rekomenduje pewne środki zaradcze i wskazuje, że istnieje możliwość:

1. poinformowania członków rodziny (bliższej i dalszej), w tym starszych krewnych oraz znajomych o nieuprawnionym ujawnieniu Pani/Pana danych osobowych, co może skutkować w przyszłości ewentualnym podjęciem wobec nich prób wyłudzenia środków finansowych z powołaniem się na Pani/ Pana osobę, bądź rzekome Pani/ Pana kłopoty oraz zalecenie im ostrożności w przypadku podjęcia wobec nich prób kontaktu przez nieznajome osoby;
2. zachowania ostrożności przy podawaniu, bądź potwierdzaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu;
3. zachowania wyjątkowej ostrożności w przypadku podjęcia wobec Pani/ Pana prób kontaktu przez nieznajome osoby, a także obserwację swojego otoczenia;
4. w przypadku pojawienia się niepokojących sygnałów świadczących o dyskryminacji Pani/ Pana osoby lub rodziny, bądź naruszenia Pani/ Pana dobrego imienia – dokonanie zgłoszenia powyższej okoliczności właściwym organom ścigania – przede wszystkim Policji;
5. w przypadku niepokojących sygnałów o posługiwaniu się Pani/ Pana danymi osobowymi przez nieznane osoby fizyczne, prawne lub inne podmioty lub w sytuacjach, w których zidentyfikuje Pani/ Pana, że w nich nie uczestniczyli – należy dokonać zgłoszenia powyższej okoliczności najbliższej jednostce Policji;
6. w przypadku naruszenia dóbr osobistych przez osoby trzecie – istnieje możliwość dochodzenia roszczeń przed sądami powszechnymi z tytułu naruszenia przepisów art. 23 i art. 24 ustawy z dnia 23 kwietnia 1964 r. Kodeksu cywilnego. 

Podjęcie wyżej wskazanych działań (działań zapobiegawczych) ma na celu zabezpieczenie danych osobowych przed niewłaściwym ich wykorzystaniem również w przyszłości. 

Jednocześnie Administrator wskazuje, że podjął wszelkie możliwe działania mające na celu minimalizację skutków naruszenia, jak również zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, w tym zastosował i wdrożył niżej wskazane środki organizacyjne i techniczne zapewniające ochronę przetwarzanych danych osobowych w celu wyeliminowania podobnych nieprawidłowości w przyszłości, w szczególności: 

Administrator dokonał zgłoszenia naruszenie ochrony danych osobowych do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych, oraz zawiadomienia osób, których dane osobowe zostały naruszone,
Administrator dokonał zgłoszenia incydentu cyberbezpieczeństwa do CERT NASK, który udziela pomocy w ustaleniu powodów wystąpienia naruszenia oraz możliwości ograniczenia jego skutków. 
dokonał wpisu naruszenia do rejestru naruszeń i incydentów prowadzonym przez Administratora,

Administrator informuje, że więcej informacji w przedmiocie naruszenia ochrony danych osobowych może Pani/ Pan uzyskać, kontaktując się z powołanym przez Administratora Inspektorem ochrony danych: 

Urząd Gminy Głusk p. Daniel Koguciuk, dane kontaktowe: tel.: 570 835 991, adres e-mail: inspektor@cbi24.pl.

Gminny Zakład Komunalny Głusk Sp. z o.o. p. Rafał Górny, dane kontaktowe: tel. 517 191 828, adres email: iod@kodrodo.p.

W przypadku chęci uzyskania wyjaśnień ze strony Administratora w związku z zaistniałą sytuacją, uprzejmie proszę kontaktować się z Administratorem danych: 

Urząd Gminy Głusk, Dominów, ul. Rynek 1,20-388 Dominów, tel. 81 751 87 60.

Gminny Zakład Komunalny Głusk Sp. z o.o., Dominów, ul. Rynek 1,20-388 Dominów, tel. 81 759 93 30.