Jędrzejów 14 grudnia 2023
Komunikat o potencjalnym naruszeniu ochrony danych osobowych
Administrator Danych Osobowych, jakim jest Powiatowy Urząd Pracy w Jędrzejowie z siedzibą przy ul. Okrzei 49B, działając na podstawie:
- przepisu art. 34 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej „RODO", który stanowi, że jeżeli administrator danych osobowych nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy - biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko - może od niego tego zażądać; oraz
- przepisu art. 34 ust. 3 lit. c RODO, który stanowi, że jeżeli zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych wymagałoby niewspółmiernie dużego wysiłku w takim przypadku wydany zostaje publiczny komunikat; oraz
- skierowanego do nas wystąpienia Prezesa Urzędu Ochrony Danych Osobowych z dnia 15 listopada 2023 r. w sprawie wezwania nas m.in. do zawiadomienia osób, których dane dotyczą o naruszeniu ich danych osobowych
W dniu 23.10.2023 r. doszło do niepożądanego zdarzenia polegającego na trwałym usunięciu wszelkich danych informatycznych z dysków twardych 2 komputerów służbowych, dyski twarde komputerów są bowiem puste. Wstępna analiza incydentu wykazała, iż usunięte pliki prawdopodobnie zawierały dane osobowe m.in. imię, nazwisko osób bezrobotnych, pesel, adres zamieszkania, seria i numer dowodu osobistego oraz organ wydający, datę rejestracji osób w Powiatowym Urzędzie Pracy w Jędrzejowie, nazwy firm, które otrzymały wsparcie z Powiatowego Urzędu Pracy w Jędrzejowie oraz imiona i nazwiska właścicieli firm/osób reprezentujących, numery kont bankowych pracodawców, numer i seria dowodu osobistego oraz organ wydający. Incydent został zgłoszony przez Administratora Danych Osobowych do Urzędu Ochrony Danych Osobowych i do organów ścigania. Administrator Danych Osobowych nie może wykluczyć, iż w wyniku tego incydentu nieznane osoby uzyskały dostęp do Państwa danych osobowych, przez co doszło do naruszenia ochrony danych osobowych.
Chociaż dotychczasowe czynności nie potwierdziły, by Państwa dane zostały wykorzystane w sposób nieuprawniony, jesteśmy zobowiązani do poinformowania Państwa o możliwych konsekwencjach naruszenia ochrony danych osobowych.
W związku z powyższym realizując obowiązek wynikający z treści art. 34 RODO Powiatowy Urząd Pracy w Jędrzejowie informuje, iż istnieje ryzyko nieuprawnionego dostępu do ww. danych osobowych i zapoznania się z ich treścią. Możliwymi konsekwencjami ewentualnego naruszenia ochrony danych osobowych jest nieuprawnione wykorzystanie danych osobowych m.in. w celu:
- uzyskania przez osoby trzecie, na szkodę osoby, której dane naruszono, kredytów w instytucjach pozabankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości;
- uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono oraz do jej danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL;
- korzystania z praw obywatelskich osoby, której dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego – uniemożliwiałoby to właściwej osobie skorzystanie z przysługującego jej prawa;
- wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu.
- założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej (na rynku dostępne są systemy, instytucje i przedsiębiorstwa, które oferują usługi pozwalające na monitorowanie swojej aktywności kredytowej. Podajemy przykładowe: Biuro Informacji Kredytowej S.A. strona https://www.bik.pl, Biuro Informacji Gospodarczej InfoMonitor S.A. strona https://big.pl, Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. stron https://krd.pl, Serwis CHRONPESEL strona https://www.chronpesel.pl ). W przypadku stwierdzenia jakichkolwiek nieprawidłowości – zgłoszenie tego faktu organom ścigania;
- zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu;
- dokonanie samodzielnego zgłoszenia faktu naruszenia danych osobowych właściwym organom w celu zapobieżenia tzw. „kradzieży tożsamości".Podjęcie tych działań ma na celu zabezpieczenie Państwa danych osobowych przed niewłaściwym ich wykorzystaniem.
Administrator Danych Osobowych, aby zapewnić właściwą ochronę danych osobowych oraz w celu niedopuszczenia do zaistnienia podobnych naruszeń danych, planuje wprowadzenie zmian w sferze stosowanych rozwiązań informatycznych, których celem jest zapewnienie wzmocnionej ochrony danych osobowych. Podjęto dodatkowe działania korygujące w postaci podwyższenia zabezpieczeń technicznych i organizacyjnych, mające na celu wyeliminowanie prawdopodobieństwa wystąpienia podobnych incydentów w ochronie danych osobowych. W razie dodatkowych pytań lub wątpliwości prosimy o kontakt z Inspektorem Ochrony Danych Osobowych: Panem Kamilem Drozd, Powiatowy Urząd Pracy w Jędrzejowie, numer telefonu: 41 380 23 61, e-mail: kije@praca.gov.pl.