Komunikat o naruszeniu ochrony danych osobowych

Komunikat o naruszeniu ochrony danych osobowych

Uniwersytet Łódzki (Administrator danych osobowych) z siedzibą w Łodzi przy ul. Narutowicza 68, działając na podstawie art. 34 RODO informuje o naruszeniu ochrony danych osobowych, w związku ze zdarzeniem polegającym na nieuprawnionym dostępie do wewnętrznej sieci Wydziału Prawa i Administracji UŁ.

I Charakter naruszenia ochrony danych osobowych

Na skutek cyberataku na infrastrukturę IT Wydziału Prawa i Administracji UŁ (WPiA) doszło w dniu 19.02 br. do zaszyfrowania przez osoby nieuprawnione systemów i danych przetwarzanych w systemach informatycznych WPiA. 

Na zaszyfrowanych zasobach mogły znajdować się dokumenty zawierające dane osobowe następujących kategorii podmiotów danych:

• kandydatów, słuchaczy i absolwentów studiów/studiów podyplomowych realizowanych na WPiA,

• doktorantów i absolwentów studiów doktoranckich/szkół doktorskich realizowanych na WPiA,

• uczestników kolegium doktorskiego WPiA,

• pracowników WPiA,

• osób spoza UŁ zawierających umowy cywilnoprawne i inne (gdzie stroną umowy był WPiA),

• uczestników projektów realizowanych i zrealizowanych na WPiA,

• osób spoza UŁ realizujące staże naukowe na WPiA,

• osób składające na WPiA wniosek o nostryfikacje ich dyplomów. 

II Kategorie danych osobowych

We wspomnianych powyżej dokumentach dotkniętych zaistniałym zdarzeniem znajdowały się w szczególności poniższe dane:

nazwiska, imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, pesel, adres e-mail, nazwa użytkownika, dane dotyczące zarobków, nazwisko rodowe matki, seria i numer dowodu osobistego, numer telefonu, wizerunek, miejsce urodzenia, kierunek ukończonych studiów, obywatelstwo, kraj otrzymania świadectwa dojrzałości, kod NFZ, kod zawodu, oświadczenia związane ze statusem na rynku pracy, wykształcenie, stanowisko służbowe, kod pracownika UŁ, tytuł/stopień naukowy, informacje o zatrudnieniu, dorobek naukowy, numer indeksu.

III Możliwe konsekwencje dla osób, których dane dotyczą

Nieuprawnione wykorzystanie danych jest jedynie prawdopodobne i niepotwierdzone. Jednocześnie informuje, że zdarzenie potencjalnie może pociągnąć za sobą skutki polegające m.in. na:

• założeniu na Pani/Pana dane osobowe konta internetowego (np. w serwisach społecznościowych);

• podszyciu się pod inną osobę lub instytucję w celu wyłudzenia od Pani/Pana dodatkowych informacji (np. danych do logowania);

• otrzymywaniu niezamówionych informacji handlowych lub marketingowych;

• ograniczeniu możliwości korzystania z praw z art. 15-22 RODO;

• uzyskaniu dostępu do korzystania ze świadczeń opieki zdrowotnej przez osoby trzecie;

• wyłudzeniu ubezpieczenia lub środków z ubezpieczenia;

• nieuprawnionym zarejestrowaniu przedpłaconej karty telefonicznej (pre-paid);

• nieuprawnionym uzyskaniu kredytów/pożyczek w instytucjach pozabankowych;

• nieuprawnionym zawarciu umowy o świadczenie usług, np. telewizji kablowej, telefonu, Internetu;

• dyskryminacji, ostracyzmie społecznym oraz naruszeniu Pani/Pana dóbr osobistych w szczególności w związku z naruszeniem poufności danych dotyczących zdrowia.

IV Działania podjęte przez Administratora danych osobowych

Uniwersytet Łódzki podjął natychmiast niezbędne działania techniczne, prawne i organizacyjne mające na celu wyeliminowanie podobnych zdarzeń w przyszłości.

Niezwłocznie po stwierdzeniu naruszenia Uniwersytet Łódzki:

• rozpoczął zabezpieczanie systemów teleinformatycznych, 

• ocenę strat,

• podjął czynności w celu odzyskania kluczowych funkcjonalności i systemów.

Naruszenie zostało zgłoszone przez Uniwersytet Łódzki do:

• Prezesa Urzędu Ochrony Danych Osobowych, 

• Policji,

• CERT NASK.

V Rekomendacje dla osób, których dane mogą być objęte naruszeniem

W celu zminimalizowania ewentualnych negatywnych skutków naruszenia może Pani/Pan również rozważyć podjęcie określonych działań. 

Może Pani/Pan m.in.:

• zmienić hasła do usług elektronicznych, w szczególności do poczty e-mail;

• zachować szczególną ostrożność przy odbieraniu wiadomości e-mail lub poczty tradycyjnej (listów) od nieznanych nadawców;

• monitorować możliwości wycieku danych w postaci adresu e-mail przykładowo poprzez stronę internetową: 

• https://haveibeenpwned.com/ 

• albo https://bezpiecznedane.gov.pl/ 

• zastrzec numer PESEL w rejestrze prowadzonym przez Ministerstwo Cyfryzacji (za pośrednictwem aplikacji mObywatel). Zastrzeżenie PESEL pozwala na zabezpieczenie się przed wykorzystaniem danych osobowych do zaciągania zobowiązań finansowych lub innych oszustw. Więcej informacji o procedurze można znaleźć na stronie internetowej Ministerstwa Cyfryzacji;

• rozważyć założenie konta w systemach informacji kredytowej w celu monitorowania prób zaciągania zobowiązań finansowych;

• monitorować transakcje płatnicze (np. ustawienie powiadomień o płatności w aplikacji płatniczej);

• użyć środków ochrony dóbr osobistych wskazanych w kodeksie cywilnym oraz kodeksie postępowania cywilnego;

• skorzystać ze wsparcia psychologicznego w sytuacjach silnego stresu lub niepokoju.

VI Kontakt w sprawie naruszenia

Inspektor Ochrony Danych UŁ: mgr Grzegorz Tworek

Adres e-mail do kontaktu w sprawie: iod@uni.lodz.pl

Przepraszamy Państwa za zaistniałą sytuację, która może budzić uzasadniony niepokój. Zobowiązujemy się dołożyć wszelkich starań, aby w przyszłości podobne zdarzenia nie miały już miejsca.

Jednocześnie informujemy, że do chwili obecnej nie posiadamy sygnałów o wykorzystaniu Państwa danych osobowych przez osoby nieuprawnione. Nie otrzymaliśmy także informacji, aby na skutek ataku dane jakiejkolwiek osoby dotkniętej tym naruszeniem zostały wykorzystane w sposób sprzeczny z interesami tych osób, w tym w celu uzyskania pożyczek, kredytów czy ubezpieczeń.