Ponowne zawiadomienie o naruszeniu ochrony danych osobowych

Uniwersytet Łódzki (UŁ) w dniu 24.02.2025 r. przekazał do Państwa mailowo komunikat informujący o naruszeniu ochrony danych osobowych. Komunikat ten pojawił się także na stronie Wydziału Prawa i Administracji UŁ. W dniu 15 maja 2026 r. Uniwersytet otrzymał od Prezesa Urzędu Ochrony Danych Osobowych (UODO) Wystąpienie (nr DKN.5130.337.2025.IŁ. z dnia 15 maja 2026 r.). W piśmie tym Prezes UODO zwrócił się do UŁ z prośbą o podjęcie stosownych działań mających na celu przekazanie osobom dotkniętym zdarzeniem (naruszeniem ochrony danych osobowych), jakie miało miejsce na Uczelni:

• „[…] szczegółowych informacji dotyczących opisu możliwych konsekwencji naruszenia ochrony danych osobowych”

• oraz “[…] szczegółowych informacji dotyczących opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym w stosownych przypadkach – środków w celu zminimalizowania jego ewentualnych negatywnych skutków”. 

Poniżej przekazujemy Państwu ponownie zawiadomienie o naruszeniu ochrony danych osobowych uzupełniony o treści wskazane w piśmie Prezesa UODO (oznaczono je czerwoną czcionką).

Zawiadomienie o naruszeniu ochrony danych osobowych

Uniwersytet Łódzki (Administrator danych osobowych) z siedzibą w Łodzi przy ul. Narutowicza 68, działając na podstawie art. 34 RODO informuje o naruszeniu ochrony danych osobowych, w związku ze zdarzeniem polegającym na nieuprawnionym dostępie do wewnętrznej sieci Wydziału Prawa i Administracji UŁ.

I Charakter naruszenia ochrony danych osobowych

Na skutek zaistniałego zdarzenia doszło do zaszyfrowania przez osoby nieuprawnione katalogów należących do Zespołu ds. Projektów Wydziału Prawa i Administracji UŁ umiejscowionych na serwerach tego wydziału. 

W tych katalogach znajdowały się dokumenty dotyczące spraw: studiów podyplomowych, realizowanych i zrealizowanych projektów/grantów, programu Erasmus, Learning agreement oraz Staff Mobility prowadzonych przez Zespół ds. Projektów Wydziału Prawa i Administracji UŁ.

II Kategorie danych osobowych

We wspomnianych powyżej dokumentach dotkniętych zaistniałym zdarzeniem znajdowały się w szczególności poniższe dane:

nazwiska, imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, pesel, adres e-mail, nazwa użytkownika, dane dotyczące zarobków, nazwisko rodowe matki, seria i numer dowodu osobistego, numer telefonu, wizerunek, miejsce urodzenia, kierunek ukończonych studiów, obywatelstwo, kraj otrzymania świadectwa dojrzałości, kod NFZ, kod zawodu, oświadczenia związane ze statusem na rynku pracy, wykształcenie, stanowisko służbowe, kod pracownika UŁ, tytuł/stopień naukowy, informacje o zatrudnieniu, dorobek naukowy, numer indeksu.

III Możliwe konsekwencje dla osób, których dane dotyczą

Nieuprawnione wykorzystanie danych jest jedynie prawdopodobne i niepotwierdzone. Jednocześnie informuję, że zdarzenie potencjalnie może pociągnąć za sobą skutki polegające m.in. na:

• założeniu na Pani/Pana dane osobowe konta internetowego (np. w serwisach społecznościowych); 

• podszyciu się pod inną osobę lub instytucję w celu wyłudzenia od Pani/Pana dodatkowych informacji (np. danych do logowania);

• otrzymywaniu niezamówionych informacji handlowych lub marketingowych;

• ograniczeniu możliwości korzystania z praw z art. 15-22 RODO;

• uzyskaniu dostępu do korzystania ze świadczeń opieki zdrowotnej przez osoby trzecie;

• wyłudzeniu ubezpieczenia lub środków z ubezpieczenia;

• nieuprawnionym zarejestrowaniu przedpłaconej karty telefonicznej (pre-paid);

• nieuprawnionym uzyskaniu kredytów/pożyczek w instytucjach pozabankowych;

• nieuprawnionym zawarciu umowy o świadczenie usług, np. telewizji kablowej, telefonu, Internetu;

• dyskryminacji, ostracyzmie społecznym oraz naruszeniu Pani/Pana dóbr osobistych w szczególności w związku z naruszeniem poufności danych dotyczących zdrowia.

   

IV Działania podjęte przez Administratora danych osobowych

Uniwersytet Łódzki w celu zminimalizowania ewentualnych negatywnych skutków naruszenia podjął natychmiast niezbędne działania m.in. niezwłocznie wyłączył serwery Wydziału Prawa i Administracji UŁ dotknięte zdarzeniem oraz zablokował wyjścia wydziałowej sieci do Internetu.

Informujemy również, że Uczelnia dokonała zgłoszenia ww. naruszenia Prezesowi Urzędu Ochrony Danych Osobowych.

V Rekomendacje dla osób, których dane mogą być objęte naruszeniem

W celu zminimalizowania ewentualnych negatywnych skutków naruszenia może Pani/Pan również rozważyć podjęcie określonych działań.

Może Pani/Pan m.in.:

• zmienić hasła do usług elektronicznych, w szczególności do poczty e-mail;

• zachować szczególną ostrożność przy odbieraniu wiadomości e-mail lub poczty tradycyjnej (listów) od nieznanych nadawców;

• monitorować możliwości wycieku danych w postaci adresu e-mail przykładowo poprzez stronę internetową:

  • https://haveibeenpwned.com/
  • albo https://bezpiecznedane.gov.pl/

• zastrzec numer PESEL w rejestrze prowadzonym przez Ministerstwo Cyfryzacji (za pośrednictwem aplikacji mObywatel). Zastrzeżenie PESEL pozwala na zabezpieczenie się przed wykorzystaniem danych osobowych do zaciągania zobowiązań finansowych lub innych oszustw. Więcej informacji o procedurze można znaleźć na stronie internetowej Ministerstwa Cyfryzacji;

• rozważyć założenie konta w systemach informacji kredytowej w celu monitorowania prób zaciągania zobowiązań finansowych;

• monitorować transakcje płatnicze (np. ustawienie powiadomień o płatności w aplikacji płatniczej);

• użyć środków ochrony dóbr osobistych wskazanych w kodeksie cywilnym oraz kodeksie postępowania cywilnego;

• skorzystać ze wsparcia psychologicznego w sytuacjach silnego stresu lub niepokoju.

VI Kontakt w sprawie naruszenia

Inspektor Ochrony Danych UŁ: mgr Grzegorz Tworek

Adres e-mail do kontaktu w sprawie:iod@uni.lodz.pl

Przepraszamy Państwa za zaistniałą sytuację, która może budzić uzasadniony niepokój. Zobowiązujemy się dołożyć wszelkich starań, aby w przyszłości podobne zdarzenia nie miały już miejsca.

Jednocześnie informujemy, że do chwili obecnej nie posiadamy sygnałów o wykorzystaniu Państwa danych osobowych przez osoby nieuprawnione. Nie otrzymaliśmy także informacji, aby na skutek ataku dane jakiejkolwiek osoby dotkniętej tym naruszeniem zostały wykorzystane w sposób sprzeczny z interesami tych osób, w tym w celu uzyskania pożyczek, kredytów czy ubezpieczeń.