Generalna Dyrekcja Dróg Krajowych i Autostrad

Na podstawie art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1 oraz Dz. Urz. UE L 127 z 23 maja 2018 r. str. 2), zwane dalej „RODO” Generalny Dyrektor Dróg Krajowych i Autostrad (administrator danych osobowych), informuje, że wskutek niewłaściwej anonimizacji danych osobowych osób, które wyrażały swoje stanowisko wobec planowanej budowy „drogi krajowej klasy GP w ciągu DK 42 i DK9 na odcinku Brody-Opatów wraz z obwodnicą Ostrowca Świętokrzyskiego” doszło do zdarzenia, w wyniku którego Raport ze spotkań informacyjnych zawierający Pani/Pana dane osobowe został zamieszczony na stronie internetowej Oddziału. Realizując obowiązek, jaki na administratora danych nakładają przepisy prawa, przekazujemy poniżej informacje na temat tego zdarzenia, działań, jakie w związku z nim podejmujemy, a także informacje o krokach, które mogą Państwo podjąć, aby zminimalizować ryzyko negatywnych konsekwencji tego zdarzenia.

OPIS ZDARZENIA:

Naruszenie nastąpiło w 2011 r. w momencie zamieszczenia na stronie internetowej Oddziału GDDKiA w Kielcach niezanonimizowanego „Raportu ze spotkań informacyjnych dotyczących koncepcji programowej budowy dwujezdniowej drogi klasy GP w ciągu DK 42 i DK9 na odcinku Brody-Opatów wraz z obwodnicą Ostrowca Świętokrzyskiego”.  Raport zawierał m.in. przesłany do Oddziału przez mieszkańców miejscowości Świrna protest wobec proponowanego wariantu przebiegu ww. drogi, w którym protestujący
z własnej woli wpisali swoje numery PESEL.  W lipcu 2021 r. GDDKiA zaczęła używać nowej strony internetowej, a stara strona Oddziału GDDKiA w Kielcach została oznaczona jako publicznie dostępna strona archiwalna. Po stwierdzeniu przez pracownika Oddziału GDDKiA w Kielcach ww. naruszenia niezwłocznie nastąpiło usunięcie całego raportu ze strony archiwalnej GDDKiA.

MOŻLIWE KONSEKWENCJE:

Zamieszczone dane osobowe mogły zostać pobrane przez osoby nieupoważnione. Konsekwencją tego może być ich nieuprawnione wykorzystanie w kontaktach z firmami
i instytucjami, które zawierają umowy i świadczą usługi na podstawie ograniczonej liczby danych osobowych przekazywanych przez klienta, np. przez Internet lub telefonicznie, i jednocześnie nie dokonują weryfikacji tych danych z dowodem osobistym lub danymi pozyskiwanymi z innych źródeł.  W związku z powyższym istnieje ryzyko, że Państwa dane osobowe zostaną wykorzystane przez osoby trzecie do:

- próby wyłudzenia pożyczki w instytucjach finansowych;

- próby uzyskania dostępu do systemu świadczeń opieki zdrowotnej i zgromadzonych w nich danych o stanie zdrowia;

- próby udziału w Państwa imieniu w głosowaniu nad środkami budżetu obywatelskiego;

- próby wyłudzenia ubezpieczenia lub środków z ubezpieczenia;

- próby zawarcia w Państwa imieniu umów cywilnoprawnych, np. zakupu towarów i usług;

- próby założenia konta na stronie internetowej, forum dyskusyjnym, w sklepie internetowym lub innym tego rodzaju serwisie;

- próby wyłudzenia w oparciu o już posiadane dane dalszych Państwa danych osobowych.

ZABEZPIECZENIE PRZED NEGATYWNYMI KONSEKWENCJAMI:

Aby zabezpieczyć się przed ryzykiem wystąpienia negatywnych konsekwencji, w tym nieuprawnionego wykorzystania Państwa danych, zalecamy ewentualne rozważenie podjęcia następujących kroków:

- założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej (na rynku dostępne są systemy, instytucje
i przedsiębiorstwa, które oferują usługi pozwalające na monitorowanie swojej aktywności kredytowej, np. Biuro Informacji Kredytowej S.A. (https://www.bik.pl), Biuro Informacji Gospodarczej InfoMonitor S.A. (https://big.pl), Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. (https://krd.pl), serwis CHRONPESEL (https://www.chronpesel.pl) - część tego typu usług jest płatna;

- w przypadku stwierdzenia jakichkolwiek nieprawidłowości - zgłoszenie tego faktu organom ścigania;

- zachowanie ostrożności przy potwierdzaniu danych osobowych, zwłaszcza za pośrednictwem Internetu czy telefonu;

- dokładną analizę kierowanych do Pani/Pana komunikatów, zawartych np. w  wiadomościach SMS lub e-mail, by uniknąć np. ataku phishingowego, którego celem może być wyłudzenie dodatkowych danych czy uzyskanie danych dostępowych do internetowych systemów bankowych bądź innych usług, z których Pani/Pan korzysta.

Należy również zauważyć, że coraz więcej firm i instytucji wprowadza procedury bezpieczeństwa, które mają zapobiegać tego rodzaju próbom podszycia się pod inne osoby. Odbywa się to poprzez żądanie okazania przy zawieraniu umowy dokumentu potwierdzającego tożsamość lub weryfikując podawane dane osobowe z innymi Państwa danymi osobowymi, do których mają dostęp.

GDZIE MOGĄ PAŃSTWO UZYSKAĆ WIĘCEJ INFORMACJI ?

Jeżeli mają Państwo jakiekolwiek pytania lub chcieliby Państwo uzyskać dodatkowe informacje w związku z zaistniałym zdarzeniem, prosimy o kontakt z Inspektorem Ochrony Danych wyznaczonym przez GDDKiA:

imię i nazwisko: Błażej Korczak

e-mail: bkorczak@gddkia.gov.pl

tel.: 22 375 88 80 

Niezmiernie nam przykro, że doszło do takiej sytuacji i przepraszamy za wszystkie niedogodności, które mogły albo mogą Państwa spotkać w wyniku zdarzenia. Podjęliśmy starania, aby skutki naruszenia były jak najmniej odczuwalne dla Państwa. Zapewniamy też, że GDDKiA podejmuje wszelkie kroki, w tym wymagane na gruncie przepisów o ochronie danych osobowych, aby podobne zdarzenia nie powtórzyły się w przyszłości.