W celu świadczenia usług na najwyższym poziomie stosujemy pliki cookies. Korzystanie z naszej witryny oznacza, że będą one zamieszczane w Państwa urządzeniu. W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki. Zobacz politykę cookies.

Generalna Dyrekcja
Ochrony Środowiska

Powrót

Naruszenie ochrony danych osobowych

14.08.2023

Z przykrością informujemy, że w Generalnej Dyrekcji Ochrony Środowiska doszło do naruszenia ochrony danych osobowych. Przekazujemy szczegółowe informacje w tej sprawie.

Na białym tle logo: zielony listek i napis Generalna Dyrekcja Ochrony Środowiska, oddzielone zieloną kreską poziomą od szarego napisu komunikat.
  1. Charakter naruszenia ochrony danych osobowych:

Naruszenie ochrony danych osobowych zostało stwierdzone w kwietniu 2023 roku, a jego zakres, w odniesieniu do przedmiotu zawiadomienia, został ostatecznie ustalony w lipcu 2023 r. Nasz pracownik, przekraczając swoje uprawnienia i wykorzystując dostęp do danych osobowych przetwarzanych za pomocą 8 skrzynek poczty elektronicznej, skopiował je na swoją prywatną chmurę. Na skutek tego zdarzenia doszło do naruszenia poufności danych osobowych. Według dostępnych informacji ww. pracownik skopiował dane osobowe, ale nie wykorzystał ich w inny sposób ani nie przekazał ich podmiotom trzecim. Niezwłocznie po zidentyfikowaniu naruszenia administrator danych podjął niezbędne działania celem jego eliminacji i ograniczenia jego skutków.

  1. Charakter danych osobowych dotkniętych naruszeniem ochrony danych osobowych:

Wśród danych osobowych dotkniętych ww. naruszeniem znajdowały się dane przetwarzane przez nas za pomocą poczty elektronicznej – w zakresie 8 skrzynek. W skład tych danych osobowych wchodzą: imiona i nazwiska, daty urodzenia, miejsce pracy, stanowisko pracy, wykształcenie, numer telefonu, adres e-mail, numer faxu, adres zamieszkania, adres do korespondencji, przebieg zatrudnienia, wysokość wynagrodzenia, PESEL, numer dowodu osobistego, stan cywilny, a także informacje o korzystaniu z urlopów i uprawnień macierzyńskich i ojcowskich, informacje o stanie zdrowia, a także dane o członkach rodziny, w tym o ich stanie zdrowia.

  1. Dane kontaktowe w sprawie naruszenia ochrony danych osobowych

W przypadku pytań związanych z naruszeniem mogą Państwo skontaktować się z inspektorem ochrony danych – Michałem Zadrozińskim, pod adresem e-mail: inspektor.ochrony.danych@gdos.gov.pl, a także z administratorem danych: Generalna Dyrekcja Ochrony Środowiska, Al. Jerozolimskie 136, 02-305 Warszawa, adres e-mail: kancelaria@gdos.gov.pl, tel. 22 310 67 00.

  1. Opis możliwych konsekwencji naruszenia ochrony danych osobowych:

Opisane naruszenie ochrony danych generuje pewne ryzyka dla Państwa praw lub wolności. Wśród identyfikowanych przez nas zagrożeń występuje:

  1. ryzyko nieautoryzowanego zaciągnięcia zobowiązań finansowych w instytucjach pozabankowych na podstawie Państwa danych osobowych,
  2. ryzyko naruszenia Państwa dóbr osobistych przez podszywanie się pod Państwa z wykorzystaniem wskazanych wyżej danych osobowych objętych naruszeniem, np. przez założenie fałszywych profili w mediach społecznościowych,
  3. narażenie Państwa na wzmożone ataki phishingowe zmierzające do wyłudzenia Państwa danych osobowych, celem ich dalszego wykorzystania bez Państwa wiedzy i zgody,
  4. zwiększenie ilości przesyłanego na Państwa adresy e-mail oraz numery telefonu SPAM-u oraz niechcianych wiadomości marketingowych,
  5. dyskryminacja ze względu na ujawnione informacje dotyczące stanu zdrowia, wieku lub warunków zatrudnienia,
  6. dalsze upublicznienie dalszych, w tym upublicznienie ich na portalach społecznościowych,
  7. zagrożenie nękaniem lub szantażem przy wykorzystaniu wskazanych danych, np. przez dzwonienie na objęty naruszeniem numer telefonu przez nieznane osoby.
  1. Opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych

Niezwłocznie po wykryciu naruszenia ochrony danych osobowych odcięliśmy dostępy pracownikowi, który takiego naruszenia się dopuścił. Osoba ta nie jest już pracownikiem Generalnej Dyrekcji Ochrony Środowiska. Zawiadomiliśmy również organy ścigania oraz CERT (Computer Emergency Response Team), podejmując z nimi pełną współprace i przekazując im niezbędne informacje. Dokonaliśmy też analizy skopiowanych skrzynek e-mail, aby precyzyjnie określić zakres danych osobowych, których mogło dotyczyć ww. naruszenie. O zdarzeniu poinformowaliśmy też Prezesa Urzędu Ochrony Danych Osobowych. Wystąpiliśmy do firmy administrującej zasobami chmurowymi pracownika, który dopuścił się naruszenia, o zablokowanie usługi oraz znajdujących się na tzw. chmurze danych. Z informacji uzyskanych od organów ścigania wynika, że z analogicznym wnioskiem wystąpiły również organy prowadzące postępowanie karne. Dodatkowo prowadzone są działania mające na celu zwiększenie bezpieczeństwa danych i oraz możliwości dostępu do danych w infrastrukturze informatycznej Generalnej Dyrekcji Ochrony Środowiska.

Jednocześnie rekomendujemy Państwu podjęcie następujących działań minimalizujących wystąpienie zagrożeń związanych z powstałym naruszeniem:

  1. wzmożoną ostrożność w zakresie otrzymywanych wiadomości e-mail oraz wiadomości SMS/MMS, pod kątem możliwego ataku phishingowego, poprzez nieklikanie w podejrzane linki i nieotwieranie podejrzanych załączników, a także informowanie o takich wiadomościach CERT NASK - https://incydent.cert.pl/,
  2. utworzenie konta użytkownika w Biurze Informacji Kredytowej i wykupienie usługi alertu BIK, który pozwoli Państwu monitorować zapytania kredytowe od instytucji bankowych oraz pozabankowych, a także podjąć niezwłoczny kontakt z taką instytucją w razie uzyskania alertu o nieautoryzowanej próbie zaciągnięcia zobowiązania na Państwa dane osobowe,
  3. zachowanie ostrożności w kontakcie telefonicznym ze strony banków lub innych instytucji finansowych, poprzez weryfikowanie rozmówcy np. przez rozłączenie się i oddzwonienie pod numer, z którego dzwonił,
  4. zachowanie ostrożności przy korzystaniu z mediów społecznościowych, w tym przy odbieraniu drogą wiadomości prywatnych zawierających linki, a także zwracanie uwagi na profile, które wykorzystują Państwa dane osobowe, a w razie zidentyfikowania takiego profilu zgłaszanie go administratorowi portalu,
  5. w razie stwierdzenia naruszenia Państwa dóbr osobistych przez wykorzystanie danych osobowych, które zostały objęte ww. naruszeniem, rekomendujemy wykorzystanie środków ochrony dóbr osobistych przewidzianych w przepisach Kodeksu cywilnego,
  6. w razie stwierdzenia podszywania się pod Państwa rekomendujemy zawiadomienie organów ścigania (Policji lub prokuratora) o możliwości popełnienia przestępstwa.

Jednocześnie prosimy o informowanie Generalnej Dyrekcji Ochrony Środowiska na dane wskazane w punkcie 3 o wszelkich działaniach, które w Państwa ocenie mogą być związane z ww. naruszeniem ochrony danych. Pozwoli nam to na bieżące podejmowanie działań minimalizujących wystąpienie negatywnych skutków naruszenia, a także udzielenie Państwu odpowiedniego wsparcia w tym zakresie.

Informujemy również, że dokładany wszelkich starań w trosce o bezpieczeństwo danych osobowych. Kierujemy się polityką zero tolerancji dla sprawców takich naruszeń. Postępowanie w sprawie ww. incydentu jest nadal prowadzone, co powoduje, że niniejsza informacja może ulegać aktualizacji.

{"register":{"columns":[]}}