Generalna Dyrekcja
Ochrony Środowiska

 

Najważniejsze informacje dotyczące naruszenia:

1.    Charakter naruszenia ochrony danych osobowych
Zaistniałe naruszenie polega na naruszeniu poufności danych osobowych przetwarzanych za pośrednictwem naszych systemów informatycznych, a w szczególności za pośrednictwem poczty elektronicznej przez jednego z pracowników, który skopiował dane na swoją prywatną chmurę. Według dostępnych nam informacji, skopiowanych zostało 8 skrzynek email, a wyżej wymienione dane nie zostały udostępnione innym podmiotom, jak też nie zostały wykorzystane przez wspomnianego sprawcę w inny sposób. Niezwłocznie po zidentyfikowaniu naruszenia podjęto niezbędne działania celem jego eliminacji i ograniczeniu jego skutków.

2.    Charakter danych osobowych
Wśród danych osobowych, których dotyczy naruszenie znajdowały się wszelkie dane przetwarzane przez nas za pośrednictwem poczty elektronicznej, to jest dane zawarte w przesyłanych do nas oraz wysyłanych przez nas wiadomościach. Z obecnych analiz wynika, że wśród tych danych mogły znajdować się dane szczególnych kategorii. 
Ponadto wśród danych osobowych, których objęło naruszenie mogą być także inne dane zgromadzone na naszych serwerach między innymi w zakresie kadr, umów, aneksów do umów, faktur.

3.    Dane kontaktowe w sprawie naruszenia
W przypadku pytań związanych z naruszeniem można skontaktować się z inspektorem ochrony danych pod adresem e-mail: inspektor.ochrony.danych@gdos.gov.pl, a także z administratorem danych pod numerem telefonu 22 310 67 00, adresem e-mail: kancelaria@gdos.gov.pl, korespondencyjnie: Al. Jerozolimskie 136, 02-305 Warszawa.

4.    Opis możliwych konsekwencji naruszenia ochrony danych
Wskazane wyżej zdarzenie generuje pewne ryzyka z perspektywy praw osób fizycznych. W naszej ocenie ryzyka te dotyczą możliwego naruszenia dóbr osobistych, naruszenia prywatności, naruszenia swobody do decydowania o ujawnieniu swoich danych osobowych. Zagrożenia te mogą urzeczywistnić się w:
1)    atakach phishingowych (wyłudzenie informacji),
2)    zwiększonej ilości otrzymywanego spamu, wiadomości sms czy telefonów z ofertami marketingowymi,
3)    podszywaniu się pod Pana/Panią (kradzież tożsamości, oszustwo tożsamościowe).

5.    Opis środków zastosowanych przez administratora lub proponowanych do zastosowania przez  w celu zaradzenia potencjalnym skutkom naruszenia
Jako administrator danych niezwłocznie, po wykryciu naruszenia, zawiadomiliśmy o nim organy ścigania oraz CERT (Computer Emergency Response Team), podejmując z nimi pełną współprace i przekazując im niezbędne informacje. Niezwłocznie dokonaliśmy również analizy skopiowanych skrzynek e-mail oraz logów systemowych, aby precyzyjnie określić zakres danych, których mogło dotyczyć naruszenie. Powiadomiliśmy też o naruszeniu Prezesa Urzędu Ochrony Danych Osobowych.

Z uwagi na wskazane wyżej ryzyka zalecamy:
1)    wzmożoną ostrożność w zakresie otrzymywanych wiadomości e-mail, pod kątem możliwego ataku phishingowego – nieklikanie w podejrzane linki, nieotwieranie podejrzanych załączników,
2)    utworzenie konta – alertu BIK (BIK - Biuro Informacji Kredytowej), który pozwoli monitorować wszelkie zapytania kredytowe i zminimalizować ryzyko zaciągnięcia zobowiązania kredytowego,
3)    ostrożność w kontaktach telefonicznych ze strony banków lub innych instytucji finansowych/ubezpieczeniowych. 

Jednocześnie prosimy o informowanie Generalnej Dyrekcji Ochrony Środowiska o wszelkich działaniach, które w Państwa ocenie mogą być związane z naruszeniem ochrony danych. Przekazanie takich informacji pozwoli nam podjąć dodatkowe czynności w celu zminimalizowania wystąpienia negatywnych skutków naruszenia.

Informujemy, że dokładamy wszelkich starań w trosce o bezpieczeństwo danych osobowych. Kierujemy się polityką zero tolerancji dla wszelkich sprawców takich naruszeń. Postępowanie w sprawie wyżej wymienionego incydentu jest w dalszym ciągu prowadzone, co powoduje, że ta informacja może podlegać aktualizacji, o czym będziemy informować.