Informujemy, że 10 grudnia 2025 r. otrzymaliśmy informację, że doszło do naruszenia ochrony danych osobowych. Niniejsze powiadomienie ma na celu wyjaśnienie charakteru zdarzenia, potencjalnych konsekwencji oraz przedstawienie działań podjętych przez Urząd Zamówień Publicznych oraz Krajową Izbę Odwoławczą, (dalej razem jako „Urząd” lub „My”) i zaleceń dotyczących ochrony Państwa danych.

1. Charakter naruszenia

W systemie poczty elektronicznej Urzędu poprzez celowe i szkodliwe działanie cyberprzestępcy doszło do uzyskania dostępu do skrzynek e-mail pracowników Urzędu. Ustalenia techniczne wskazują na możliwość pobrania zawartych w niej wiadomości.

W skrzynkach tych znajdowała się korespondencja zawierająca dane osobowe. W zależności od charakteru prowadzonych spraw mogłyby się w niej znajdować różne kategorie danych, w tym dane identyfikacyjne i kontaktowe, informacje finansowe, a także inne dane przekazywane Urzędowi w ramach realizowanych zadań, np. w związku z kontrolami, skargami, wnioskami, postępowaniami odwoławczymi czy sprawami organizacyjnymi.

Na tę chwilę, Urząd nie ma informacji, by dane te zostały udostępnione do wiadomości publicznej. Niemniej, by temu zapobiec i ograniczyć skutki naruszenia, ściśle współpracujemy z właściwymi organami.

2. Możliwe konsekwencje naruszenia

W zależności od przekazanych przez Państwa danych, możliwe konsekwencje to:

• utrata kontroli nad własnymi danymi osobowymi;
• próby podszycia się pod Państwa tożsamość w celu uzyskania korzyści finansowych (np. zaciąganie pożyczek w instytucjach pozabankowych),
• próby uzyskania przez osoby trzecie dostępu do świadczeń opieki zdrowotnej (często do uzyskania pomocy lekarskiej wystarczy podanie numeru PESEL) lub uzyskania wglądu do danych;
• próby wyłudzania przez osoby trzecie informacji finansowych (często weryfikacja jest prowadzona jedynie przez podanie numeru PESEL);
• próby uzyskania dostępu do usług lub serwisów internetowych, w których stosowane jest potwierdzanie tożsamości za pomocą danych osobowych (np. PESEL, adres e-mail),
• podejmowanie działań w Państwa imieniu, takich jak zakładanie kont w serwisach internetowych, rejestrowanie kart prepaid;
• podszycie się pod inną osobę lub instytucję w celu wyłudzenia od Państwa dodatkowych określonych informacji (np. danych do logowania, szczegółów karty kredytowej);
• wykonywanie innych czynności mogących wywołać skutki prawne, np. próby zawierania na Państwa szkodę umów cywilnoprawnych (np. najmu nieruchomości);
• próby wyłudzeń, oszustw lub tzw. ataków socjotechnicznych (phishing),
• próby wykorzystania informacji zawartych w Państwa korespondencji e-mail.

3. Środki zastosowane przez UZP

Po wykryciu incydentu, niezwłocznie podjęliśmy działania by zdarzenie wyjaśnić, wdrożyć zabezpieczenia, które ograniczą skutki naruszenia oraz zapobiegną podobnym zdarzeniom w przyszłości. W ciągu pierwszej doby:

• zgłosiliśmy incydent zgodnie z ustawą o Krajowym Systemie Cyberbezpieczeństwa
• usunęliśmy nieuprawniony dostęp i poświadczenia,
• wymusiliśmy zmianę haseł i odcięliśmy potencjalne kanały dostępu,
• zweryfikowaliśmy uprawnienia w systemach chmurowych i prowadzimy działania naprawcze w konfiguracji środowiska,
• wszczęliśmy wewnętrzne postępowania wyjaśniające,
• zgłosiliśmy naruszenie do Prezesa Urzędu Ochrony Danych Osobowych.

4. Działania, które możecie Państwo wykonać już teraz:

W celu zminimalizowania ryzyka wykorzystania Państwa danych przez osoby nieuprawnione rekomendujemy:

• zmianę hasła do konta e-mail, z którego się Państwo z Nami kontaktowali,
• zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu lub telefonu,
• zachowanie szczególnej ostrożności wobec nieoczekiwanych wiadomości e-mail i telefonów,
• nieotwieranie podejrzanych linków ani załączników,
• monitorowanie aktywności na rachunkach bankowych oraz w usługach elektronicznych,
• rozważenie założenia konta w systemie informacji kredytowej lub gospodarczej,
• rozważenie zastrzeżenia numeru PESEL w usłudze: https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie, lub aplikacji mObywatel,
• jak najszybsze poinformowanie właściwego podmiotu o każdej próbie wykorzystania Państwa danych w sposób nieuprawniony.

5. Kontakt

Jeżeli mają Państwo pytania lub chcą przekazać dodatkowe informacje związane z naruszeniem, prosimy o kontakt z Naszymi Inspektorkami Ochrony Danych:

Natalią Bender i/lub Małgorzatą Przewalską

Adres e-mail: iod.kio@uzp.gov.pl

Listownie: na adres: Urząd Zamówień Publicznych, ul. Postępu 17A, 02-676 Warszawa.