Bartoszyce, dnia 30 stycznia 2025 r.
Zawiadomienie o naruszeniu ochrony danych osobowych
Powiatowy Urząd Pracy w Bartoszycach, pomimo zabezpieczeń i procedur mających na celu ochronę danych osobowych, padł ofiarą ataku hakerskiego RansomHub.
Zgodnie z przepisami prawa art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE zwanej RODO, mamy obowiązek poinformować o możliwości naruszenia ochrony Pani/Pana danych osobowych.
Podstawowe systemy dziedzinowe urzędu nie zostały dotknięte atakiem. Nie stwierdzono naruszenia integralności danych.
Atak na serwery Powiatowego Urzędu Pracy w Bartoszycach i zaszyfrowanie baz danych przy wykorzystaniu oprogramowania typu ransomware stwierdzono 27.01.2025 r. Są to działania o charakterze przestępczym, które zgłoszono niezwłocznie do: Krajowego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego, Policji i Urzędu Ochrony Danych Osobowych.
W konsekwencji zdarzenia istnieje możliwość nieuprawnionego pozyskania danych przez osoby trzecie. Atakujący mogli uzyskać nieuprawniony dostęp do niektórych spośród danych osobowych przetwarzanych przez urząd, takich jak: nazwisko i imię, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, adres e-mail, dane dotyczące zarobków i/lub posiadanego majątku, seria i numer dowodu osobistego, numer telefonu.
Celem zapewnienia standardu bezpieczeństwa danych osobowych w Powiatowym Urzędzie Pracy w Bartoszycach podjęto natychmiastowe czynności:
- niezwłocznie odłączono zainfekowane systemy od sieci
- trwają prace odtworzeniowe z posiadanych kopii
Dysponując wskazanymi wyżej danymi, osoba nieuprawniona może podejmować działania niezgodne z prawe, tj. może:
- usiłować uzyskać pożyczki w instytucjach poza bankowych np. przez Internet lub telefonicznie
- próbować zawierać umowy cywilno-prawne
- wyłudzać odszkodowania
- zakładać konta na stronach internetowych, forach i sklepach, gdzie brak jest weryfikacji zwrotnej za pomocą e-maili lub numeru telefonu
- usiłować uzyskać dostęp do systemów obsługujących udzielanie świadczeń medycznych
i wgląd do historii o stanie zdrowia.
Rekomendujemy działania w celu przeciwdziałania możliwym negatywnym skutkom cyberataku związanym z bezprawnym wykorzystaniem Państwa danych:
- zastrzeżenie numeru PESEL w dowolnym Urzędzie Gminy lub przez Internet przy użyciu profilu zaufanego, podpisu kwalifikowanego, e-dowodu, aplikacji m-obywatel lub danych
do logowania do bankowości elektronicznej, na stronie: https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie - założenie konta w systemie informacji kredytowej, w celu otrzymywania powiadomień
o każdej próbie uzyskania pożyczki na Pani/Pana nazwisko np. BIK: https://www.bik.pl/klienci-indywidualni/alerty-bik lub https://chronpesel.pl - w przypadku podejrzenia, że padło się ofiarą przestępstwa, niezwłoczne zawiadomienie Policji oraz powiadomienie podmiotów używających tych danych np. banki, pożyczkodawcy, sieci telekomunikacyjne
- zbierać i zachowywać dowody wszelkich formalnych czynności w podejrzanych sytuacjach, by móc je wykorzystać podczas ewentualnego procesu sądowego
- zachować szczególną ostrożność w przypadku otrzymywania niespodziewanych e-maili, wiadomości tekstowych, a w szczególności od nieznanych nadawców
- odbierania połączeń od nieznanych numerów, a w szczególności gdy dotyczą one przekazywania danych „w celach weryfikacyjnych" - nawet jeśli rozmówca podaje aktualne dane, ponieważ może to być próba wyłudzenia dodatkowych informacji
- systematyczne weryfikowanie danych i informacji dostępnych w portalu pracjent.gov.pl oraz aplikacji mObywatel,
W przypadku urzeczywistnienia się negatywnych skutków naruszenia w postaci szykan lub dyskryminacji ze względu na stan zdrowia można korzystać ze środków ochrony dóbr osobistych wskazanych w przepisach ustawy z dnia 23 kwietnia 1964 r. – Kodeks Cywilny i/lub ustawy z dnia 17 listopada 1964 r. - Kodeks Postępowania Cywilnego.
Kontakt do Inspektora Ochrony Danych w Powiatowym Urzędzie Pracy w Bartoszycach: Hanna Nowosielska, e-mail: rodo@pupbartoszyce.pl