I Charakter naruszenia ochrony danych osobowych
Na skutek cyberataku na infrastruktur臋 IT Wydzia艂u Prawa i Administracji U艁 (WPiA) dosz艂o w dniu 19.02 br. do zaszyfrowania przez osoby nieuprawnione system贸w i danych przetwarzanych w systemach informatycznych WPiA.
Na zaszyfrowanych zasobach mog艂y znajdowa膰 si臋 dokumenty zawieraj膮ce dane osobowe nast臋puj膮cych kategorii podmiot贸w danych:
- kandydat贸w, s艂uchaczy i absolwent贸w studi贸w/studi贸w podyplomowych realizowanych na WPiA,
- doktorant贸w i absolwent贸w studi贸w doktoranckich/szk贸艂 doktorskich realizowanych na WPiA,
- uczestnik贸w kolegium doktorskiego WPiA,
- pracownik贸w WPiA,
- os贸b spoza U艁 zawieraj膮cych umowy cywilnoprawne i inne (gdzie stron膮 umowy by艂 WPiA),
- uczestnik贸w projekt贸w realizowanych i zrealizowanych na WPiA,
- os贸b spoza U艁 realizuj膮ce sta偶e naukowe na WPiA,
- os贸b sk艂adaj膮ce na WPiA wniosek o nostryfikacje ich dyplom贸w.
II Kategorie danych osobowych
We wspomnianych powy偶ej dokumentach dotkni臋tych zaistnia艂ym zdarzeniem znajdowa艂y si臋 w szczeg贸lno艣ci poni偶sze dane:
nazwiska, imiona, imiona rodzic贸w, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, pesel, adres e-mail, nazwa u偶ytkownika, dane dotycz膮ce zarobk贸w, nazwisko rodowe matki, seria i numer dowodu osobistego, numer telefonu, wizerunek, miejsce urodzenia, kierunek uko艅czonych studi贸w, obywatelstwo, kraj otrzymania 艣wiadectwa dojrza艂o艣ci, kod NFZ, kod zawodu, o艣wiadczenia zwi膮zane ze statusem na rynku pracy, wykszta艂cenie, stanowisko s艂u偶bowe, kod pracownika U艁, tytu艂/stopie艅 naukowy, informacje o zatrudnieniu, dorobek naukowy, numer indeksu.
III Mo偶liwe konsekwencje dla os贸b, kt贸rych dane dotycz膮
Nieuprawnione wykorzystanie danych jest jedynie prawdopodobne i niepotwierdzone. Jednocze艣nie informuje, 偶e zdarzenie potencjalnie mo偶e poci膮gn膮膰 za sob膮 skutki polegaj膮ce m.in. na:
- za艂o偶eniu na Pani/Pana dane osobowe konta internetowego (np. w serwisach spo艂eczno艣ciowych);
- podszyciu si臋 pod inn膮 osob臋 lub instytucj臋 w celu wy艂udzenia od Pani/Pana dodatkowych informacji (np. danych do logowania);
- otrzymywaniu niezam贸wionych informacji handlowych lub marketingowych;
- ograniczeniu mo偶liwo艣ci korzystania z praw z art. 15-22 RODO;
- uzyskaniu dost臋pu do korzystania ze 艣wiadcze艅 opieki zdrowotnej przez osoby trzecie;
- wy艂udzeniu ubezpieczenia lub 艣rodk贸w z ubezpieczenia;
- nieuprawnionym zarejestrowaniu przedp艂aconej karty telefonicznej (pre-paid);
- nieuprawnionym uzyskaniu kredyt贸w/po偶yczek w instytucjach pozabankowych;
- nieuprawnionym zawarciu umowy o 艣wiadczenie us艂ug, np. telewizji kablowej, telefonu, Internetu.
IV Dzia艂ania podj臋te przez Administratora danych osobowych
Uniwersytet 艁贸dzki podj膮艂 natychmiast niezb臋dne dzia艂ania techniczne, prawne i organizacyjne maj膮ce na celu wyeliminowanie podobnych zdarze艅 w przysz艂o艣ci.
Niezw艂ocznie po stwierdzeniu naruszenia Uniwersytet 艁贸dzki:
- rozpocz膮艂 zabezpieczanie system贸w teleinformatycznych,
- ocen臋 strat,
- podj膮艂 czynno艣ci w celu odzyskania kluczowych funkcjonalno艣ci i system贸w.
Naruszenie zosta艂o zg艂oszone przez Uniwersytet 艁贸dzki do:
- Prezesa Urz臋du Ochrony Danych Osobowych,
- Policji,
- CERT NASK.
V Rekomendacje dla os贸b, kt贸rych dane mog膮 by膰 obj臋te naruszeniem
W celu zminimalizowania ewentualnych negatywnych skutk贸w naruszenia mo偶e Pani/Pan r贸wnie偶 rozwa偶y膰 podj臋cie okre艣lonych dzia艂a艅.
Mo偶e Pani/Pan m.in.:
- zmieni膰 has艂a do us艂ug elektronicznych, w szczeg贸lno艣ci do poczty e-mail;
- zachowa膰 szczeg贸ln膮 ostro偶no艣膰 przy odbieraniu wiadomo艣ci e-mail lub poczty tradycyjnej (list贸w) od nieznanych nadawc贸w;
- monitorowa膰 mo偶liwo艣ci wycieku danych w postaci adresu e-mail przyk艂adowo poprzez stron臋 internetow膮:
- albo
- zastrzec numer PESEL w rejestrze prowadzonym przez Ministerstwo Cyfryzacji (za po艣rednictwem aplikacji mObywatel). Zastrze偶enie PESEL pozwala na zabezpieczenie si臋 przed wykorzystaniem danych osobowych do zaci膮gania zobowi膮za艅 finansowych lub innych oszustw. Wi臋cej informacji o procedurze mo偶na znale藕膰 na stronie internetowej Ministerstwa Cyfryzacji;
- rozwa偶y膰 za艂o偶enie konta w systemach informacji kredytowej w celu monitorowania pr贸b zaci膮gania zobowi膮za艅 finansowych;
- monitorowa膰 transakcje p艂atnicze (np. ustawienie powiadomie艅 o p艂atno艣ci w aplikacji p艂atniczej).
VI Kontakt w sprawie naruszenia
Inspektor Ochrony Danych U艁: dr Edyta Bielak-Jomaa
Adres e-mail do kontaktu w sprawie: iod@uni.lodz.pl
Przepraszamy Pa艅stwa za zaistnia艂膮 sytuacj臋, kt贸ra mo偶e budzi膰 uzasadniony niepok贸j. Zobowi膮zujemy si臋 do艂o偶y膰 wszelkich stara艅, aby w przysz艂o艣ci podobne zdarzenia nie mia艂y ju偶 miejsca.