Administrator Danych Osobowych – Urząd Gminy Głusk oraz Gminny Zakład Komunalny Głusk Sp. z o.o. (dalej: “Administrator”) na podstawie obowiązku wynikającego z art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej “RODO”, zawiadamia o stwierdzeniu naruszenia ochrony Pani/ Pana danych osobowych polegającego na naruszeniu dostępności oraz poufności danych osobowych, które nastąpiło w dniu 29.11.2025r. poprzez utratę dostępu do danych na serwerze służącym do rozliczania ilości zużytej wody i odprowadzonych ścieków. Zakres danych zawartych w bazie do której utracono dostęp dot. imienia, nazwiska, danych adresowych, numerów telefonów, adresów poczty elektronicznej oraz informacji o wysokości faktur i ilości zużytej wody. Do naruszenia doszło najprawdopodobniej na skutek przełamania mechanizmów dostępowych do serwera przez osobę trzecią. Obecnie we współpracy z zewnętrznymi specjalistycznymi podmiotami trwają prace nad ustaleniem dokładnych przyczyn powodujących powstanie opisywanego zdarzenia.
Z analizy systemów wdrożonych w Urzędzie nie odnotowano wzrostu ruchu wychodzącego, co pozwala zakładać, iż Państwa dane nie zostały wytransferowane przez atakującego, a jedynie został zablokowany do nich dostęp.
Jednak mając na uwadze zaistniałą sytuacje, informuję, iż nieuprawniony dostęp osoby trzeciej do danych dla niej nieprzeznaczonych może, może rodzić skutki w zakresie ingerencji w sferę Pani/ Pana praw i obowiązków. Charakter oraz okoliczności zdarzenia wskazały, że w przedmiotowej sprawie wystąpiło naruszenie ochrony danych, o którym mowa w art. 4 pkt. 12 RODO polegające na możliwości nieuprawnionego ujawnienia danych osobie trzeciej, przy czym ze względu na rodzaj ujawnionych danych, charakter zaistniałego naruszenia oceniono jako wysoki. W związku z powyższym, Administrator zgłosił naruszenie do organu nadzorczego tj. Prezesa Urzędu Ochrony Danych Osobowych. Ustalony – w trakcie przeprowadzonych czynności wyjaśniających – stan faktyczny pozwolił przyjąć, że zaistniałe naruszenie poufności danych osobowych, w szczególności danych dotyczących numeru telefonu, adresu poczty elektronicznej oraz imienia i nazwiska, a także informacji o wysokości faktur, poprzez ich ujawnienie osobie trzeciej, w przypadku złych intencji tejże osoby może rodzić skutki w zakresie ingerencji w sferę Pani/ Pana praw, wolności i obowiązków.
Powyższe może prowadzić do sytuacji, w których nieuprawnione osoby trzecie – wykorzystując Pani/ Pana dane osobowe – mogą chcieć wykorzystać Pani/ Pana tożsamość celu dokonania czynów zabronionych takich jak chociażby:
1) Przestępstwo kradzieży tożsamości (stypizowana w art. 190 a § 2 ustawy z dnia 6 czerwca 1997 r Kodeks karny) lub oszustwa (stypizowane w art. 286 ustawy z dnia 6 czerwca 1997 r Kodeks karny) np.
a) podszycie się w korespondencji mailowej do innej osoby i nakłonienie do wykonania określonych czynności np. kliknięcia i wejście na zainfekowaną stronę internetową;
b) stworzenie fałszywego konta w mediach społecznościowych na Pani/ Pana dane
i w następstwie publikowanie treści które są powszechnie uznawane za obraźliwe; stworzenie fałszywego konta i publikowanie na nim treści nie autoryzowanych przez Pana/ Panią może wpłynąć również na postrzeganie Pani/ Pana w środowisku lokalnym, m.in. na utratę reputacji bądź dobrego imienia.
2) Możliwą konsekwencją naruszenia ochrony Pani/ Pana danych osobowych może być ponadto zaistnienie ryzyka naruszenia dóbr osobistych (art. 23 i 24 ustawy z dnia 23 kwietnia 1964 r. Kodeksu cywilnego) w wyniku treści publikowanych w mediach społecznościowych z fałszywego konta o którym mowa w powyższym pkt.
3) powstanie uszczerbku fizycznego;
4) powstanie szkód niemajątkowych takich jak utrata kontroli nad własnymi danymi lub ograniczenie praw, dyskryminacja, naruszenie dobrego imienia;
5) wszelkie inne znaczne szkody gospodarcze lub społeczne mogące powstać w przypadku przekazywania nieprawdziwych informacji na temat osoby fizycznej, której dane osobowe ujawniono;
6) negatywne konsekwencje wizerunkowe, czy negatywny odbiór społeczny, który może być konsekwencją upublicznienia danych osobowych w połączeniu z nieprawdziwymi informacjami (plotkami) na temat osoby fizycznej, której dane osobowe ujawniono.
W związku z powyższym Administrator podjął decyzję o zawiadomieniu Pani/ Pana o zaistniałym zdarzeniu w celu możliwości podjęcia przez Panią/ Pana czynności zapobiegawczych.
Mając na uwadze zminimalizowanie ewentualnych negatywnych skutków naruszenia, o których jest mowa powyżej, w tym zabezpieczenie przed możliwymi konsekwencjami naruszenia ochrony danych wskutek ewentualnej kradzieży tożsamości, bądź popełnienia na szkody szeroko rozumianego przestępstwa oszustwa lub innych czynów zabronionych, Administrator rekomenduje pewne środki zaradcze i wskazuje, że istnieje możliwość:
1) poinformowania członków rodziny (bliższej i dalszej), w tym starszych krewnych oraz znajomych o nieuprawnionym ujawnieniu Pani/Pana danych osobowych, co może skutkować w przyszłości ewentualnym podjęciem wobec nich prób wyłudzenia środków finansowych z powołaniem się na Pani/ Pana osobę, bądź rzekome Pani/ Pana kłopoty oraz zalecenie im ostrożności w przypadku podjęcia wobec nich prób kontaktu przez nieznajome osoby;
2) zachowania ostrożności przy podawaniu, bądź potwierdzaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu;
3) zachowania wyjątkowej ostrożności w przypadku podjęcia wobec Pani/ Pana prób kontaktu przez nieznajome osoby, a także obserwację swojego otoczenia;
4) w przypadku pojawienia się niepokojących sygnałów świadczących o dyskryminacji Pani/ Pana osoby lub rodziny, bądź naruszenia Pani/ Pana dobrego imienia – dokonanie zgłoszenia powyższej okoliczności właściwym organom ścigania – przede wszystkim Policji;
5) w przypadku niepokojących sygnałów o posługiwaniu się Pani/ Pana danymi osobowymi przez nieznane osoby fizyczne, prawne lub inne podmioty lub w sytuacjach, w których zidentyfikuje Pani/ Pana, że w nich nie uczestniczyli – należy dokonać zgłoszenia powyższej okoliczności najbliższej jednostce Policji;
6) w przypadku naruszenia dóbr osobistych przez osoby trzecie – istnieje możliwość dochodzenia roszczeń przed sądami powszechnymi z tytułu naruszenia przepisów art. 23 i art. 24 ustawy z dnia 23 kwietnia 1964 r. Kodeksu cywilnego.
Podjęcie wyżej wskazanych działań (działań zapobiegawczych) ma na celu zabezpieczenie danych osobowych przed niewłaściwym ich wykorzystaniem również w przyszłości.
Jednocześnie Administrator wskazuje, że podjął wszelkie możliwe działania mające na celu minimalizację skutków naruszenia, jak również zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, w tym zastosował i wdrożył niżej wskazane środki organizacyjne i techniczne zapewniające ochronę przetwarzanych danych osobowych w celu wyeliminowania podobnych nieprawidłowości w przyszłości, w szczególności:
Administrator dokonał zgłoszenia naruszenie ochrony danych osobowych do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych, oraz zawiadomienia osób, których dane osobowe zostały naruszone,
Administrator dokonał zgłoszenia incydentu cyberbezpieczeństwa do CERT NASK, który udziela pomocy w ustaleniu powodów wystąpienia naruszenia oraz możliwości ograniczenia jego skutków.
dokonał wpisu naruszenia do rejestru naruszeń i incydentów prowadzonym przez Administratora,
Administrator informuje, że więcej informacji w przedmiocie naruszenia ochrony danych osobowych może Pani/ Pan uzyskać, kontaktując się z powołanym przez Administratora Inspektorem ochrony danych:
Urząd Gminy Głusk p. Daniel Koguciuk, dane kontaktowe: tel.: 570 835 991, adres e-mail: inspektor@cbi24.pl.
Gminny Zakład Komunalny Głusk Sp. z o.o. p. Rafał Górny, dane kontaktowe: tel. 517 191 828, adres email: iod@kodrodo.pl.
W przypadku chęci uzyskania wyjaśnień ze strony Administratora w związku z zaistniałą sytuacją, uprzejmie proszę kontaktować się z Administratorem danych:
Urząd Gminy Głusk, Dominów, ul. Rynek 1,20-388 Dominów, tel. 81 751 87 60.
Gminny Zakład Komunalny Głusk Sp. z o.o., Dominów, ul. Rynek 1,20-388 Dominów, tel. 81 759 93 30.