Zawiadomienie o naruszeniu danych osobowych - Łódzki Ośrodek Geodezji

Łódzki Ośrodek Geodezji (ŁOG) zawiadamia, iż doszło do naruszenia ochrony danych osobowych w postaci nieuprawnionego pobrania przez jego pracownika w okresie lipiec-grudzień 2022 danych z ewidencji gruntów i budynków (EGiB), dotyczących osób zarejestrowanych w bazie danych EGiB, posiadających w tym czasie prawa do nieruchomości gruntowych. Dane zostały bezprawnie udostępnione osobom trzecim.
ŁOG jako miejska jednostka budżetowa, powołana uchwałą nr XIX/35/2011 Rady Miejskiej w Łodzi z dnia 31 sierpnia 2011 r. wykonuje w imieniu Prezydenta Miasta Łodzi zadania z zakresu administracji rządowej, w tym związane z prowadzeniem EGiB.

Ewidencja gruntów i budynków to system informacyjny zapewniający gromadzenie, aktualizację oraz udostępnianie informacji o gruntach budynkach i lokalach, ich właścicielach oraz innych podmiotach władających lub gospodarujących tymi gruntami, budynkami lub lokalami.

KATEGORIE OSÓB, KTÓRYCH NARUSZENIE DOTYCZY:

Osoby znajdujące się w bazie danych EGiB, które w okresie lipiec-grudzień 2022 r. posiadały prawa do nieruchomości gruntowych zabudowanych i niezabudowanych.

OPIS NARUSZENIA:

Z zawiadomienia skierowanego do ŁOG przez organy ścigania wynika, że w toku postępowania prowadzonego przez Prokuraturę Okręgową w Łodzi, I Wydział Śledczy oraz Centralne Biuro Antykorupcyjne (CBA), ustalono, że w okresie od lipca do grudnia 2022 roku doszło do nielegalnego pobrania przez pracownika ŁOG z zasobów EGiB, zbioru danych obejmującego: numer działki, jej powierzchnię, adres, numer księgi wieczystej, wskazanie innego dokumentu określającego prawa, rodzaj władania, podmiot władający (w przypadku osób fizycznych wraz z numerem PESEL, a w przypadku osób prawnych wraz z numerem REGON oraz NIP), adres zamieszkania władającego oraz adres do korespondencji, dotyczących najprawdopodobniej wszystkich zabudowanych i niezabudowanych nieruchomości gruntowych w Łodzi. Pobrane dane prawdopodobnie zostały następnie bezprawnie udostępnione osobom trzecim.

Wobec pracownika obecnie prowadzone jest postępowanie prokuratorskie.

KONSEKWENCJE NARUSZENIA DLA OSÓB, KTÓRYCH DANE MOGŁY ZOSTAĆ NARUSZONE:

W chwili obecnej nie ma żadnych informacji o pozyskaniu danych osobowych przez osoby nieuprawnione i dalszym ich wykorzystaniu. Nie ma również informacji, aby na skutek naruszenia, dane jakiejkolwiek osoby spośród interesariuszy zostały wykorzystane w sposób sprzeczny z interesami tych osób.

Działania wewnętrzne w ŁOG oraz informacje otrzymane dotychczas od organów prowadzących postępowanie nie potwierdziły, by pobrane przez pracownika dane zostały wykorzystane w sposób nieuprawniony.

W związku potencjalnym ryzykiem związanym z niniejszym incydentem ŁOG informuje o możliwych konsekwencjach naruszenia ochrony danych osobowych, którymi mogą być:

pozyskanie danych przez nieokreślone osoby, w tym do celów przestępczych;
próba uzyskania pożyczek w instytucjach pozabankowych, bez konieczności okazywania dokumentu tożsamości;
wygenerowanie innego niż kredyt zadłużenia w przypadku nieopłacania przez nieuczciwe osoby nabytych przez nie usług lub towarów, np. tytułem zakupu usług telewizji kablowej, telefonicznych, Internetu, wynajęcia samochodu, wynajęcia pokoju hotelowego lub mieszkania;
wykorzystanie danych osobowych do:
- próby wyłudzenia ubezpieczenia;
- próby wyłudzenia dodatkowych danych osobowych poprzez podszywanie się pod inną osobę lub instytucję;
- wykorzystanie danych do uwierzytelnienia (weryfikacji tożsamości),
- wykorzystanie danych osobowych do skorzystania z praw obywatelskich, np. do oddania głosu w głosowaniu nad środkami budżetu obywatelskiego;
- próby ukrycia swojej tożsamości.

W celu zminimalizowania ewentualnych negatywnych skutków naruszenia zaleca się:

zachowanie ostrożności w sytuacji odbierania połączeń telefonicznych od nieznanych numerów telefonów;
ignorowanie nieoczekiwanych wiadomości e-mail lub SMS, w szczególności od nieznanych nadawców oraz nieotwieranie nieznanych załączników;
nieużywanie linków do stron internetowych otrzymanych od nieznanych nadawców w wiadomościach e-mail lub SMS-ach;
zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu,
założenie konta w systemie informacji kredytowej lub gospodarczej w celu dodatkowego zabezpieczenia swoich danych przed nieuprawnionym wykorzystaniem.

Podczas korzystania z usług, gdzie nr PESEL jest hasłem dostępowym zaleca się również zastosowanie uwierzytelnienia dwuskładnikowego.
Istnieje również możliwość:

zastrzeżenia swojego numeru PESEL,
założenia konta w Biurze Informacji Kredytowej S.A. celem monitorowania prób zaciągnięcia zobowiązań finansowych.

ZASTOSOWANE I PLANOWANE ŚRODKI ZABEZPIECZAJĄCE ZAPOBIEGAJĄCE NARUSZENIU:

Administrator danych, Łódzki Ośrodek Geodezji:

dokonał zgłoszenia naruszenia ochrony danych osobowych do Urzędu Ochrony Danych Osobowych;
podjął działania organizacyjne mające na celu zminimalizowanie skutków zdarzenia i ryzyka wystąpienia podobnych zdarzeń w przyszłości w tym m.in. dokonano odpowiednich blokad oraz zmian konfiguracji oprogramowania.

W celu zapewnienia lepszej kontroli nad aktywnością użytkowników oprogramowania planowane są dalsze modyfikacje aplikacji.

W przedmiotowej sprawie prowadzone jest obecnie śledztwo przez Prokuraturę Okręgową w Łodzi oraz CBA.

W przypadku powzięcia wiedzy o upublicznieniu lub wykorzystaniu Państwa danych przez osobę nieuprawnioną, proszę o natychmiastowe zawiadomienie policji oraz o przekazanie tej informacji do Inspektora Ochrony Danych w ŁOG, Arkadiusza Szymaniaka, adres e-mail: iod@log.lodz.pl, tel. 42 272 68 05. Korzystając z tego kontaktu można uzyskać dodatkowe informacje dotyczące ww. naruszenia.

Należy stwierdzić, że będzie dokładana najwyższa staranność, aby dane osobowe były przetwarzane w sposób prawidłowy, a ich bezpieczeństwo jest sprawą najwyższej wagi.