Komunikat o naruszeniu ochrony danych osobowych

/AKTUALNOŚCI

Komunikat o naruszeniu ochrony danych osobowych

Uniwersytet Łódzki (Administrator danych osobowych) z siedzibą w Łodzi przy ul. Narutowicza 68, działając na podstawie art. 34 RODO informuje o naruszeniu ochrony danych osobowych, w związku ze zdarzeniem polegającym na nieuprawnionym dostępie do wewnętrznej sieci Wydziału Prawa i Administracji UŁ.

I Charakter naruszenia ochrony danych osobowych

Na skutek cyberataku na infrastrukturę IT Wydziału Prawa i Administracji UŁ (WPiA) doszło w dniu 19.02 br. do zaszyfrowania przez osoby nieuprawnione systemów i danych przetwarzanych w systemach informatycznych WPiA.

Na zaszyfrowanych zasobach mogły znajdować się dokumenty zawierające dane osobowe następujących kategorii podmiotów danych:

  • kandydatów, słuchaczy i absolwentów studiów/studiów podyplomowych realizowanych na WPiA,
  • doktorantów i absolwentów studiów doktoranckich/szkół doktorskich realizowanych na WPiA,
  • uczestników kolegium doktorskiego WPiA,
  • pracowników WPiA,
  • osób spoza UŁ zawierających umowy cywilnoprawne i inne (gdzie stroną umowy był WPiA),
  • uczestników projektów realizowanych i zrealizowanych na WPiA,
  • osób spoza UŁ realizujące staże naukowe na WPiA,
  • osób składające na WPiA wniosek o nostryfikacje ich dyplomów.

 

II Kategorie danych osobowych

We wspomnianych powyżej dokumentach dotkniętych zaistniałym zdarzeniem znajdowały się w szczególności poniższe dane:

nazwiska, imiona, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, pesel, adres e-mail, nazwa użytkownika, dane dotyczące zarobków, nazwisko rodowe matki, seria i numer dowodu osobistego, numer telefonu, wizerunek, miejsce urodzenia, kierunek ukończonych studiów, obywatelstwo, kraj otrzymania świadectwa dojrzałości, kod NFZ, kod zawodu, oświadczenia związane ze statusem na rynku pracy, wykształcenie, stanowisko służbowe, kod pracownika UŁ, tytuł/stopień naukowy, informacje o zatrudnieniu, dorobek naukowy, numer indeksu.

 

III Możliwe konsekwencje dla osób, których dane dotyczą

Nieuprawnione wykorzystanie danych jest jedynie prawdopodobne i niepotwierdzone. Jednocześnie informuje, że zdarzenie potencjalnie może pociągnąć za sobą skutki polegające m.in. na:

  • założeniu na Pani/Pana dane osobowe konta internetowego (np. w serwisach społecznościowych);
  • podszyciu się pod inną osobę lub instytucję w celu wyłudzenia od Pani/Pana dodatkowych informacji (np. danych do logowania);
  • otrzymywaniu niezamówionych informacji handlowych lub marketingowych;
  • ograniczeniu możliwości korzystania z praw z art. 15-22 RODO;
  • uzyskaniu dostępu do korzystania ze świadczeń opieki zdrowotnej przez osoby trzecie;
  • wyłudzeniu ubezpieczenia lub środków z ubezpieczenia;
  • nieuprawnionym zarejestrowaniu przedpłaconej karty telefonicznej (pre-paid);
  • nieuprawnionym uzyskaniu kredytów/pożyczek w instytucjach pozabankowych;
  • nieuprawnionym zawarciu umowy o świadczenie usług, np. telewizji kablowej, telefonu, Internetu.

 

IV Działania podjęte przez Administratora danych osobowych

Uniwersytet Łódzki podjął natychmiast niezbędne działania techniczne, prawne i organizacyjne mające na celu wyeliminowanie podobnych zdarzeń w przyszłości.

Niezwłocznie po stwierdzeniu naruszenia Uniwersytet Łódzki:

  • rozpoczął zabezpieczanie systemów teleinformatycznych,
  • ocenę strat,
  • podjął czynności w celu odzyskania kluczowych funkcjonalności i systemów.

Naruszenie zostało zgłoszone przez Uniwersytet Łódzki do:

  • Prezesa Urzędu Ochrony Danych Osobowych,
  • Policji,
  • CERT NASK.
     

V Rekomendacje dla osób, których dane mogą być objęte naruszeniem

W celu zminimalizowania ewentualnych negatywnych skutków naruszenia może Pani/Pan również rozważyć podjęcie określonych działań.

Może Pani/Pan m.in.:

  • zmienić hasła do usług elektronicznych, w szczególności do poczty e-mail;
  • zachować szczególną ostrożność przy odbieraniu wiadomości e-mail lub poczty tradycyjnej (listów) od nieznanych nadawców;
  • monitorować możliwości wycieku danych w postaci adresu e-mail przykładowo poprzez stronę internetową:
  • zastrzec numer PESEL w rejestrze prowadzonym przez Ministerstwo Cyfryzacji (za pośrednictwem aplikacji mObywatel). Zastrzeżenie PESEL pozwala na zabezpieczenie się przed wykorzystaniem danych osobowych do zaciągania zobowiązań finansowych lub innych oszustw. Więcej informacji o procedurze można znaleźć na stronie internetowej Ministerstwa Cyfryzacji;
  • rozważyć założenie konta w systemach informacji kredytowej w celu monitorowania prób zaciągania zobowiązań finansowych;
  • monitorować transakcje płatnicze (np. ustawienie powiadomień o płatności w aplikacji płatniczej).

 

VI Kontakt w sprawie naruszenia

Inspektor Ochrony Danych UŁ: dr Edyta Bielak-Jomaa

Adres e-mail do kontaktu w sprawie: iod@uni.lodz.pl

Przepraszamy Państwa za zaistniałą sytuację, która może budzić uzasadniony niepokój. Zobowiązujemy się dołożyć wszelkich starań, aby w przyszłości podobne zdarzenia nie miały już miejsca.

 

Niezbędne pliki cookie umożliwiają podstawowe funkcje i są niezbędne do prawidłowego działania witryny.

Statystyczne pliki cookie zbierają informacje anonimowo. Informacje te pomagają nam zrozumieć, w jaki sposób nasi goście korzystają z naszej strony internetowej.

Nasza strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować stronę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje
Przejdź do strony polityka prywatności