Powrót

22.09.2022 Ponowne zawiadomienie o naruszeniu ochrony danych osobowych

Główny Geodeta Kraju w związku z wystąpieniem Prezesa Urzędu Ochrony Danych Osobowych (nr DKN.5130.8986.2022.KK z 30.08.2022 r.) ponownie przedstawia uzupełnione zawiadomienie dotyczące naruszenia ochrony danych osobowych opublikowane już wcześniej na stronach internetowych Głównego Urzędu Geodezji i Kartografii 28.07.2022 r. oraz w dzienniku „Rzeczpospolita” 3.08.2022 r.

Główny Geodeta Kraju (GGK) w wyniku audytu wewnętrznego, powziął 25.07.2022 r. o godz. 13:24 informację o przypadkach wielokrotnego, nieuprawnionego dostępu do zbiorów danych i usług obejmujących obszar całego kraju, odpowiednio gromadzonych i realizowanych z wykorzystaniem tzw. serwerów Integracji Głównego Urzędu Geodezji i Kartografii (GUGiK). Na serwerach tych przetwarzane są dane państwowego zasobu geodezyjnego i kartograficznego (pzgik) jak również inne dane potrzebne do wystawienia przez GUGiK stosownych aplikacji internetowych i usług sieciowych. Stwierdzone dotąd przypadki nieuprawnionego dostępu do zbiorów danych i usług pzgik miały miejsce w okresie od 06.07.2018 r. do 25.07.2022 r. Były one realizowane (poprzez logowanie do serwerów Integracji GUGiK oraz do paneli zarządzających usługami) z wykorzystaniem systemów informatycznych o identyfikatorach IP należących do zewnętrznego podmiotu gospodarczego, nieposiadającego wymaganych umów/upoważnień GUGIK w tym zakresie oraz haseł dostępowych.

Poprzez serwery Integracji GUGiK możliwy był dostęp do numerów ksiąg wieczystych (KW) nieruchomości na obszarze całego kraju, a w konsekwencji do danych osobowych osób władających tymi nieruchomościami obejmujących: imiona i nazwiska, imiona rodziców, nr PESEL, formę władania oraz inne dane zawarte w KW. Dotyczy to trudnej do określenia liczby osób z obszaru całego kraju posiadających nieruchomości, dla których prowadzone są księgi wieczyste w systemie EKW, i których numery wpisane zostały do ewidencji gruntów i  budynków.

Konsekwencjami nieuprawnionego wykorzystania ww. danych osobowych jest możliwość np.:

  • kradzieży tożsamości osoby,
  • oszustwa z wykorzystaniem danych osoby,

które mogą spowodować, iż:

  • osoby trzecie mogą podjąć próbę uzyskania na Pani/Pana szkodę, pożyczek w instytucjach pozabankowych np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości,
  • osoby trzecie mogą podjąć próbę uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskać wgląd do danych o Pani/Pana stanie zdrowia, ponieważ czasem dostęp do systemów rejestracji pacjenta można uzyskać, potwierdzając swoją tożsamość za pomocą numeru PESEL,
  • Pani/Pana dane osobowe mogą zostać wykorzystane przez osobę trzecią do próby wyłudzenia ubezpieczenia,
  • osoby trzecie mogą podjąć próbę zawarcia na Pani/Pana szkodę umów cywilno-prawnych, np. najmu nieruchomości,
  • Pani/Pana dane osobowe mogą zostać wykorzystane przez osoby trzecie do ukrycia swojej tożsamości, np. przy otrzymywaniu mandatu.

W celu zminimalizowania ewentualnych negatywnych skutków naruszenia zaleca się aby Pani/Pan:

  • zachował/a ostrożność przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem internetu czy telefonu, aby uniknąć np. ataku phishingowego, którego celem może być wyłudzenie dodatkowych danych czy uzyskanie danych dostępowych do internetowych systemów bankowych bądź innych usług, z których Pani/Pan korzysta,
  • skorzystał/a z możliwość założenie konta w dostępnych na rynku systemach informacji kredytowej lub gospodarczej w celu dodatkowego zabezpieczenia swoich danych przed nieuprawnionym wykorzystaniem,
  • w przypadku stwierdzenia lub podejrzenia popełnienia przestępstwa z użyciem Pani/Pana danych należy jak najszybciej zgłosić się na Policję, ponadto należy też zawiadomić o takim zdarzeniu podmiot, u którego posłużono się tymi danymi.

W celu zminimalizowania ewentualnych negatywnych skutków tego naruszenia  Główny Geodeta Kraju podjął niezwłocznie niezbędne środki techniczne i organizacyjne, w tym usunął istniejącą podatność 25.07.2022 r. o godzinie 14.00, poprzez zablokowanie możliwości dalszego, nieuprawnionego dostępu do serwerów Integracji GUGiK.

W celu zapobieżenia podobnym zdarzeniom w przyszłości GGK zastosował środki techniczne i organizacyjne polegające na szczegółowym przeglądzie i aktualizacji procedur dotyczących bezpieczeństwa systemów informatycznych Urzędu oraz szkoleń pracowników w zakresie ochrony danych osobowych.

Naruszenie ochrony danych osobowych zostało zgłoszone Prezesowi Urzędu Ochrony Danych Osobowych oraz odpowiednim organom ścigania.

Przepraszamy za zaistniałą sytuację.

Dodatkowe informacje można uzyskać u Inspektora Ochrony Danych w GUGiK – p. Rafała Kaneckiego.

Dane kontaktowe:

Główny Urząd Geodezji i Kartografii, ul. Wspólna 2, 00-926 Warszawa,

adres e-mail: iod@gugik.gov.pl