Komunikat o możliwości naruszenia ochrony danych osobowych
Przedsiębiorstwo Wodociągów i Kanalizacji Sp. z o.o. w Wołominie, jako Administrator danych osobowych, mając na względzie wymogi zawarte art. 34 ust. 1 w związku z ust. 3 lit c) Rozporządzenia Parlamentu Europejskiego
i Rady UE 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), niniejszym informuje o możliwości naruszenia ochrony danych osobowych, w związku z incydentem do jakiego doszło w dniu 6 marca 2021 r.
W tym dniu doszło do nieuprawnionego naruszenia polegającego na przejęciu serwera głównego Active Directory, częściowym zaszyfrowaniu danych na serwerze, stacjach roboczych oraz dyskach sieciowych. Zaszyfrowanie zasobów dotyczyło dokumentacji technicznej w której mogły znajdować się wybrane dane osobowe, w tym imiona i nazwiska osób, adresy zameldowania, adresy poczty elektronicznej, telefonów, nieliczne numery PESEL oraz dowodów osobistych.
Nie zostały naruszone zasoby danych osobowych dotyczące rozliczeń z klientami Spółki wynikających z zawartych umów na dostawę wody i odbiór ścieków.
Po wykryciu naruszenia bezpieczeństwa nielegalny dostęp został zablokowany oraz podjęte zostały działania zabezpieczające mające na celu uniknięcie podobnych zdarzeń w przyszłości.
Przedsiębiorstwo Wodociągów i Kanalizacji Sp. z o. o. dokonało właściwych zgłoszeń w zakresie opisanego zdarzenia,
w przewidzianych w przepisach terminach tj. w ciągu 72 godzin do Prezesa Urzędu Ochrony Danych Osobowych oraz na Policję.
Realizując obowiązek wynikający z treści art. 34 RODO Przedsiębiorstwo Wodociągów i Kanalizacji Sp. z o.o. informuje, iż istnieje ryzyko nieuprawnionego dostępu do ww. danych osobowych i zapoznania się z ich treścią.
Możliwymi konsekwencjami ewentualnego naruszenia ochrony danych osobowych jest nieuprawnione wykorzystanie danych osobowych m.in. w celu:
- uzyskania przez osoby trzecie, na szkodę osoby, której dane naruszono, kredytów w instytucjach poza bankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości;
- uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono oraz do jej danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL;
- korzystania z praw obywatelskich osoby, której dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego - uniemożliwiałoby to właściwej osobie skorzystanie z przysługującego jej prawa;
- wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu.
- zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych;
- próby zawarcia umów cywilno-prawnych, np. najmu nieruchomości;
- wykorzystania danych do ukrycia swojej tożsamości, np. przy otrzymywaniu mandatów.
- założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej (na rynku dostępne są systemy, instytucje i przedsiębiorstwa, które oferują usługi pozwalające na monitorowanie swojej aktywności kredytowej. Podajemy przykładowe: Biuro Informacji Kredytowej S.A. strona https://www.bik.pl, Biuro Informacji Gospodarczej Info Monitor S.A. strona https://big.pl, Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. stron https://krd.pl, Serwis CHRONPESEL strona https://www.chronpesel.pl). W przypadku stwierdzenia jakichkolwiek nieprawidłowości – zgłoszenie tego faktu organom ścigania;
- zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu;
- dokonanie samodzielnego zgłoszenia faktu naruszenia danych osobowych właściwym organom w celu zapobieżenia tzw. „kradzieży tożsamości”.
Administrator danych osobowych w celu zaradzenia naruszeniu ochrony danych osobowych i zminimalizowania ewentualnych negatywnych skutków tego naruszenia podjął niezwłocznie adekwatne środki techniczne i organizacyjne.
W razie dodatkowych pytań lub wątpliwości prosimy o kontakt z Inspektorem Ochrony Danych Osobowych Katarzyną Ziemiecką: Przedsiębiorstwo Wodociągów i Kanalizacji Spółka z o.o. ul. Graniczna 1, 05-200 Wołomin; e-mail iod@pwik.wolomin.pl