W nawiązaniu do komunikatu Miejskiego Przedsiębiorstwa Komunikacyjnego S.A. w Krakowie (MPK S.A.) z dnia 9 grudnia 2024 r. i dotyczącego naruszenia ochrony danych osobowych związanego z atakiem hakerskim z 3 grudnia 2024 r. oraz działając na podstawie art. 34 Rozporządzenia Parlamentu Europejskiego i  Rady (UE) 2016/679 z dnia  27 kwietnia  2016 r. w  sprawie ochrony osób  fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE  (ogólne rozporządzenie o ochronie danych), Minister Funduszy i Polityki Regionalnej MFiPR informuje, że w ramach poniższych projektów realizowanych przez MPK S.A. w Programie Operacyjnym Infrastruktura i Środowisko 2014-2020 (PO IiŚ 2014-2020):

- POIS.06.01.00-00-0002/16 (Zakup niskopodłogowego taboru tramwajowego w celu usprawnienia i poprawy jakości miejskiej komunikacji zbiorowej w Krakowie – część I i II),

- POIS.06.01.00-00-0060/19 (Zakup 50 autobusów elektrycznych zeroemisyjnych do obsługi systemu Komunikacji Miejskiej w Krakowie),

- POIS.11.04.00-00-0026/22 (Zakup niskopodłogowego taboru tramwajowego w celu usprawnienia i poprawy jakości komunikacji zbiorowej w Krakowie – część III)

MFiPR jest Administratorem danych osobowych osób, które ujęto w dokumentacji tych projektów.

Zatem jako Administrator tych danych informujemy Państwa, że dokumentacja ta mogła być przechowywana w zaatakowanych zasobach informatycznych MPK S.A.

Zakres kategorii osób, których dane osobowe zostały naruszone i będących we władaniu MFiPR, może obejmować:

1. pracowników Beneficjenta (MPK S.A.);
2. pracownicy oraz przedstawiciele wykonawców umów zawartych w związku z udzieleniem zamówienia publicznego (osoby podpisujące umowy, osoby do kontaktu po stronie Wykonawcy wskazane w Umowie, pracownicy Wykonawcy wskazani do podpisania protokołów odbioru, pracownicy Wykonawcy wskazani do wystawienia/podpisania faktury);
3. pracowników instytucji finansowych (bank), których dane są przetwarzane w związku z obsługą płatności dla projektu;
4. pracowników Centrum Unijnych Projektów Transportowych zaangażowanych w obsługę projektu;
5. pracowników instytucji wykonujących czynności kontrolne/audytowe;
6. osoby składające oferty lub przedstawiciele firm składających oferty.

Rodzaje danych osobowych podlegających temu naruszeniu mogą obejmować:

1. Imię i nazwisko,
2. miejsce pracy, dane kontaktowe, pełniona funkcja, zajmowane stanowisko,
3. dane zawarte w KRS (w tym np. numer PESEL).

Zakres danych jest uzależniony od ilości danych pozyskanych do dokumentacji projektów w odniesieniu do każdej z wymienionych kategorii osób, np. w przypadku przedstawicieli spółek mogą to być dane osobowe widniejące w KRS.

W związku z istniejącą relacją dalszego powierzenia przetwarzania danych osobowych pomiędzy MFiPR a Beneficjentem (MPK S.A.), MFiPR zgłosił to naruszenie ochrony danych osobowych do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych Osobowych.

W uzupełnieniu do informacji przedstawionej przez Beneficjenta doradzamy również korzystanie z możliwości zastrzeżenia numeru PESEL w Rejestrze zastrzeżeń numerów PESEL prowadzonym przez Ministra Cyfryzacji, link: https://www.gov.pl/web/cyfryzacja/rejestr-zastrzezen-numerow-pesel2 lub zastrzeżenie numeru PESEL np. poprzez aktywowanie usługi oferowanej na stronie https://chronpesel.pl/.

Warto również skorzystać z usług oferowanych przez strony: https://bezpiecznedane.gov.pl/ oraz https://haveibeenpwned.com/. Zalecamy zapoznawanie się z informacjami na stronie https://cert.pl/, na której można znaleźć wiele porad dotyczących bezpieczeństwa danych osobowych w sieci Internet.

Gdzie można uzyskać więcej informacji?

W razie dodatkowych pytań lub wątpliwości lub gdyby chcieli Państwo przekazać dodatkowe informacje, które pomogą w wyjaśnieniu sprawy i mają z nią związek prosimy o kontakt z Inspektorem Ochrony Danych:

Pan Marcin Ptaszek, adres e-mail: iod@mfipr.gov.pl .

Z Inspektorem Ochrony Danych można się również skontaktować przekazując korespondencję na adres Ministerstwo Funduszy i Polityki Regionalnej, ul. Wspólna 2/4, 00-926 Warszawa.