Ponowne zawiadomienie o naruszeniu ochrony danych osobowych
22.09.2022
Główny Geodeta Kraju w związku z wystąpieniem Prezesa Urzędu Ochrony Danych Osobowych, (nr DKN.5130.7675.2022.KK z 30.08.2022 r.) ponownie przedstawia uzupełnione zawiadomienie dotyczące naruszenia ochrony danych osobowych opublikowane już wcześniej na stronach internetowych Głównego Urzędu Geodezji i Kartografii w dniu 13.07.2022 r. oraz w dzienniku „Rzeczpospolita” w dniu 15.07.2022 r.
Główny Geodeta Kraju (GGK) informuje, że 11.07.2022 r. o godz. 12:34 powziął informację o podatności zintegrowanego systemu informacji o nieruchomościach (ZSIN) na nieuprawniony dostęp do zgromadzonych tam danych o działkach ewidencyjnych (w tym numerach ksiąg wieczystych) oraz ich właścicielach / współwłaścicielach / użytkownikach wieczystych (imiona, nazwiska, imiona rodziców, nr PESEL, informacja o śmierci, a pośrednio również adresy zamieszkania, informacje o związkach małżeńskich w/w osób, własności poszczególnych działek). Naruszenie dotyczyło danych z obszaru 157 powiatów (wykaz powiatów jest dostępny na stronie https://opendata.geoportal.gov.pl/Dokumenty/Wykaz157powiatow.pdf).
Po analizie konfiguracji ZSIN ustalono, że 20.08.2018 r., na wniosek Wykonawcy realizującego rozbudowę ZSIN w ramach projektu ZSIN Faza II, wystawiono jeden z serwerów ZSIN pod adresem http://mapy.zsin.gugik.gov.pl. To działanie spowodowało, iż od tego dnia do dnia powzięcia informacji na stronie internetowej powiązanej z serwerem http://mapy.zsin.gugik.gov.pl dostępne były wskazane powyżej dane. Adres wskazanej ww. strony nie był powszechnie dostępny, jak też strona ta nie prezentowała przedmiotowych danych w sposób bezpośredni, niemniej korzystając z informatycznej wiedzy możliwe było dotarcie do tych danych.
W związku z powyższym zaistniało wysokie ryzyko nieuprawnionego dostępu do wyżej wymienionych danych osobowych osób fizycznych przetwarzanych w ZSIN.
Konsekwencjami nieuprawnionego wykorzystania ww. danych osobowych jest możliwość np.:
- kradzieży tożsamości osoby,
- oszustwa z wykorzystaniem danych osoby,
które mogą spowodować, iż:
- osoby trzecie mogą podjąć próbę uzyskania na Pani/Pana szkodę, pożyczek w instytucjach pozabankowych np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości,
- osoby trzecie mogą podjąć próbę uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskać wgląd do danych o Pani/Pana stanie zdrowia, ponieważ czasem dostęp do systemów rejestracji pacjenta można uzyskać, potwierdzając swoją tożsamość za pomocą numeru PESEL,
- Pani/Pana dane osobowe mogą zostać wykorzystane przez osobę trzecią do próby wyłudzenia ubezpieczenia,
- osoby trzecie mogą podjąć próbę zawarcia na Pani/Pana szkodę umów cywilno-prawnych, np. najmu nieruchomości,
- Pani/Pana dane osobowe mogą zostać wykorzystane przez osoby trzecie do ukrycia swojej tożsamości, np. przy otrzymywaniu mandatu.
W celu zminimalizowania ewentualnych negatywnych skutków naruszenia zaleca się aby Pani/Pan:
- zachował/a ostrożność przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem internetu czy telefonu, aby uniknąć np. ataku phishingowego, którego celem może być wyłudzenie dodatkowych danych czy uzyskanie danych dostępowych do internetowych systemów bankowych bądź innych usług, z których Pani/Pan korzysta,
- skorzystał/a z możliwość założenie konta w dostępnych na rynku systemach informacji kredytowej lub gospodarczej w celu dodatkowego zabezpieczenia swoich danych przed nieuprawnionym wykorzystaniem,
- w przypadku stwierdzenia lub podejrzenia popełnienia przestępstwa z użyciem Pani/Pana danych należy jak najszybciej zgłosić się na Policję, ponadto należy też zawiadomić o takim zdarzeniu podmiot, u którego posłużono się tymi danymi.
W celu zminimalizowania ewentualnych negatywnych skutków tego naruszenia Główny Geodeta Kraju podjął niezwłocznie niezbędne środki techniczne i organizacyjne w tym usunął przedmiotową podatność 11.07.2022 r. o godzinie 15:52, poprzez zablokowanie dostępu do ww. strony internetowej i tym samym obecnie dane te nie są dostępne dla osób nieuprawnionych.
W celu zapobieżenia wystąpienia podobnych zdarzeń w przyszłości GGK zastosował środki techniczne i organizacyjne takie jak: przeszkolenie pracowników w zakresie przestrzegania procedur bezpieczeństwa i ochrony danych osobowych oraz podjął działania polegające na przeglądzie konfiguracji ZSIN pod kątem zapewnienia odpowiedniego stopnia bezpieczeństwa.
Naruszenie ochrony danych osobowych zostało zgłoszone Prezesowi Urzędu Ochrony Danych Osobowych oraz odpowiednim organom ścigania.
Przepraszamy za zaistniałą sytuację.
Więcej informacji można uzyskać u Inspektora Ochrony Danych w GUGiK – p. Rafała Kaneckiego.
Dane kontaktowe:
Główny Urząd Geodezji i Kartografii, ul. Wspólna 2, 00-926 Warszawa,
adres e-mail: iod@gugik.gov.pl