Komunikat o naruszeniu ochrony danych osobowych
Operator Gazociągów Przesyłowych GAZ-SYSTEM S.A. informuje, że w dniu 18 listopada 2022 r. o godzinie 14:40:56 doszło do zdarzenia polegającego na omyłkowym umieszczeniu przez naszego pracownika w treści opublikowanego przez nas na stronie: https://portal.gaz-system.pl/ - postępowania przetargowego o numerze NP/2022/11/0212/TAR pod nazwą Budowa odcinka gazociągu wysokiego ciśnienia DN300 wraz z infrastrukturą towarzyszącą w m. Tarnobrzeg L ok. 1,5 km – w ramach zadania pn.: „Przebudowa gazociągu wysokiego ciśnienia DN300 Komorów – Sandomierz na odcinku Jadachy – Sandomierz MOP 6,0 MPa danych osobowych, które przetwarzamy w związku z prowadzoną inwestycją na terenie miasta Tarnobrzeg poprzez omyłkowe, niepotrzebne umieszczenie w treści wskazanej powyżej dokumentacji przetargowej numerów działek oraz numerów ksiąg wieczystych.
- przepisu art. 34 ust. 4 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej „RODO”, który stanowi, że jeżeli administrator danych osobowych nie zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, organ nadzorczy - biorąc pod uwagę prawdopodobieństwo, że to naruszenie ochrony danych osobowych spowoduje wysokie ryzyko - może od niego tego zażądać; oraz
- przepisu art. 34 ust. 3 lit. c RODO, który stanowi, że jeżeli zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych wymagałoby niewspółmiernie dużego wysiłku w takim przypadku wydany zostaje publiczny komunikat; oraz
- skierowanego do nas wystąpienia Prezesa Urzędu Ochrony Danych Osobowych z dnia 8 sierpnia 2023 r. w sprawie wezwania nas m.in. do zawiadomienia osób, których dane dotyczą o naruszeniu ich danych osobowych; oraz
- skierowanego do nas wezwania Prezesa Urzędu Ochrony Danych Osobowych z dnia 26 września 2023 r. w sprawie zmiany lokalizacji opublikowanego przez nas w dniu 8 września 2023 r. komunikatu w sprawie naruszenia ochrony danych osobowych,
W związku z tym, że podaliśmy omyłko w treści dokumentacji przetargowej numer księgi wieczystej naruszenie dotyczyło danych w zakresie danych wskazanych w księdze wieczystej tj. w szczególności imienia, nazwiska, imienia ojca, matki, numeru PESEL, które zazwyczaj widnieją w tego typu dokumentach. Reasumując dostęp do numeru PESEL był możliwy w sposób pośredni z uwagi na wskazany przez nas w naszej dokumentacji przetargowej numer księgi wieczystej umożliwiający dla każdej osoby znającej ten numer przeglądanie księgi wieczystej za pomocą systemu teleinformatycznego.
Dane osobowe były umieszczone omyłkowo w dokumentacji projektowej, zawierającej kilkaset stron, a wiedzę o niej posiadać mogły w rzeczywistości podmioty profesjonalnie działające na rynku zainteresowane wykonywaniem dla nas prac wskazanych w postępowaniu zakupowym. Jest to krąg podmiotów, przedsiębiorców specjalizujących się w wykonywaniu m.in. na rzecz naszej Spółki robót budowlanych w zakresie budowy gazociągów i z uwagi na ww. specjalizację jest on wąski. Dostęp do danych był zatem w naszej ocenie ograniczony do osób, które dają rękojmie braku chęci wykorzystania danych osobowych w celach, o których piszemy poniżej w sekcji o możliwych konsekwencjach naruszenia ochrony danych osobowych.
Informacja o omyłkowym opublikowaniu danych osobowych została zidentyfikowana, wskazana nam przez naszego pracownika zajmującego się obsługą postepowania w dniu 23.11.2022 r. o godz. 15:39, natychmiast po zauważeniu faktu niepotrzebnej publikacji danych osobowych w postaci numeru działki oraz numeru księgi wieczystej. Pracownik zgłosił ten fakt niezwłocznie również Pełnomocnikowi ds. Ochrony Danych Osobowych w naszej firmie.
Podjęte działania w związku z wykrytym naruszeniem
Załącznik zawierający dane osobowe tego samego dnia (to jest w momencie identyfikacji naruszenia) został trwale usunięty ze strony internetowej. Zidentyfikowaliśmy wszystkie podmioty, które pobrały już wcześniej dokumentację przetargową. Wysłaliśmy do tych podmiotów pisma z wyjaśnieniami i prośbą o trwałe usunięcie pliku zawierającego dane osobowe i wszystkich ewentualnych jego kopii (również wydrukowanych) z zasobów tych podmiotów w tym informatycznych (dyski twarde, pamięci flash itp.). Wszystkie podmioty potwierdziły trwałe usunięcie danych osobowych. W związku z wykrytą pomyłką naszego pracownika, przekazano całemu personelowi wytyczne dotyczące uważnego sprawdzania wszelkiej dokumentacji w tym w szczególności dokumentacji projektowej i usuwania danych osobowych, aby w przyszłości nie pojawiały się tego typu błędy ludzkie. Regularnie szkolimy naszych pracowników z zakresu ochrony danych osobowych, obowiązują u nas instrukcje postępowania z dokumentami zawierającymi dane osobowe, w tym opisujące jak anonimizować dane osobowe. Dodatkowo w celu wzmocnienia kontroli korzystamy z narzędzi informatycznych służących do wspierania naszych pracowników w wykrywaniu i zapobieganiu podobnym do opisywanego zdarzenia umieszczeniu danych osobowych – narzędzia te identyfikują dane osobowe i przypominają o potrzebie weryfikacji zasadności ich użycia.
Informujemy, że zidentyfikowane naruszenie zostało w dniu 29 listopada 2022 r. zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych i pozostajemy cały czas we współpracy z organem. Organ uznał w skierowanym do nas wystąpieniu, o którym mowa powyżej jednak o konieczności podjęcia przez nas działań mających na celu:
- zawiadomienie, osób których dane dotyczą o naruszeniu ich danych osobowych,
- wyeliminowanie podobnych nieprawidłowości w przyszłości;
Możliwe konsekwencje naruszenia ochrony danych osobowych:
Przepisy prawa oraz wystąpienie Prezesa Urzędu Ochrony Danych Osobowych zobowiązują nas do poinformowania o możliwych negatywnych konsekwencjach naszego błędu.
Dane osobowe mogą zostać wykorzystane w celu uzyskania przez osoby trzecie, na szkodę osób, kredytów w instytucjach pozabankowych, ponieważ wiele takich instytucji – w celu pozyskania jak największej liczby klientów umożliwia uzyskanie pożyczki lub kredytu w łatwy, szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości.
Dane takie jak imię i nazwisko wraz z nr PESEL mogą być również wykorzystane do uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej i wglądu do danych o stanie zdrowia osoby, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL.
Podanie imienia, nazwiska i numeru PESEL jest wystarczające w większości przypadków dla zagłosowania na wybrany projekt obywatelski w ramach budżetu partycypacyjnego i dotychczas zdarzały się przypadki podszywania pod inne osoby w celu uzyskania dodatkowych głosów. Większość władz lokalnych, umożliwia oddanie głosu za pomocą elektronicznego formularza, a formą uwierzytelnienia tożsamości osób oddających swój głos jest wskazanie w formularzu głosowania imienia, nazwiska oraz numeru PESEL. Również głosujący w formie tradycyjnej (papierowe karty do głosowania) są w wielu gminach zobowiązani do wskazania imienia, nazwiska, miejsca zamieszkania oraz numeru PESEL.
Dane osobowe innej osoby mogą być również wykorzystane w celu wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania im odpowiedzialności za dokonanie takiego oszustwa.
W związku z podjętymi przez nas działaniami polegającymi na szybkiej reakcji i usunięciu danych osobowych przez nas i podmioty, które pobrały naszą dokumentację przetargową oraz okoliczności zdarzenia mamy nadzieję, że żadne z powyżej potencjalnie możliwych negatywnych skutków jak i innych podobnych negatywnych konsekwencji nie dotknęły żadnej z osób.
Proponowane środki i działania w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków:
W celu zminimalizowania ewentualnych negatywnych skutków naszego naruszenia jaki i również w celu podniesienia ochrony danych osobowych jako rekomendowane polecamy rozważenie następujących możliwości i sposobów postępowania:
- można podjąć kroki minimalizujące ryzyko wystąpienia negatywnych konsekwencji i nieuprawnionego wykorzystania danych osobowych m.in. poprzez: założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej (na rynku dostępne są systemy, instytucje i przedsiębiorstwa, które oferują usługi pozwalające na monitorowanie swojej aktywności kredytowej. Podajemy przykładowe: Biuro Informacji Kredytowej S.A. strona https://www.bik.pl, Biuro Informacji Gospodarczej InfoMonitor S.A. strona https://big.pl, Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. strona https://krd.pl, Serwis CHRONPESEL strona https://www.chronpesel.pl). W przypadku stwierdzenia jakichkolwiek nieprawidłowości – zgłoszenie tego faktu organom ścigania;
- w codziennym życiu należy zachować ostrożność przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu;
- jeżeli zauważą Państwo jakiekolwiek niepokojące zachowania związane z faktem naruszenia danych osobowych należy dokonać samodzielnego zgłoszenia faktu naruszenia danych osobowych właściwym organom w celu zapobieżenia tzw. „kradzieży tożsamości”.
Podjęcie tych działań ma na celu zabezpieczenie Pani/Pana danych osobowych przed niewłaściwym ich wykorzystaniem.
Jeśli dowiedziałaby się Pani/Pan o wykorzystaniu Pani/Pana danych przez osobę nieuprawnioną, prosimy o jak najszybsze przekazanie również nam tej informacji.
Więcej informacji:
W razie jakichkolwiek pytań lub potrzeby przekazania dodatkowych informacji w związku z zaistniałym zdarzeniem, prosimy o kontakt z Panem Robertem Kamorskim pod adresem e-mail: rodo@gaz-system.pl lub numerem telefonu +48 22 220 15 60.