Komunikat o naruszeniu ochrony danych osobowych

Photo of the article

Działając na podstawie przepisu art. 34 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej „RODO”, który stanowi, że jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu - Operator Gazociągów Przesyłowych GAZ-SYSTEM S.A. informuje, że w dniu 27.11.2023 r. pracownik Spółki zidentyfikował, że dane osobowe w dokumentacji zamieszczonej na Portalu Zakupowym GAZ-SYSTEM, w ramach postępowania przetargowego niepublicznego, nie są skutecznie zanonimizowane.

Dokumentacja projektowa dotycząca projektu budowalnego i projektu wykonawczego przygotowana została dla zadania "Budowa gazociągu DN200MOP 8,4 MPa o długości 3.2 km na odcinku odgałęzienie Bartoszów - Bartoszów" i opublikowana na Portalu Zakupowym (https://portal.gaz-system.pl) w dniu 29.03.2023 r. Dokumentacja przed opublikowaniem została zanonimizowana przez firmę zewnętrzną nad podstawie oddzielnej umowy łączącej naszą Spółkę z tą firmą. W Spółce GAZ-SYSTEM obowiązują stosowane standardy anonimizacji danych osobowych pt.: WYTYCZNE W ZAKRESIE PUBLIKACJI DOKUMENTACJI ZAWIERAJĄCEJ DANE OSOBOWE. Dodatkowo dokumentacja przed opublikowaniem została zweryfikowana przez naszego pracownika pod kątem prawidłowości anonimizacji zawartych w niej danych osobowych. W marcu 2023 r. ocena ta była pozytywna dlatego dokumentacja została opublikowana. W listopadzie 2023 r. inny pracownik Spółki, w ramach otrzymanego zadania aktualizacji i wymiany dokumentacji w przedmiotowym postepowaniu zidentyfikował, że zamieszczona tam dokumentacja jest nieskutecznie zanonimizowana a dane osobowe w niej zawarte można odkryć i odczytać. W ramach powtórnej weryfikacji dokumentacji projektowej zidentyfikowano, że firma zewnętrzna nie wykonała anonimizacji w sposób trwały i nieodwracalny tylko zakrywała dane osobowe w taki sposób, aby tylko sprawiały wrażenie prawidłowo zanonimizowanych - np. zaczerniano lub zaślepiano szarym lub białym paskiem, a paski były niestety edytowalne i można je było przesuwać/usuwać. 

Wobec powyższego niepotrzebnie umieściliśmy w treści wskazanego powyżej postępowania dane osobowe właścicieli nieruchomości i naszych projektantów, które przetwarzamy w związku z prowadzonymi przygotowaniami do prac inwestycyjnych tj. imiona, nazwiska, daty urodzenia, adresy zamieszkania, numery ksiąg wieczystych, numery PESEL.

Dane osobowe były umieszczone omyłkowo w dokumentacji projektowej, zawierającej kilkaset stron, a wiedzę o niej posiadać mogły w rzeczywistości podmioty profesjonalnie działające na rynku zainteresowane wykonywaniem dla nas prac wskazanych w postępowaniu zakupowym. Jest to  krąg podmiotów, przedsiębiorców specjalizujących się w wykonywaniu m.in. na rzecz naszej spółki robót budowlanych w zakresie budowy i remontów gazociągów i z uwagi na ww. specjalizację jest on wąski. Dostęp do danych był zatem w naszej ocenie ograniczony do osób, które dają rękojmie braku chęci wykorzystania danych osobowych w celach, o których piszemy poniżej w sekcji o możliwych konsekwencjach naruszenia ochrony danych osobowych. 

Informacja o błędnym zanonimizowaniu danych osobowych została wskazana nam przez naszego pracownika zajmującego się obsługą postępowania w dniu 29.11.2023 r., - pracownik zgłosił ten fakt Pełnomocnikowi ds. Ochrony Danych Osobowych w naszej firmie.

Podjęte działania w związku z wykrytym naruszeniem:
Dokumentacja po identyfikacji błędnej anonimizacji została trwale usunięta z Portalu Zakupowego GAZ-SYSTEM w dniu 30.11.2023 r. Do dokumentacji mieli dostęp potencjalni oferenci GAZ-SYSTEM. Brak na ten moment informacji o jakichkolwiek skutkach tego zdarzenia. Nie otrzymaliśmy też informacji od kogokolwiek spoza GAZ-SYSTEM o nieuprawnionym dostępie do danych osobowych.Obecnie zlecono badanie zweryfikowania ile podmiotów pobrało nieprawidłowo zanonimizowane dokumenty. Po ustaleniu powyższych przypadków niezwłocznie do wszystkich zidentyfikowanych podmiotów zostanie wysłana informacja wzywająca do trwałego usunięcie pobranych dokumentów i potwierdzenia tego faktu Spółce. 

W związku z wykrytą nieprawidłowością, przekazano personelowi wytyczne dotyczące uważnego sprawdzania wszelkiej dokumentacji w tym w szczególności dokumentacji projektowej i usuwania danych osobowych, aby w przyszłości nie pojawiały się tego typu błędy. Regularnie szkolimy naszych pracowników z zakresu ochrony danych osobowych, obowiązują u nas instrukcje postępowania z dokumentami zawierającymi dane osobowe, w tym opisujące jak anonimizować dane osobowe. Dodatkowo w celu wzmocnienia kontroli korzystamy z narzędzi informatycznych służących do wspierania naszych pracowników w wykrywaniu i zapobieganiu podobnym do opisywanego zdarzenia umieszczeniu danych osobowych – narzędzia te identyfikują dane osobowe i przypominają o potrzebie weryfikacji zasadności ich użycia. 

Informujemy, że zidentyfikowane naruszenie zostało w dniu 11 grudnia 2023 r. zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych i pozostajemy cały czas we współpracy z organem. 
  
Możliwe konsekwencje naruszenia ochrony danych osobowych: 
Przepisy prawa zobowiązują nas do poinformowania o możliwych negatywnych konsekwencjach naszego błędu. 

Dane osobowe mogą zostać wykorzystane w celu uzyskania przez osoby trzecie, na szkodę osoby, kredytów w instytucjach pozabankowych, ponieważ wiele takich instytucji – w celu pozyskania jak największej liczby klientów umożliwia uzyskanie pożyczki lub kredytu w łatwy, szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości.

Dane takie jak imię i nazwisko wraz z nr PESEL mogą być również wykorzystane do uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej i wglądu do danych o stanie zdrowia osoby, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL.

Podanie imienia, nazwiska i numeru PESEL jest wystarczające w większości przypadków dla zagłosowania na wybrany projekt obywatelski w ramach budżetu partycypacyjnego i dotychczas zdarzały się przypadki podszywania pod inne osoby w celu uzyskania dodatkowych głosów. Większość władz lokalnych, umożliwia oddanie głosu za pomocą elektronicznego formularza, a formą uwierzytelnienia tożsamości osób oddających swój głos jest wskazanie w formularzu głosowania imienia, nazwiska oraz numeru PESEL. Również głosujący w formie tradycyjnej (papierowe karty do głosowania) są w wielu gminach zobowiązani do wskazania imienia, nazwiska, miejsca zamieszkania oraz numeru PESEL.

Dane osobowe innej osoby mogą być również wykorzystane w celu wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania im odpowiedzialności za dokonanie takiego oszustwa.

W związku z podjętymi przez nas działaniami oraz okoliczności zdarzenia mamy nadzieję, że żadne z powyżej potencjalnie możliwych negatywnych skutków jak i innych podobnych negatywnych konsekwencji nie dotknęły żadnej z osób których dane zostały nieprawidłowo zanonimizowane.

Proponowane środki i działania w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków: 

W celu zminimalizowania ewentualnych negatywnych skutków naszego naruszenia jaki i również w celu podniesienia ochrony danych osobowych jako rekomendowane polecamy rozważenie następujących możliwości i sposobów postępowania:
  1. można podjąć kroki minimalizujące ryzyko wystąpienia negatywnych konsekwencji i nieuprawnionego wykorzystania danych osobowych m.in. poprzez: założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej (na rynku dostępne są systemy, instytucje i przedsiębiorstwa, które oferują usługi pozwalające na monitorowanie swojej aktywności kredytowej. Podajemy przykładowe: Biuro Informacji Kredytowej S.A. strona https://www.bik.pl, Biuro Informacji Gospodarczej InfoMonitor S.A. strona https://big.pl, Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. strona https://krd.pl, Serwis CHRONPESEL strona https://www.chronpesel.pl). W przypadku stwierdzenia jakichkolwiek nieprawidłowości – zgłoszenie tego faktu organom ścigania;
  2. w codziennym życiu należy zachować ostrożność przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu;
  3. jeżeli zauważy się jakiekolwiek niepokojące zachowania związane z faktem naruszenia danych osobowych należy dokonać samodzielnego zgłoszenia faktu naruszenia danych osobowych właściwym organom w celu zapobieżenia tzw. „kradzieży tożsamości”.
Podjęcie tych działań  ma na celu zabezpieczenie danych osobowych przed niewłaściwym ich wykorzystaniem.

Jeśli dowiedziałby się Pan/Pani o wykorzystaniu danych przez osobę nieuprawnioną, prosimy o jak najszybsze przekazanie również nam tej informacji.

Więcej informacji:
W razie jakichkolwiek pytań lub potrzeby przekazania dodatkowych informacji w związku z zaistniałym zdarzeniem, prosimy o kontakt z Panem Robertem Kamorskim pod adresem e-mail: rodo@gaz-system.pl lub numerem telefonu +48 22 220 15 60.