Komunikat o naruszeniu ochrony danych osobowych
Działając na podstawie przepisu art. 34 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej „RODO”, który stanowi, że jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu;
Szczegółowe informacje związane z wykrytym przez nas naruszeniem, zostały wskazane poniżej.
Charakter oraz okoliczności naruszenia:
W dniu 18.01.2024 r. pracownik Działu Inwestycji i Remontów Spółki zidentyfikował, że w dokumentacji przetargowej administratora zamieszczonej w dniu 22.12.2023 r. na Portalu Zakupowym GAZ-SYSTEM (https://portal.gaz-system.pl), w ramach postępowania przetargowego niepublicznego na wykonanie robót budowlanych oraz innych prac i czynności w zakresie zadania pn. „Przebudowa gazociągu DN500 MOP 6,3 MPa Skwierzyna-Barlinek – Etap I (ok. 2,8 km)” - nr postępowania NP/2023/12/0828/POZ, nie są zanonimizowane w paru miejscach numery ksiąg wieczystych, numery działek. W spółce GAZ-SYSTEM obowiązują stosowane standardy anonimizacji danych osobowych pt.: WYTYCZNE W ZAKRESIE PUBLIKACJI DOKUMENTACJI ZAWIERAJĄCEJ DANE OSOBOWE. Dodatkowo dokumentacja przed opublikowaniem została zweryfikowana przez pracownika Działu Inwestycji i Remontów pod kątem prawidłowości anonimizacji zawartych w niej danych osobowych. W grudniu 2023 r. ocena ta była pozytywna dlatego dokumentacja została opublikowana. W styczniu 2024 r. w wyniku autoweryfikacji pracownicy administratora stwierdzili, że zamieszczona tam dokumentacja jest w kilku miejscach dokumentacji niezanonimizowana w zakresie numerów ksiąg wieczystych nieruchomości przez które ma przebiegać nasza inwestycja. W dniu 18.01.2024 zidentyfikowano, że w opublikowanej dokumentacji znajduje się 179 pozycji z numerami ksiąg wieczystych oraz numerami obrębu i działki. Niezanonimizowane dane znajdowały się w pliku „Skwierzyna_PW_tom_01_branża_gazociągowa_20201216”. W dniu 22.01.2024 r. zidentyfikowano drugi plik pod nazwą „Skwierzyna_PB_tom_01_PZT_20201223_A”. Obydwa pliki zawierają identyczne pozycje. Dokumentacja po identyfikacji braku anonimizacji została niezwłocznie usunięta z Portalu Zakupowego GAZ-SYSTEM tj. w przypadku pierwszego pliku w dniu 18.01.2024 r. a w przypadku drugiego pliku w dniu 22.01.2024 r. Wobec powyższego niepotrzebnie umieściliśmy w treści wskazanego powyżej postępowania dane osobowe, które przetwarzamy w związku z prowadzonymi przygotowaniami do prac inwestycyjnych tj. numer księgi wieczystej, numer działki przez co pośrednio można było uzyskać dostęp do danych osobowych znajdujących się w księdze wieczystej tj. Imię i nazwisko, imiona rodziców, PESEL.
Numer księgi wieczystej umieszczony omyłkowo w dokumentacji projektowej, zawierającej kilkaset stron, a wiedzę o nim posiadać mogły w rzeczywistości podmioty profesjonalnie działające na rynku zainteresowane wykonywaniem dla nas prac wskazanych w postępowaniu zakupowym. Jest to krąg podmiotów, przedsiębiorców specjalizujących się w wykonywaniu m.in. na rzecz naszej spółki robót budowlanych w zakresie budowy i remontów gazociągów i z uwagi na ww. specjalizację jest on wąski. Dostęp do danych był zatem w naszej ocenie ograniczony do osób, które dają rękojmie braku chęci wykorzystania danych osobowych w celach, o których piszemy poniżej w sekcji o możliwych konsekwencjach naruszenia ochrony danych osobowych.
Informacja o błędnym zanonimizowaniu danych osobowych została wskazana nam przez naszego pracownika zajmującego się obsługą postepowania w dniu 18.01.2024 r., - pracownik zgłosił ten fakt Pełnomocnikowi ds. Ochrony Danych Osobowych w naszej firmie.
Podjęte działania w związku z wykrytym naruszeniem
Dokumentacja po identyfikacji błędnej anonimizacji została trwale usunięta z Portalu Zakupowego GAZ-SYSTEM w przypadku pierwszego pliku w dniu 18.01.2024 r. a w przypadku drugiego pliku w dniu 22.01.2024 r. Do dokumentacji mieli dostęp potencjalni oferenci GAZ-SYSTEM. Brak na ten moment informacji o jakichkolwiek skutkach tego zdarzenia. Nie otrzymaliśmy też informacji od kogokolwiek spoza GAZ-SYSTEM o nieuprawnionym dostępie do danych osobowych. Obecnie zlecono badanie zweryfikowania ile podmiotów pobrało nieprawidłowo zanonimizowane dokumenty. Po ustaleniu powyższych przypadków niezwłocznie do wszystkich zidentyfikowanych podmiotów zostanie wysłana informacja wzywająca do trwałego usunięcie pobranych dokumentów i potwierdzenia tego faktu Spółce.
W związku z wykrytą nieprawidłowością, przekazano personelowi wytyczne dotyczące uważnego sprawdzania wszelkiej dokumentacji w tym w szczególności dokumentacji projektowej i usuwania danych osobowych, aby w przyszłości nie pojawiały się tego typu błędy. Regularnie szkolimy naszych pracowników z zakresu ochrony danych osobowych, obowiązują u nas instrukcje postępowania z dokumentami zawierającymi dane osobowe, w tym opisujące jak anonimizować dane osobowe. Dodatkowo w celu wzmocnienia kontroli korzystamy z narzędzi informatycznych służących do wspierania naszych pracowników w wykrywaniu i zapobieganiu podobnym do opisywanego zdarzenia umieszczeniu danych osobowych – narzędzia te identyfikują dane osobowe i przypominają o potrzebie weryfikacji zasadności ich użycia.
Informujemy, że zidentyfikowane naruszenie zostało w dniu 23 stycznia 2024 r. zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych i pozostajemy cały czas we współpracy z organem.
Możliwe konsekwencje naruszenia ochrony danych osobowych:
Przepisy prawa zobowiązują nas do poinformowania o możliwych negatywnych konsekwencjach naszego błędu.
Dane osobowe mogą zostać wykorzystane w celu uzyskania przez osoby trzecie, na szkodę osoby, kredytów w instytucjach poza bankowych, ponieważ wiele takich instytucji – w celu pozyskania jak największej liczby klientów umożliwia uzyskanie pożyczki lub kredytu w łatwy, szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości.
Dane takie jak imię i nazwisko wraz z nr PESEL mogą być również wykorzystane do uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej i wglądu do danych o stanie zdrowia osoby, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL.
Podanie imienia, nazwiska i numeru PESEL jest wystarczające w większości przypadków dla zagłosowania na wybrany projekt obywatelski w ramach budżetu partycypacyjnego i dotychczas zdarzały się przypadki podszywania pod inne osoby w celu uzyskania dodatkowych głosów. Większość władz lokalnych, umożliwia oddanie głosu za pomocą elektronicznego formularza, a formą uwierzytelnienia tożsamości osób oddających swój głos jest wskazanie w formularzu głosowania imienia, nazwiska oraz numeru PESEL. Również głosujący w formie tradycyjnej (papierowe karty do głosowania) są w wielu gminach zobowiązani do wskazania imienia, nazwiska, miejsca zamieszkania oraz numeru PESEL.
Dane osobowe innej osoby mogą być również wykorzystane w celu wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania im odpowiedzialności za dokonanie takiego oszustwa.
W związku z podjętymi przez nas działaniami oraz okoliczności zdarzenia mamy nadzieję, że żadne z powyżej potencjalnie możliwych negatywnych skutków jak i innych podobnych negatywnych konsekwencji nie dotknęły żadnej osoby.
Proponowane środki i działania w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków:
W celu zminimalizowania ewentualnych negatywnych skutków naszego naruszenia jaki i również w celu podniesienia ochrony danych osobowych jako rekomendowane polecamy rozważenie następujących możliwości i sposobów postępowania:
- można podjąć kroki minimalizujące ryzyko wystąpienia negatywnych konsekwencji i nieuprawnionego wykorzystania danych osobowych m.in. poprzez: założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej (na rynku dostępne są systemy, instytucje i przedsiębiorstwa, które oferują usługi pozwalające na monitorowanie swojej aktywności kredytowej. Podajemy przykładowe: Biuro Informacji Kredytowej S.A. strona https://www.bik.pl, Biuro Informacji Gospodarczej InfoMonitor S.A. strona https://big.pl, Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. strona https://krd.pl, Serwis CHRONPESEL strona https://www.chronpesel.pl). W przypadku stwierdzenia jakichkolwiek nieprawidłowości – zgłoszenie tego faktu organom ścigania;
- w codziennym życiu należy zachować ostrożność przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu;
- jeżeli zauważy się jakiekolwiek niepokojące zachowania związane z faktem naruszenia danych osobowych należy dokonać samodzielnego zgłoszenia faktu naruszenia danych osobowych właściwym organom w celu zapobieżenia tzw. „kradzieży tożsamości”.
Podjęcie tych działań ma na celu zabezpieczenie danych osobowych przed niewłaściwym ich wykorzystaniem.
Jeśli dowiedzieliby się Państwo o wykorzystaniu Państwa danych przez osobę nieuprawnioną, prosimy o jak najszybsze przekazanie również nam tej informacji.
Więcej informacji:
Jeżeli mają Państwo jakiekolwiek pytania lub chcieliby Państwo przekazać dodatkowe informacje w związku z zaistniałym zdarzeniem, prosimy o kontakt z Panem Robertem Kamorskim pod adresem e-mail: rodo@gaz-system.pl lub numerem telefonu +48 22 220 15 60.