Informujemy, że w dniu 12 sierpnia 2025 roku w Urzędzie Marszałkowskim Województwa Lubelskiego (UMWL) stwierdzono naruszenie ochrony danych osobowych, polegające na nieuprawnionym skopiowaniu danych kadrowych przez pracownika Urzędu, który nie posiadał stosownego upoważnienia do ich przetwarzania.
Naruszenie dotyczyło danych osobowych:
- pracowników UMWL zatrudnionych przed 1 stycznia 2024 roku w zakresie: imienia i nazwiska, numeru PESEL, daty urodzenia, informacji o wynagrodzeniu, w tym przyznanych nagrodach;
- osób, którym przyznano stypendium w 2023 roku w zakresie: imienia i nazwiska, numeru PESEL;
- osoby, które otrzymały nagrodę Marszałka w 2023 roku w zakresie: imienia i nazwiska, numeru PESEL;
- osoby, które zawarły umowy cywilno-prawne w 2023 roku w zakresie: imienia i nazwiska, numeru PESEL;
- radnych Sejmiku Województwa Lubelskiego VI kadencji (lata 2018-2024) w zakresie: imienia i nazwiska oraz numeru PESEL.
Charakter naruszenia ochrony danych osobowych:
Pracownik Lubelskiego Centrum Innowacji i Technologii przekazał komputer służbowy pracownikowi UMWL bez uprzedniego usunięcia danych. W wyniku tego działania pracownik uzyskał dostęp do danych kadrowych, które następnie skopiował na swój zasób sieciowy oraz zewnętrzny nośnik. Zdarzenie zostało potwierdzone analizą logów systemowych.
Zastosowane przez administratora środki w celu zminimalizowania ewentualnych skutków naruszenia:
W związku z zaistniałą sytuacją, naruszenie zostało zgłoszone do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych. Ponadto, wystosowano zawiadomienie o podejrzeniu popełnienia przestępstwa do właściwej Prokuratury.
Zdarzenie zostało objęte wewnętrzną procedurą wyjaśniającą, a Administrator danych podjął działania zmierzające do zminimalizowania jego skutków oraz zapobieżenia podobnym naruszeniom w przyszłości.
Możliwe konsekwencje naruszenia ochrony danych:
- posługiwanie się Pani/Pana danymi osobowymi przez osoby trzecie do zaciągnięcia zobowiązania finansowego na szkodę w instytucjach pozabankowych;
- zawieranie przez osoby trzecie umów cywilno-prawnych na Pani/Pana szkodę, np. umów najmu lub dzierżawy, gdzie nie jest wymagane okazywanie dowodu tożsamości;
- podejmowanie przez osoby trzecie prób podszywania się pod instytucje publiczne lub podmioty prywatne, w celu wyłudzenia od Pani/Pana korzyści finansowych, np. poprzez fałszywe wezwania do zapłaty podatku;
- ograniczenie korzystania przez Panią/Pana z praw obywatelskich, np.: wykorzystanie danych do oddania głosu w głosowaniu nad środkami budżetu obywatelskiego.
Pracownik złożył oświadczenie o trwałym usunięciu danych oraz o ich nieudostępnianiu osobom trzecim a także niewykorzystywaniu ich w jakiejkolwiek formie, a zatem należy uznać, że skutki naruszenia zostały ograniczone.
Niemniej jednak, mając na uwadze charakter naruszenia oraz potencjalne ryzyko z nim związane, w celu zminimalizowania jego konsekwencji rekomenduje się podjęcie następujących działań:
- zastrzeżenie numeru PESEL w dowolnym Urzędzie Gminy lub przez Internet przy użyciu profilu zaufanego, podpisu kwalifikowanego, e-dowodu, aplikacji m-obywatel lub danych do logowania do bankowości elektronicznej, na stronie: https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie;
- istnieje możliwości założenia konta w systemie informacji kredytowej, w celu otrzymywania powiadomień o każdej próbie uzyskania pożyczki na Pani/Pana nazwisko, np.: https://www.bik.pl/klienci-indywidualni/alerty-bik.
Więcej informacji:
W przypadku pytań lub potrzeby uzyskania dodatkowych informacji prosimy o kontakt z Inspektorem Ochrony Danych Pani Anna Kondrat, nr tel. 814781114, adres e-mail: iod@lubelskie.pl, ul. Artura Grottgera 4, 20-029 Lublin.
Oficjalny portal województwa lubelskiego prowadzony przez Urząd Marszałkowski Województwa Lubelskiego
