Komunikat o naruszeniu ochrony danych osobowych

2024-10-18

Fundacja pod firmą Fundacja Uniwersytetu im. Adama Mickiewicza w Poznaniu, zwana dalej Fundacją UAM, jako administrator danych osobowych, realizując obowiązek wynikający z przepisu art. 34 ust. 1 w związku z ust. 3 lit c) Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, niniejszym informuje o ewentualnej możliwości naruszenia ochrony danych osobowych, w związku ze zdarzeniem, do jakiego doszło w okresie od dnia 9 października 2024 roku do dnia 14 października 2024 roku włącznie. Zdarzenie polegało na nieuprawnionym uzyskaniu dostępu do informacji, a jego przyczyną było zewnętrzne działanie zamierzone. Istnieje potencjalne ryzyko, że atakujący mając dostęp do skrzynki poczty elektronicznej jednego z pracowników Fundacji UAM skopiował adresy poczty elektronicznej lub zapoznał się lub wykradł korespondencję zawierającą w swojej treści lub w załącznikach dane osobowe.

Niezwłocznie po stwierdzeniu incydentu bezpieczeństwa w Fundacji UAM, nielegalny dostęp został zablokowany oraz podjęte zostały działania zabezpieczające mające na celu zminimalizowanie skutków tego zdarzenia oraz uniknięcie podobnych zdarzeń w przyszłości. Fundacja UAM zgłosiła incydent do CSIRT NASK oraz naruszenie ochrony danych osobowych do Prezesa Urzędu Ochrony Danych Osobowych, a także poinformowała o nim publicznie za pośrednictwem swojej strony internetowej.

Fundacja UAM nie ma podstaw, by podejrzewać, że dane osobowe wyciekły, jednakże z ostrożności przyjmuje założenie, że osoba nieuprawniona, która w nieuprawniony sposób uzyskała dostęp do skrzynki pocztowej jednego z pracowników Fundacji UAM, mogła naruszyć poufność następujących danych osobowych:

1. imiona lub nazwiska,
2. dane kontaktowe (adresy poczty elektronicznej, numery telefonu, adresy zamieszkania lub pobytu, itp.),
3. numery PESEL,
4. dane o wynagrodzeniach.

Potencjalną konsekwencją naruszenia danych osobowych może być:

1. wysyłka niezamówionych materiałów marketingowych (tzw. spam) na adres e-mail, numer telefonu lub drogą tradycyjną,
2. kontakt od nieznanych firm i osób próbujących wyłudzić dodatkowe dane,
3. wykorzystanie danych osobowych w celu ukrycia tożsamości,
4. wykorzystanie danych osobowych w celu podszycia się, np. w celu zawarcia umowy,
5. zarejestrowanie przedpłaconej karty telefonicznej (pre- paid ), która może służyć do celów przestępczych.

Pomimo, iż wyciek danych osobowych jest jedynie prawdopodobny, to jednak Fundacja UAM w celu zminimalizowania ewentualnych negatywnych skutków naruszenia danych osobowych zaleca:

1. stosowanie przy korzystaniu z urządzeń elektronicznych środków zabezpieczeń przed działaniem szkodliwego oprogramowania, np. programów antywirusowych,
2. zastrzeżenie numeru PESEL ,
3. zmianę wykorzystywanych loginów i haseł jeżeli wykorzystują one dane osobowe, np. imię, nazwisko, numer PESEL, adres email,
4. podwyższoną uwagę na prawidłowe adresy nadawców oraz treść odbieranej korespondencji elektronicznej, szczególnie gdy zawiera jakiekolwiek linki lub inne elementy sugerujące konieczność kliknięcia w nie lub otwarcia ich,
5. zachowanie podwyższonej ostrożności w kontaktach z osobami, które powołując się na imię, nazwisko, numer PESEL lub dane kontaktowe, chcą uzyskać dodatkowo dane np. numer  dowodu osobistego, numer konta bankowego, itp.

W celu uzyskania dodatkowych wyjaśnień należy kontaktować się z Panią Natalią Wolską – Inspektorem Ochrony Danych Fundacji UAM lub z Panem Bartłomiejem Musiałem – Zastępcą Inspektora Ochrony Danych Fundacji UAM, przesyłając korespondencję elektroniczną na adres: iod@ppnt.poznan.pl.

Fundacja UAM zapewnia jednocześnie, iż podjęła wszelkie kroki mające na celu zabezpieczenie tego typu sytuacji w przyszłości.