Charakter naruszenia ochrony danych osobowych:
W dniu 8 stycznia 2026 roku, w związku z przygotowaniem przetargu na „Modernizację sieci ciepłowniczej w miejscowości Oleśnica – zadanie 5-6” na platformie bazakonkurencyjnosci.funduszeeuropejskie.gov.pl (służącej do publikacji unijnych postępowań przetargowych i zamówień publicznych), doszło do publikacji dokumentu w postaci załącznika ZL_2025_08_20 , stanowiącego uproszczony wypis z rejestru gruntów, natomiast w dniu 6 lutego 2026 roku, w związku z przygotowaniem przetargu na „Modernizację sieci ciepłowniczej w miejscowości Oleśnica – zadanie 8-9”, na stronie internetowej Miejskiej Gospodarki Komunalnej Sp. z o.o. w zakładce Zamówienia publiczne / Ogłoszenia doszło do publikacji dokumentu w postaci załącznika PDF PBW Oleśnica sieć os. Sikorskiego_CZĘŚĆ PÓŁNOCNA_uzgodnienie cz. 1 stanowiącego uproszczony wypis z rejestru gruntów z dnia 23.10.2024 roku.
Oba te załączniki zawierały dane osobowe mieszkańców Gminy Miasta Oleśnicy oraz osób zagranicznych. Wypisy z rejestru gruntów stanowiły część dokumentacji projektowej zleconej do wykonania podmiotowi zewnętrznemu. Zgodnie z posiadanymi danymi technicznymi pliki mogły zostać wielokrotnie wyświetlone lub pobrane. W wyniku opisanej sytuacji doszło do ujawnienia danych podstawowych właścicieli nieruchomości takich jak: nazwiska i imiona, imiona rodziców, adres zamieszkania i/lub pobytu, numer ewidencyjny PESEL, udział oraz forma władania nieruchomością.
Naruszenie miało charakter nieumyślny, a jego przyczyną było wewnętrzne, niezamierzone działanie pracownika, tzw. błąd ludzki.
Możliwe konsekwencje naruszenia ochrony danych osobowych:
Ryzyko kradzieży tożsamości – udostępnienie imienia, nazwiska, PESEL-u, adresu zamieszkania i numeru telefonu umożliwia podszycie się pod daną osobę np. w celu zaciągnięcia zobowiązań finansowych, rejestracji usług lub wyłudzeń.
Narażenie na oszustwa i phishing – osoby mogą otrzymywać fałszywe wiadomości lub telefony z próbami wyłudzenia dodatkowych danych bądź środków finansowych.
Pogorszenie poczucia bezpieczeństwa i naruszenie prywatności – mieszkańcy mogą odczuwać stres, niepokój i utratę zaufania do instytucji publicznych.
Potencjalne skutki prawne i administracyjne dla mieszkańców – np. w przypadku wykorzystania ich danych do złożenia fałszywego wniosku kredytowego.
Ryzyko wtórnego wykorzystania danych:
Publikacja pliku przez osoby trzecie – nawet po usunięciu załącznika z platformy, możliwe było jego wcześniejsze pobranie i dalsze rozpowszechnianie.
Trudność w pełnym wyeliminowaniu skutków – raz ujawnione dane osobowe, szczególnie takie jak PESEL czy adres, trudno całkowicie "cofnąć" z przestrzeni cyfrowej.
Środki zastosowane przez Administratora Danych w celu zaradzenia naruszeniu ochrony danych oraz zminimalizowania negatywnych skutków.
- W dniu 10.06.2026 roku ok. godz. 15:39, natychmiast po stwierdzeniu naruszenia wszystkie pliki przetargu na stronie internetowej Spółki zostały zablokowane do wyświetlenia.
- Spółka bezzwłocznie podjęła kontakt z platformą bazakonkurencyjnosci.funduszeeuropejskie.gov.pl w zakresie możliwości usunięcia treści zawierających dane osobowe.
- Naruszenie ochrony danych osobowych zostało w ustawowym terminie zgłoszone do Urzędu Ochrony Danych Osobowych.
- Incydent zgłoszono do CSIRT NASK.
- Wszczęto procedurę indywidualnego powiadamiania osób, których dane naruszono o fakcie naruszenia i konsekwencjach naruszenia.
- Zamieszczono na stronie www oraz BIP Urzędu informację o naruszeniu.
- Zaplanowano szkolenie z pracownikami Spółki dotyczące zasad przygotowywania i publikacji informacji na stronach BIP.
- Rozpoczęto działania organizacyjne mające zapobiec podobnym incydentom w przyszłości, chociażby takie jak przegląd procedur, wzmocnienie zabezpieczeń informatycznych, wprowadzenie wieloetapowej weryfikacji dokumentów publikowanych w sieci internetowej.
Kontakt z Inspektorem Ochrony Danych:
Andrzej Olszewski
e-mail: iod (at) mgk.olesnica.pl
