Administrator danych osobowych – Uniwersytet Jagielloński informuje o możliwości naruszenia ochrony danych osobowych przetwarzanych w Jagiellońskim Centrum Rozwoju Leków JCET.

W następstwie przeprowadzonego w dniu 3 lipca 2019 r. ataku hackerskiego na serwer Jagiellońskiego Centrum Rozwoju Leków JCET doszło do zablokowania możliwości odczytu danych osobowych pracowników, studentów, kandydatów do pracy, wolontariuszy, stypendystów i stron umów cywilnoprawnych, zgromadzonych na przestrzeni ostatnich pięciu lat. Hakerzy zaszyfrowali złośliwym oprogramowaniem RYUK pliki zawierające następujące dane osobowe: imię i nazwisko, numer ewidencyjny PESEL, numer i seria dowodu osobistego, adres zamieszkania, adres e-mail, numer telefonu, dane dotyczące wynagrodzeń.

Administrator nie jest w stanie zapewnić, że nieuprawniony podmiot nie pobrał wyżej wymienionych danych osobowych. Istnieje ryzyko kradzieży zaatakowanych złośliwym oprogramowaniem plików.

Jednocześnie Administrator zawiadamia, że wobec braku możliwości dostępu do plików nie jest w stanie wywiązać się z obowiązków wynikających z art. 15 – 22 RODO tj.  do wypełnienia praw przysługujących osobom, których dane dotyczą. Także z uwagi na brak dostępu do danych osób, których dane dotyczą nie jest możliwe dokonanie zawiadomienia drogą elektroniczną ani tradycyjną korespondencją pocztową.

W konsekwencji ataku może dojść do „kradzieży tożsamości” podmiotów danych – o ile hakerzy pobrali lub uzyskali dostęp do danych. W celu zminimalizowania skutków naruszenia Administrator zaleca założenie konta w systemie informacji kredytowej celem monitorowania prób uzyskania kredytu oraz zgłoszenie faktu naruszenia danych właściwym organom i bankowi prowadzącemu Pani/Pana rachunek bankowy w celu zapobieżenia tzw. „kradzieży tożsamości”. Przez „kradzież tożsamości” należy przy tym rozumieć posłużenie się Pani/Pana danymi osobowymi w celu ukrycia swojej tożsamości (np. w przypadku otrzymania mandatu), zawarcia w Pani/Pana imieniu umowy, założenie z wykorzystaniem Pani/Pana danych konta w serwisie internetowym, wykorzystania Pani danych do zarejestrowania karty telefonicznej typu prepaid, która może posłużyć do celów przestępczych, a także inne próby „podszycia” się pod Panią/Pana.

W celu zminimalizowania skutków naruszenia Administrator zabezpieczył infrastrukturę sieciową przed możliwością rozprzestrzeniania się wirusa. Zarekomendował również przeprowadzenie audytu bezpieczeństwa infrastruktury IT i jej zabezpieczenie przed podobnymi incydentami w przyszłości.

Administrator danych osobowych powiadomił, odpowiednie organy o zdarzeniu oraz o  podjętych środkach zaradczych.

Jeśli dowie się Pani/Pan o wykorzystaniu Pana danych przez osobę nieuprawnioną, prosimy o jak najszybsze przekazanie nam tej informacji. Prosimy także o ignorowanie nieoczekiwanych wiadomości e-mail, w szczególności od nieznanych nadawców, a przede wszystkim nieotwieranie załączników dołączonych do korespondencji od nieznanych adresatów.

W razie dodatkowych pytań lub wątpliwości prosimy o kontakt z Inspektorem Danych Osobowych: mgr inż. Monika Tokarczyk tel. 12 663 12 25 lub iod@uj.edu.pl

Niniejszy komunikat został przygotowany zgodnie z wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o  ochronie danych) Dz. U. UE. L. 2016.119.1. z dnia 4 maja 2016 r.

KOMUNIKAT
facebook JCET