Lublin: Naruszenie ochrony danych w Urzędzie Marszałkowskim
Fot. Licencjodawca
W dniu 12 sierpnia 2025 roku w Urzędzie Marszałkowskim Województwa Lubelskiego ujawniono naruszenie zasad ochrony danych osobowych. Jak poinformowano, pracownik urzędu bez stosownego upoważnienia uzyskał dostęp do danych kadrowych i skopiował je na swój zasób sieciowy oraz na zewnętrzny nośnik. Do zdarzenia doszło w wyniku przekazania komputera służbowego przez pracownika Lubelskiego Centrum Innowacji i Technologii bez wcześniejszego usunięcia z niego wrażliwych informacji. Analiza logów systemowych potwierdziła fakt skopiowania danych.
Naruszenie obejmowało dane kilku grup osób. W przypadku pracowników UMWL zatrudnionych przed 1 stycznia 2024 roku były to informacje dotyczące imienia, nazwiska, numeru PESEL, daty urodzenia, a także wynagrodzenia wraz z przyznanymi nagrodami. W odniesieniu do stypendystów z 2023 roku oraz laureatów Nagrody Marszałka w tym samym roku skopiowano dane w postaci imienia, nazwiska i numeru PESEL. W bazie znalazły się także informacje o osobach, które zawarły w 2023 roku umowy cywilno-prawne, w zakresie imienia, nazwiska i numeru PESEL. Naruszenie dotyczyło również radnych Sejmiku Województwa Lubelskiego VI kadencji z lat 2018–2024, w przypadku których ujawniono imię, nazwisko i numer PESEL.
Administrator danych osobowych w UMWL niezwłocznie wdrożył wewnętrzną procedurę wyjaśniającą i podjął działania mające ograniczyć skutki incydentu. Sprawa została zgłoszona zarówno do Prezesa Urzędu Ochrony Danych Osobowych, jak i do właściwej prokuratury. Pracownik, który skopiował dane, złożył oświadczenie o trwałym ich usunięciu, nieudostępnianiu osobom trzecim oraz niewykorzystywaniu w żadnej formie. Mimo to, ze względu na charakter naruszenia, administrator zaleca podjęcie dodatkowych działań prewencyjnych przez osoby, których dane mogły zostać ujawnione.
Eksperci wskazują, że osoby poszkodowane mogą być narażone na różne formy nadużyć. Wśród nich wymienia się możliwość wykorzystania danych do zaciągania zobowiązań finansowych w instytucjach pozabankowych, zawierania umów cywilno-prawnych na szkodę właściciela danych, a także próby podszywania się pod instytucje publiczne lub prywatne w celu wyłudzeń. Nie można również wykluczyć ograniczenia możliwości korzystania z praw obywatelskich, na przykład poprzez oddanie głosu w ramach budżetu obywatelskiego.
W związku z tym UMWL rekomenduje podjęcie kroków zabezpieczających. Wskazuje się przede wszystkim na możliwość zastrzeżenia numeru PESEL w dowolnym urzędzie gminy lub przez Internet z wykorzystaniem profilu zaufanego, e-dowodu, aplikacji mObywatel bądź danych bankowości elektronicznej. Dodatkowo istnieje opcja założenia konta w systemie informacji kredytowej i aktywowania alertów BIK, które umożliwiają bieżące monitorowanie prób zaciągnięcia zobowiązań finansowych na dane osobowe.
Administrator podkreśla, że choć pracownik zadeklarował usunięcie wszystkich skopiowanych plików i nieudostępnianie ich osobom trzecim, naruszenie stanowi poważne zagrożenie i wymaga czujności oraz odpowiedzialnych działań ze strony osób, których dane znalazły się w niepowołanych rękach.
