Kradzież komputera przenośnego, użytkowanego przez jednego z pracowników Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie, miała miejsce 5 listopada 2019 r.  

Na dysku znajdowały się dane osobowe przetwarzane w trakcie postępowań rekrutacyjnych w ostatnich latach w Szkole Głównej Gospodarstwa Wiejskiego w Warszawie.

Jak informuje administrator danych osobowych SHGGW, nie można wykluczyć, że w wyniku incydentu, nieznane osoby uzyskały dostęp do danych osobowych, przez co doszło do naruszenia ochrony danych osobowych.

Chodzi o dane osobowe kandydatów obejmujące m.in.: dane identyfikacyjne - imię, drugie imię, nazwisko, nazwisko rodowe, imiona rodziców, pesel, płeć, narodowość, obywatelstwo, adres zamieszkania, seria i numer dowodu/paszportu, seria i numer dowodu osobistego, ukończona szkoła średnia, miejscowość szkoły średniej, nr telefonu komórkowego i stacjonarnego, rok ukończenia szkoły średniej, numer i data świadectwa ukończenia szkoły średniej, organ wydający świadectwo, rok matury i data świadectwa maturalnego, organ wydający świadectwo maturalne, wyniki uzyskane na egzaminie maturalnym, ukończone studia, ukończona uczelnia, ukończony kierunek studiów, ocena na dyplomie, średnia ze studiów, kierunek studiów o który kandydat się ubiega, dane szkoły średniej, informacja o zakwalifikowaniu na studia, punkty kwalifikacyjne kandydata, zbieżność kierunku studiów ukończonego z tym o który się kandydat ubiega.

Szkoła Główna Gospodarstwa Wiejskiego w Warszawie informuje, iż istnieje ryzyko nieuprawnionego dostępu do ww. danych osobowych i zapoznania się z ich treścią. Możliwymi konsekwencjami ewentualnego naruszenia ochrony danych osobowych jest nieuprawnione wykorzystanie danych osobowych m.in. w celu:

  • uzyskania przez osoby trzecie, na szkodę osoby, której dane naruszono, kredytów w instytucjach pozabankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości;
  • uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono oraz do jej danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL;
  • korzystania z praw obywatelskich osoby, której dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego - uniemożliwiałoby to właściwej osobie skorzystanie z przysługującego jej prawa;
  • wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu.

Aby zabezpieczyć się przed negatywnymi skutkami zaistniałego naruszenia uczelnia zaleca, aby osoby których dane osobowe mogły ulec naruszeniu, podjęły kroki minimalizujące ryzyko wystąpienia negatywnych konsekwencji i nieuprawnionego wykorzystania danych m.in. poprzez: założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej (na rynku dostępne są systemy, instytucje i przedsiębiorstwa, które oferują usługi pozwalające na monitorowanie swojej aktywności kredytowej.

Przykładowe to: Biuro Informacji Kredytowej S.A. strona https://www.bik.pl, Biuro Informacji Gospodarczej InfoMonitor S.A. strona https://big.pl, Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. stron https://krd.pl, Serwis CHRONPESEL strona https://www.chronpesel.pl ).

W przypadku stwierdzenia jakichkolwiek nieprawidłowości – zgłoszenie tego faktu organom ścigania;

  • zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu;
  • dokonanie samodzielnego zgłoszenia faktu naruszenia danych osobowych właściwym organom w celu zapobieżenia tzw. „kradzieży tożsamości”.

Administrator Danych Osobowych w celu zaradzenia naruszeniu ochrony danych osobowych i zminimalizowania ewentualnych negatywnych skutków tego naruszenia podjął niezwłocznie adekwatne środki organizacyjne, administracyjne i prawne, w tym ponownie poinformował pracowników, iż przetwarzanie danych osobowych, których administratorem lub procesorem jest SGGW może odbywać się wyłącznie na nośnikach służbowych zapewniających właściwą ochronę poufności i bezpieczeństwa danych osobowych zgodnie z obowiązującymi w SGGW wewnętrznymi procedurami. Administrator Danych Osobowych przeprowadził też kolejne szkolenie kadry kierowniczej z zakresu przepisów o ochronie danych osobowych oraz kontynuuje harmonogram cyklicznych szkoleń dla pracowników uczelni z tego zakresu. Jednocześnie incydent został zgłoszony przez Administratora Danych Osobowych do Urzędu Ochrony Danych Osobowych i do organów ścigania. Ponadto pracownik Szkoły Głównej Gospodarstwa Wiejskiego w Warszawie będący użytkownikiem skradzionego komputera, złożył zawiadomienie w KP Warszawa Ursynów o podejrzeniu popełnienia przestępstwa przez nieznanych sprawców, polegającego na kradzieży komputera przenośnego zawierającego dane osobowe kandydatów na studia.

Administrator Danych Osobowych zapewnia, iż zostały podjęte niezbędne działania, aby podobna sytuacja nie miała miejsca w przyszłości.