Aktualności

20.12.2024

Zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych

Miejskie Przedsiębiorstwo Komunikacyjne S.A. w Krakowie (dalej MPK) jako administrator danych osobowych, realizując obowiązek wynikający z art. 34 RODO, przekazuje informację o naruszeniu ochrony Pani/ Pana danych osobowych.

 

Ważna informacja

 

Nie można wykluczyć, że wskutek ataku hakerskiego nieuprawnione osoby weszły w posiadanie Pani/ Pana danych osobowych.  Dotychczas w związku z atakiem do MPK nie wpłynęły żadne sygnały, które mogłyby świadczyć, że dane osobowe zostały pobrane lub wykorzystane przez nieuprawione osoby. Pomimo tego ostrzegamy, że takie ryzyko jest realne. Dlatego prosimy o nie bagatelizowanie zagrożenia i uważne zapoznanie się z niniejszą informacją oraz rozważenie skorzystania z proponowanych środków zaradczych.

 

Opis charakteru oraz okoliczności naruszenia.

 

W dniu 3 grudnia ok. godziny 7:00 doszło do zaszyfrowania przez nieuprawnione osoby serwerów MPK, w których znajdowały się dane niezbędne do wykonywania zadań Spółki. Utrata dostępu do danych wywołana została atakiem hakerskim obejmującym uniemożliwienie dostępu do zasobów sieciowych i do poczty firmowej. Nastąpiło zainfekowanie złośliwym oprogramowaniem i zaszyfrowanie danych. Wskutek tego incydentu czasowo utracono dostęp do systemów informatycznych zawierających Pani/ Pana dane osobowe. Trwa analiza incydentu w kierunku ustalenia, czy dane zostały pobrane przez nieuprawnione osoby.

 

 

Co zrobiliśmy po ataku hakerskim

 

W celu ograniczenia skutków ataku hakerskiego na naszą infrastrukturę informatyczną oraz złagodzenia negatywnych następstw, bezpośrednio po stwierdzeniu incydentu przystąpiliśmy do określenia jego skutków i zakresu. Wdrożyliśmy procedury awaryjne i niezwłocznie rozpoczęliśmy przywracanie działania naszych systemów informatycznych. Przystąpiliśmy do odzyskiwania danych osobowych. Powiadomiliśmy o zdarzeniu odpowiednie służby, w tym Policję, Agencję Bezpieczeństwa Wewnętrznego, CERT, Centrum Zarządzania Kryzysowego Miasta Krakowa, Urząd Miasta Krakowa oraz Urząd Ochrony Danych Osobowych.

Podjęte działania pozwoliły przywrócić dostęp do Pani/ Pana danych osobowych. W dalszym ciągu trwają czynności ukierunkowane na pełną analizę incydentu, przyczyn jego zaistnienia oraz wypracowania możliwie najlepszych środków zaradczych na przyszłość.

 

 

Czyje i jakie dane osobowe przetwarzaliśmy

 

Poniżej przedstawiamy zestawienie, jakie dane poszczególnych grup osób znajdowały się w  naszych bazach informatycznych w momencie ataku hakerskiego. Podkreślamy, że zakres tych danych nie dotyczy każdego z Państwa. Różne dane osobowe przetwarzaliśmy w zależności od tego, w jakim charakterze miała/-ł Pani/ Pan z nami kontakt.

 

Prosimy o zwrócenie szczególnej uwagi na  dane osobowe wyróżnione pogrubioną czcionką w tabeli i zapoznanie się niżej opisanymi ryzykami oraz zaleceniami, które się do nich odnoszą.

 

 

 

 

pasażerowie Komunikacji Miejskiej w Krakowie

wizerunek

osoby kontaktujące się z infolinią

numer telefonu, głos, imię i nazwisko*

osoby zgłaszające skargi, wnioski i reklamacje

zależnie od rodzaju sprawy:

 

imię i nazwisko, dane adresowe, adres e-mail, nr telefonu, nr rachunku bankowego, nr legitymacji, nr biletu, dane osób, które mogą mieć związek ze zgłoszeniem, fizyczny stan zdrowia

osoby biorące udział w rekrutacji do pracy, na staż oraz praktykę

imię i nazwisko, nr telefonu, e-mail, dane o wykształceniu

 

ponadto, jeśli zawarto w CV: dane adresowe, data urodzenia, PESEL, inne dane podane przez aplikującego 

 

kontrahenci, wykonawcy i dostawcy, z którymi MPK S.A. w Krakowie zawarło umowy oraz ich pracownicy

 

nazwa firmy (podmiotu), NIP, REGON, KRS, imię i nazwisko, PESEL, nr i seria dowodu osobistego, dane adresowe, nr telefonu, adres e-mail, inne dane, jeżeli podano w  związku z zawarciem umowy, dane związane z wypadkiem przy pracy*, dane o karalności

zleceniobiorcy i klienci zewnętrzni

imię i nazwisko, PESEL, nr i seria dowodu osobistego, dane adresowe, nr telefonu, adres e-mail

uczestnicy i wolontariusze konkursów, akcji oraz imprez promocyjnych organizowanych przez MPK S.A. w Krakowie

wizerunek – w przypadku promocyjnych imprez o charakterze publicznym,

w przypadku pozostałych imprez, konkursów oraz w zależności od ich charakteru mogły być przetwarzane dane osobowe: imię i nazwisko, nazwa firmy (podmiotu)*, dane adresowe*, e-mail*, NIP*, REGON*, KRS*, nr telefonu*, wiek*, dane o szkole i klasie, do której uczęszcza uczestnik konkursu*, wizerunek*

osoby uczestniczące w zdarzeniach komunikacyjnych (takich jak wypadki i kolizje drogowe, zatrzymania ruchu, zmiany trasy) oraz osoby uczestniczące w postępowaniach związanych ze zdarzeniami komunikacyjnymi

w zależności od rodzaju sprawy mogły być przetwarzane takie dane jak:

imię i nazwisko, PESEL, NIP, dane adresowe, miejsce urodzenia, data urodzenia, nr  i seria dowodu osobistego, numer i seria paszportu lub dane karty pobytu, płeć, numer telefonu, adres e-mail, imiona i nazwiska rodziców, stan cywilny, dane współmałżonka, dane dzieci, stan trzeźwości, dane o karalności, orzeczenia o ukaraniu, orzeczenia wydane w postępowaniu przed sądem lub urzędem, mandaty, dane o stanie zdrowia, dochód na osobę w rodzinie, numer rejestracyjny pojazdu, marka samochodu, numer rachunku bankowego, wizerunek

osoby wynajmujące pojazdy i inne nośniki pod reklamę

imię i nazwisko/nazwa firmy (podmiotu), NIP*, REGON*, KRS*, PESEL*, nr i seria dowodu osobistego*, dane adresowe*, nr telefonu*, adres e-mail*, imiona rodziców*

najemcy i dzierżawcy obiektów i pomieszczeń,

imię i nazwisko/nazwa firmy (podmiotu), NIP*, REGON*, KRS*, PESEL*, nr i seria dowodu osobistego*, dane adresowe*, nr telefonu*, adres e-mail*, imiona rodziców*

klienci usługi Tele-bus

imię i nazwisko*, nr telefonu, adres e-mail*, nr klienta

klienci Okręgowej Stacji Kontroli Pojazdów

nr rejestracyjny, nr VIN, marka pojazdu, typ pojazdu, data pierwszej rejestracji pojazdu w PL, data pierwszej rejestracji pojazdu za granicą, typ dowodu przedstawionego do rejestracji pojazdu, nr i seria dowodu przedstawionego do rejestracji, rodzaj badania, wynik badania technicznego;

w razie wystawienia faktury: imię i nazwisko, dane adresowe, NIP, dane firmy (podmiotu), termin przeprowadzenia badania technicznego, termin następnego badania*, nr telefonu*, e-mail*

osoby prowadzące korespondencję z MPK S.A. w Krakowie (nieanonimowo)

imię i nazwisko, dane adresowe, adres e-mail, inne dane podane przez osobę kierującą korespondencję*

uczestnicy postępowań w sprawie udzielenia zamówienia, wstępnych konsultacji rynkowych i systemu kwalifikowania wykonawców, ich przedstawiciele oraz pracownicy

imię i nazwisko/nazwa firmy (podmiotu), dane adresowe, adres e-mail, stanowisko*, funkcja*, NIP*, REGON*, KRS*, PESEL*, nr i seria dowodu osobistego*, nr telefonu*, nr rachunku bankowego*, marka i numer rejestracyjny pojazdu*, data urodzenia*, miejsce urodzenia*, dane ojca*, imiona rodziców*, kopia dowodu rejestracyjnego*, dane o karalności*, imię i nazwisko właściciela/współwłaściciela samochodu*

uczestnicy ruchu drogowego zarejestrowani przez kamery w pojazdach komunikacji miejskiej lub osoby znajdujące się w zasięgu kamer obiektowych (w tym osoby, które przebywały na terenie MPK S.A. w Krakowie)

wizerunek

* jeśli dotyczy

 

 

Jakie są dla Pani/ Pana zagrożenia

 

Jak nadmieniono powyżej, nie można wykluczyć, że wskutek ataku hakerskiego, nieuprawnione osoby weszły w posiadanie Pani/ Pana danych osobowych. Czy rzeczywiście do tego doszło będziemy najprawdopodobniej wiedzieć po zbadaniu sytuacji przez odpowiednie służby i specjalistów. Gdy poznamy wyniki tych analiz niezwłocznie poinformujemy, czy stwierdzono nieuprawnione pobranie danych osobowych. Przyjmujemy, że sam fakt włamania do naszych systemów wiąże się z prawdopodobieństwem dostania się Pani/ Pana danych osobowych w niepowołane ręce.

Oceniliśmy jakie mogą być dla Pani/ Pana zagrożenia po ataku na naszą infrastrukturę informatyczną. Poniżej przedstawiamy je wraz z propozycją możliwych działań zaradczych, które może Pani/ Pan podjąć, aby zmniejszyć ryzyko negatywnych konsekwencji.

Osoba nieuprawniona może m.in. podejmować działania związane z możliwością posługiwania się danymi osobowymi tam, gdzie są wymagane dla uwierzytelnienie. Skutek naruszenia ochrony danych osobowych może być tym poważniejszy, im więcej Pani/ Pana danych trafi do nieuprawnionych osób.

Wykorzystując dane o tożsamości, zwłaszcza nr PESEL i/lub nr dowodu osobistego, osoba nieuprawniona może np.:

  • zaciągnąć pod fałszywą tożsamością kredyt lub pożyczkę, i narazić Panią/ Pana na konsekwencje związane z brakiem spłaty, zwłaszcza konieczność przeciwdziałania ewentualnej windykacji bądź wyjaśniania faktu, że ktoś się podszył pod Panią/ Pana;
  • podać Pani/ Pana dane w związku z przyjęciem mandatu karnego lub opłaty karnej za przejazd bez ważnego biletu, co może skutkować konsekwencjami jak w punkcie powyżej;
  • wykorzystać Pani/ Pana dane osobowe dla wprowadzenia innej osoby w błąd przez podawanie się za Panią/ Pana, np. w celu wyłudzenia produktu lub usługi, takiej jak np. usługa hotelowa, umowa z operatorem telefonii komórkowej, telewizji kablowej, telefonu, Internetu, a następnie zaprzestać opłacania rachunków i spowodować dla Pani/ Pana negatywne konsekwencje w postaci zadłużenia;
  • uzyskać dostęp do korzystania ze świadczeń opieki zdrowotnej, które Pani/ Panu przysługują, a także informacji o stanie zdrowia, tam gdzie dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość jedynie za pomocą numeru PESEL;
  • wyłudzić ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla Pani/ Pana problemy związane z dowodzeniem, że to oszust posłużył się Pani/ Pana danymi osobowymi;
  • korzystać z Pani/ Pana praw obywatelskich, np.: do głosowania nad środkami budżetu obywatelskiego; głosowanie przez inne osoby uniemożliwiałoby Pani/ Panu skorzystanie z przysługującego prawa;
  • dokonywać nieuprawnionych zmian wpisów w publicznych rejestrach Pani/ Pana działalności gospodarczej takich jak CEIDG (dotyczy osób prowadzących działalność gospodarczą).

 

Wykorzystując Pani/ Pana imię i nazwisko, dane adresowe, nr telefonu, e-mail i podobne dane identyfikacyjne osoba nieuprawniona może:

  • sprzedać Pani/ Pana dane osobowe do firm zajmujących się marketingiem bezpośrednim, w celu oferowania różnych produktów i usług, przez daną Panią/ Pana niezamawianych, co może skutkować otrzymywaniem niechcianych połączeń telefonicznych lub e-maili i prowadzić do niekorzystnych/ zbędnych zakupów rzeczy, usług;
  • zakładać fałszywe konta i profile w mediach społecznościowych, co może prowadzić do narażenia na szwank Pani/ Pana reputacji;
  • zestawić Pani/ Pana dane osobowe z innymi danymi, które Pani/ Pan upubliczniła/-ł w sieci np. za pośrednictwem portali społecznościowych i wejść w posiadanie informacji na Pani/ Pana temat, np. co do nawyków, zwyczajów, upodobań itp., co może skutkować ujawnieniem informacji z Pani/ Pana sfery prywatnej;
  • podważać Pani/ Pana wiarygodność, reputację lub dobre imię; w tym celu mogą zostać wykorzystywane konta i profile w mediach społecznościowych oraz inne upublicznione przez Panią/ Pana dane o nawykach, upodobaniach i kontaktach.

 

Dysponując Pani/ Pana wizerunkiem osoba nieuprawniona może:

  • rozpowszechniać ten wizerunek na portalach internetowych, w tym w mediach społecznościowych.

 

 

W razie nieuprawnionego wykorzystania Pani/ Pana hasła służbowego, jeśli jest identyczne/ podobne do hasła do innych usług osoba nieuprawniona może:

 

 

  • starać się uzyskać dostęp do Pani/ Pana innych zasobów informatycznych jak poczta prywatna lub służbowa, wykorzystywanych aplikacji wymagających podania nazwy użytkownika, loginu i hasła, co może skutkować utratą dostępu i kontroli nad tymi zasobami.

 

Uzyskując dostęp do danych o Pani/ Pana zdrowiu lub danych o karalności osoba nieuprawniona może:

  • narazić Panią/ Pana na dyskryminację poprzez upublicznienie tych danych lub przekazanie ich innym osobom niepowołanym do ich otrzymania; w zależności od rodzaju wyżej wymienionych danych może to skutkować np. trudnościami w znalezieniu zatrudnienia, wykluczeniem towarzyskim lub spowodować działania innych osób naruszające Pani/ Pana godność osobistą.

 

 

 

 

Co może Pan/ Pani zrobić

 

Poniżej przedstawiamy zestaw narzędzi, sposobów postępowania oraz dobrych praktyk, które mogą pomóc obniżyć negatywne skutki wynikające z naruszenia ochrony Pani/ Pana danych osobowych.

 

 

 

 

Zachowanie ostrożności i czujności.

 

Zalecamy aby Pani/ Pan zwracała/-ł szczególną uwagę na wszelkie podejrzane wiadomości e-mail, SMS‑y, połączenia telefonicznie lub inne próby kontaktu, które mogłyby być próbą wyłudzenia dodatkowych danych. Prosimy nie podawać pochopnie swojego imienia i nazwiska ani innych danych osobowych nieznanym osobom.

 

Zmiana haseł

 

Zalecamy niezwłoczną zmianę prywatnych haseł dostępowych do usług elektronicznych, jeżeli są podobne lub identyczne jak służbowe, a dotychczas Pani/ Pan tego wcześniej nie zrobiła/-ł. Hasła powinny być silne, unikatowe i niedomyślne, składające się z małych, wielkich liter, cyfr i znaków specjalnych. Zaleca się hasła nie krótsze niż 20 znaków. Tam gdzie jest to możliwe zalecamy stosowanie uwierzytelnienia dwuskładnikowego (np. potwierdzenie logowania otrzymanym kodem SMS).

 

 

 

 

Zastrzeżenie numeru PESEL

 

Zalecamy zastrzeżenie numeru PESEL, aby zapobiec kradzieży tożsamości i możliwości jego nieuprawnionego wykorzystania, co skutkuje ograniczeniem ryzyka oszustw finansowych. Można tego dokonać na stronie https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie lub przy wykorzystaniu aplikacji mObywatel, a także podczas osobistej wizyty w urzędzie Gminy lub Miasta.

 

Aktywowanie alertów BIK

 

Zalecamy rozważenie skorzystania z aktywowania alertów i powiadomień w Biurze Informacji Kredytowej (BIK). Alerty te przekażą informacje o próbach zaciągnięcia zobowiązań na Pani/ Pana dane osobowe. BIK umożliwia też regularne sprawdzenie własnej historii kredytowej, co pozwala wykryć ewentualne nieautoryzowane próby zaciągnięcia kredytów z wykorzystaniem Pani/ Pana danych osobowych.

Bank, w którym prowadzony jest Pani/ Pana rachunek posiada własne mechanizmy bezpieczeństwa, również takie, aby potwierdzać tożsamość doradcy oraz aktywność banku w udostępnianych lub proponowanych ofertach.

Proszę pamiętać aby na prośbę doradcy banku:

  • nie przelewać jakichkolwiek pieniędzy,
  • nie instalować proponowanego oprogramowania, nie podawać danych do logowania, numeru kart debetowych i kredytowych,
  • nie przesyłać skanu dowodu osobistego lub innego dokumentu poświadczającego tożsamość,
  • nie podawać kodów PIN, PUK lub BLIK,
  • nie działać pochopnie ani impulsywnie i nie poddać się presji doradcy,
  • natychmiast zakończyć rozmowę/ czat jeśli doradca Panią/ Pana ponagla.

Jeśli doradca wymaga od Pani/ Pana którejś z powyższych rzeczy oznacza to, że w rzeczywistości jest oszustem, który podszywa się pod pracownika banku.

Zalecamy również aby:

  • sprawdzać próby nieautoryzowanych logowań do aplikacji obsługujących rachunki bankowe oraz porównywać nieudane logowania z Pani/ Pana aktywnością w tych aplikacjach,
  • uważnie czytać zalecenia bezpieczeństwa publikowane na stronach banków lub ich aplikacjach mobilnych i stosować się do nich.

 

 

 

 

Uważność przy logowaniu do stron bankowych i podobnych

 

Zalecamy aby przy logowaniu do stron bankowych, sklepów internetowych lub innych portali, wymagających podania nazwy użytkownika i hasła sprawdzać poprawności adresu odwiedzanej strony internetowej. Zalecamy upewnić się, czy połączenie ze stroną internetową jest bezpieczne. Informacja o tym znajduje się w pasku adresu przeglądarki internetowej (górna część strony, zazwyczaj obok ikony „domku”). Jeśli połączenie nie jest bezpieczne prosimy nie logować się.

Uzupełnieniem powyższego postępowania może być sprawdzenie, czy strona internetowa usługi do której Pani/ Pan się loguje nie różni się wizualnie od strony znanej z ostatniego bezpiecznego logowania, np. czy nie zawiera błędów pisowni, czy choćby minimalnych zmian układu elementów. Prosimy uwzględnić, że może okazać się to niewystarczające, ponieważ często fałszywe strony są praktycznie niemożliwe do rozpoznania w ten sposób. Dlatego podkreślamy, że ważna jest weryfikacja poprawności adresu internetowego strony i potwierdzenie, że połączenie jest bezpieczne.

 

 

Aktualizowanie systemów operacyjnych, aplikacji i zabezpieczeń

 

 

Zalecamy, aby zadbać o aktualizacje systemów operacyjnych, wykorzystywanych aplikacji, systemów antywirusowych i zapór sieciowych.

 

 

Korzystanie ze środków ochrony prawnej

 

Informujemy, że jeśli dojdzie do naruszenia Pani/ Pana dóbr osobistych, w tym zachowania prawa do prywatności, przysługuje Pani/ Panu ochrona wynikająca ze środków opisanych w Kodeksie Cywilnym.

Niezależnie od powyższego, większość podmiotów świadczących usługi drogą elektroniczną, portale społecznościowe lub inni operatorzy umożliwiający zamieszczanie komentarzy użytkowników, posiadają własne regulaminy korzystania z tych funkcjonalności i/lub sposoby uzyskania pomocy. Na tej podstawie istnieje możliwość zgłaszania nieprawidłowości lub nielegalnych treści, w tym naruszających Pana/Pani dobra osobiste. Może Pani/ Pan zażądać zaprzestania publikacji takich treści.

 

 

Dodatkowe informacje od administratora danych osobowych

 

Uzyskanie dodatkowych informacji lub zgłoszenie wątpliwości bądź wniosków możliwe jest poprzez kontakt z  Inspektorem Danych Osobowych MPK Krzysztofem Siwcem, za pośrednictwem adresu poczty mailowej: iodo@mpk.krakow.pl

 

 

Prosimy przyjąć przeprosiny za zaistniałą sytuację i wszelkie niedogodności związane z tym zdarzeniem. Zapewniamy, że dokładamy wszelkich starań ograniczających jego negatywne skutki.

 

Administrator danych osobowych:

Miejskie Przedsiębiorstwo Komunikacyjne S.A. w Krakowie

adres do korespondencji: ul. J. Brożka 3, 30-347 Kraków

telefon: 12 254 10 00  

email: zarzad@mpk.krakow.pl

www : www.mpk.krakow.pl

Inspektor ochrony danych osobowych: Krzysztof Siwiec

email: iodo@mpk.krakow.pl

 

lista aktualności