Miejska Gospodarka Komunalna w Oleśnicy informuje o incydencie z danymi

***

Informujemy o zdarzeniu w naszej Spółce związanym z ochroną danych osobowych, które szczegółowo wyjaśniamy i o którym chcemy rzetelnie Państwa poinformować.

Charakter naruszenia ochrony danych osobowych: W dniu 8 stycznia 2026 roku, w związku z przygotowaniem przetargu na "Modernizację sieci ciepłowniczej w miejscowości Oleśnica - zadanie 8-9" na platformie bazakonkurencyjnosci.funduszeeuropejskie.gov.pl (służącej do publikacji unijnych postępowań przetargowych i zamówień publicznych), doszło do publikacji dokumentu w postaci załącznika PDF PBW Oleśnica sieć os. Sikorskiego_CZĘŚĆ PÓŁNOCNA_uzgodnienie cz. 1, stanowiącego uproszczony wypis z rejestru gruntów z dnia 23.10.2024 roku, natomiast w dniu 6 lutego 2026 roku, w związku z przygotowaniem przetargu na "Modernizację sieci ciepłowniczej w miejscowości Oleśnica - zadanie 5-6", na stronie internetowej Miejskiej Gospodarki Komunalnej Sp. z o.o. w zakładce Zamówienia publiczne / Ogłoszenia doszło do publikacji dokumentu w postaci załącznika ZL_2025_08_20 stanowiącego uproszczony wypis z rejestru gruntów.

Oba te załączniki zawierały dane osobowe mieszkańców Gminy Miasta Oleśnicy oraz osób zagranicznych. Wypisy z rejestru gruntów stanowiły część dokumentacji projektowej zleconej do wykonania podmiotowi zewnętrznemu. Zgodnie z posiadanymi danymi technicznymi pliki mogły zostać wielokrotnie wyświetlone lub pobrane. W wyniku opisanej sytuacji doszło do ujawnienia danych podstawowych właścicieli nieruchomości takich jak: nazwiska i imiona, imiona rodziców, adres zamieszkania i/lub pobytu, numer ewidencyjny PESEL, udział oraz forma władania nieruchomością.

Naruszenie miało charakter nieumyślny, a jego przyczyną było wewnętrzne, niezamierzone działanie pracownika, tzw. błąd ludzki.

Możliwe konsekwencje naruszenia ochrony danych osobowych: Ryzyko kradzieży tożsamości - udostępnienie imienia, nazwiska, PESEL-u, adresu zamieszkania i numeru telefonu umożliwia podszycie się pod daną osobę np. w celu zaciągnięcia zobowiązań finansowych, rejestracji usług lub wyłudzeń. Narażenie na oszustwa i phishing - osoby mogą otrzymywać fałszywe wiadomości lub telefony z próbami wyłudzenia dodatkowych danych bądź środków finansowych. Pogorszenie poczucia bezpieczeństwa i naruszenie prywatności - mieszkańcy mogą odczuwać stres, niepokój i utratę zaufania do instytucji publicznych. Potencjalne skutki prawne i administracyjne dla mieszkańców - np. w przypadku wykorzystania ich danych do złożenia fałszywego wniosku kredytowego.

Ryzyko wtórnego wykorzystania danych: Publikacja pliku przez osoby trzecie - nawet po usunięciu załącznika z platformy, możliwe było jego wcześniejsze pobranie i dalsze rozpowszechnianie. Trudność w pełnym wyeliminowaniu skutków - raz ujawnione dane osobowe, szczególnie takie jak PESEL czy adres, trudno całkowicie "cofnąć" z przestrzeni cyfrowej.

Środki zastosowane przez Administratora Danych w celu zaradzenia naruszeniu ochrony danych oraz zminimalizowania negatywnych skutków. W dniu 10.06.2026 roku ok. godz. 15:39, natychmiast po stwierdzeniu naruszenia wszystkie pliki przetargu na stronie internetowej Spółki zostały zablokowane do wyświetlenia. Spółka bezzwłocznie podjęła kontakt z platformą bazakonkurencyjnosci.funduszeeuropejskie.gov.pl w zakresie możliwości usunięcia treści zawierających dane osobowe. Naruszenie ochrony danych osobowych zostało w ustawowym terminie zgłoszone do Urzędu Ochrony Danych Osobowych. Incydent zgłoszono do CSIRT NASK. Wszczęto procedurę indywidualnego powiadamiania osób, których dane naruszono o fakcie naruszenia i konsekwencjach naruszenia. Zamieszczono na stronie www oraz BIP Urzędu informację o naruszeniu. Zaplanowano szkolenie z pracownikami Spółki dotyczące zasad przygotowywania i publikacji informacji na stronach BIP. Rozpoczęto działania organizacyjne mające zapobiec podobnym incydentom w przyszłości, chociażby takie jak przegląd procedur, wzmocnienie zabezpieczeń informatycznych, wprowadzenie wieloetapowej weryfikacji dokumentów publikowanych w sieci internetowej.

Kontakt z Inspektorem Ochrony Danych: Andrzej Olszewski e-mail: iod (at) mgk.olesnica.pl

Miejska Gospodarka Komunalna w Oleśnicy

***

rd