Informacje o naruszeniu ochrony danych osobowych

Informacja o naruszeniu ochrony danych osobowych, 26-28 lutego 2025 r.

Szanowni Państwo,
Urząd Miasta Ciechanów informuje o naruszeniu ochrony danych osobowych, zgodnie z poniższym zakresem informacji:

Charakter naruszenia ochrony danych osobowych

Urząd Miasta Ciechanów informuje, że w dniach 26-28 lutego 2025 r. doszło do naruszenia ochrony danych osobowych w ramach Ciechanowskiego Budżetu Obywatelskiego. W dniu 26  lutego 2025 r. do Urzędu Miasta Ciechanów zaczęły się zgłaszać osoby oraz rodzice dzieci, których dane osobowe (PESEL, imię i nazwisko) zostały użyte bez wiedzy i zgody do oddania głosu w ramach Ciechanowskiego Budżetu Obywatelskiego (CBO).

Realizując obowiązek wynikający z treści art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), tzw. „RODO”, Prezydent Miasta Ciechanów jako Administrator danych osobowych informuje, że po analizie zgłoszeń o możliwości wykorzystania danych osobowych do głosowania w ramach CBO przez osoby trzecie, dokonano unieważnienia tych głosów, które zostały zgłoszone do Urzędu Miasta Ciechanów.

Ponadto zgłoszono naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz CSIRT NASK - Krajowego Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego przy państwowym instytucie badawczym.

Podmiotem przetwarzającym odpowiedzialnym za obsługę strony internetowej do głosowania w ramach CBO (bo.umciechanow.pl) jest Agencja Interaktywna IntraCOM.pl S.C., ul. Moniuszki 14a/10, Katowice 40-005.

Opis możliwych konsekwencji naruszenia ochrony danych osobowych

Naruszenie ochrony danych osobowych, takich jak numer PESEL, imię i nazwisko, może prowadzić do poważnych konsekwencji, w tym:

• Kradzież tożsamości
  Dane te mogą zostać wykorzystane do podszywania się pod daną osobę, np. w celu zaciągnięcia pożyczki lub zawarcia umowy na usługi.
• Naruszenie prywatności
  Ujawnienie tych danych może prowadzić do nieautoryzowanego dostępu do innych informacji osobistych.
• Ryzyko finansowe
  Oszuści mogą wykorzystać te dane do uzyskania dostępu do kont bankowych lub innych zasobów finansowych.
• Problemy prawne
  W przypadku wykorzystania danych w sposób niezgodny z prawem, osoba, której dane dotyczą, może być niesłusznie oskarżona.

Opis środków zastosowanych przez administratora w celu zminimalizowania ewentualnych negatywnych skutków

W związku z zaistniałym naruszeniem ochrony danych osobowych administrator danych osobowych zgłosił zaistniałe naruszenia do Prezesa Urzędu Ochrony Danych Osobowych oraz CSIRT NASK - Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego przy państwowym instytucie badawczym. Ponadto Administrator współpracuje z Komendą Powiatową Policji w zakresie wyjaśnienia okoliczności zaistniałego zdarzenia.

Opis środków proponowanych osobie w celu zminimalizowania ewentualnych negatywnych skutków naruszenia

W przypadku naruszenia ochrony danych, takich jak PESEL, imię i nazwisko, środki minimalizujące negatywne skutki mogą obejmować:

• Zastrzeżenie numeru PESEL
  Osoba może złożyć wniosek o zastrzeżenie numeru PESEL w systemie, co uniemożliwi jego wykorzystanie w procesach takich jak zaciąganie kredytów czy zawieranie umów na nazwisko poszkodowanego.
• Weryfikacja w BIK (Biurze Informacji Kredytowej)
  Regularne sprawdzanie swojego raportu kredytowego, aby upewnić się, że nie zostały zaciągnięte kredyty lub pożyczki bez zgody posiadacza danych.
• Zgłoszenie do instytucji finansowych
  Powiadomienie banków i innych instytucji o możliwości wykorzystania danych w celach oszustwa. Banki mogą wprowadzić dodatkowe środki ochronne, np. blokadę nieautoryzowanych transakcji.
• Złożenie zawiadomienia na policji
  W przypadku podejrzenia kradzieży tożsamości lub innych przestępstw związanych z wykorzystaniem danych, zgłoszenie tego faktu organom ścigania.
• Rozważenie skorzystania z pomocy prawnika w celu ochrony swoich praw,
  np. w sytuacji, gdy dane zostały wykorzystane niezgodnie z prawem.

Dane kontaktowe w celu uzyskania dodatkowych informacji

W celu uzyskania dodatkowych informacji w związku z zaistniałym zdarzeniem, prosimy o kontakt z inspektorem ochrony danych w Urzędzie Miasta Ciechanów:
Radosław Lipowski,
adres e-mail: ,
tel.: +48 23 674 92 58

Szanowni Państwo,
Urząd Miasta Ciechanów informuje o naruszeniu ochrony danych osobowych, zgodnie z poniższym zakresem informacji:

Opis charakteru naruszenia:

W dniu 5.12.2022 r. Urząd Marszałkowski Województwa Mazowieckiego pismem CG-R-II.433.35.2017.BR oraz CG-R-III.042.1.1.2022.JL, poinformował, że w dniu 5.12.2022 r. doszło do incydentu bezpieczeństwa w infrastrukturze projektowej Węzła Regionalnego oraz w infrastrukturach kilku Partnerów, polegającego na potencjalnym zaszyfrowaniu serwerów i braku dostępu do systemów informatycznych wdrażanych w projektach EA/BW/ASI oraz serwerów FTP. W celu zapobiegnięcia eskalacji incydentu zarekomendował jak najszybsze wyłączenie serwerów fizycznych z Projektów „Rozwój elektronicznej administracji w samorządach województwa mazowieckiego wspomagającej niwelowanie dwudzielności potencjału województwa” (Projekt EA), „Przyspieszenie wzrostu konkurencyjności województwa mazowieckiego, przez budowanie społeczeństwa informacyjnego i gospodarki opartej na wiedzy poprzez stworzenie zintegrowanych baz wiedzy o Mazowszu” (Projekt BW) i „Regionalne partnerstwo samorządów Mazowsza dla aktywizacji społeczeństwa informacyjnego w zakresie e-administracji i geoinformacji” (Projekt ASI) oraz odłączenie zasilania na urządzeniu UTM. Zgodnie z wytycznymi Urzędu Marszałkowskiego Województwa Mazowieckiego administrator niezwłocznie dokonał powyższych czynności. W dniu 10.02.2023 r. administrator danych dokonał sprawdzenia serwerów, zgodnie z instrukcją przekazaną przez Urząd Marszałkowski Województwa Mazowieckiego w Warszawie. W wyniku dokonanej weryfikacji ustalono, że dane zostały zaszyfrowane, a ich odzyskanie nie jest możliwe.

Działania podjęte przez administratora:

Naruszenie ochrony danych osobowych zostało zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych.

Możliwe konsekwencje naruszenia:

Obecnie Urząd Miasta Ciechanów nie posiada żadnych sygnałów o wykorzystaniu danych osobowych przez osoby nieuprawnione oraz aby na skutek ataku dane jakiejkolwiek osoby zostały wykorzystane w sposób sprzeczny z interesami tych osób, np. w celu uzyskania pożyczek, kredytów czy ubezpieczeń.

Na podstawie art. 34 RODO Urząd Miasta Ciechanów zobowiązany jest do poinformowania Państwa o zidentyfikowanych, możliwych konsekwencjach naruszenia danych osobowych takich jak:

• uzyskanie przez osoby trzecie (na szkodę osoby, której dane osobowe naruszono) kredytów w instytucjach pozabankowych - ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób (np. przez Internet lub telefonicznie) bez konieczności okazywania dokumentu tożsamości;
• uzyskanie przez osoby trzecie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono oraz do jej danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL;
• skorzystanie przez osoby trzecie z praw obywatelskich osoby, której dane naruszono (np.: do głosowania nad środkami budżetu obywatelskiego) - uniemożliwiałoby to właściwej osobie skorzystanie z przysługującego jej prawa;
• podjęcie przez osoby trzecie próby wyłudzenia ubezpieczenia (lub środków z ubezpieczenia), co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu;
• zarejestrowanie przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych;
• próby zawarcia przez osoby trzecie umów cywilno-prawnych (np. najmu nieruchomości);
• wykorzystanie danych przez osoby trzecie do ukrycia swojej tożsamości (np. przy otrzymywaniu mandatów).

Środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu:

Pomimo braku informacji o nieuprawnionym wykorzystaniu danych w celu zabezpieczenia się przed ewentualnymi negatywnymi skutkami zaistniałego naruszenia zalecamy, aby osoby których dane osobowe mogły ulec naruszeniu, rozważyły podjęcie kroków minimalizujących ryzyko wystąpienia negatywnych konsekwencji i nieuprawnionego wykorzystania danych m.in. poprzez założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej (na rynku dostępne są systemy, instytucje i przedsiębiorstwa, które oferują usługi pozwalające na monitorowanie swojej aktywności kredytowej:

• Biuro Informacji Kredytowej S.A. strona https://www.bik.pl,
• Biuro Informacji Gospodarczej InfoMonitor S.A. strona https://big.pl,
• Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. strona >https://krd.pl,
• Serwis CHRONPESEL strona https://www.chronpesel.pl.

W przypadku stwierdzenia jakichkolwiek nieprawidłowości – zgłoszenie tego faktu organom  ścigania oraz zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu.

Gdzie możecie Państwo uzyskać więcej informacji:

W razie dodatkowych pytań lub wątpliwości prosimy o kontakt z Inspektorem Ochrony Danych pod adresem korespondencyjnym: Urząd Miasta Ciechanów, Plac Jana Pawła II 6, 06-400 Ciechanów, z dopiskiem „INSPEKTOR OCHRONY DANYCH” lub za pośrednictwem adresu e-mail: