Szanowna Pani /Szanowny Panie,
Zarząd Transportu Publicznego w Krakowie (dalej ZTP) jako administrator danych osobowych, realizując obowiązek wynikający z art. 34 rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), przekazuje uzupełniające informacje o naruszeniu ochrony Pani/Pana danych osobowych opublikowanych w dniu 6 grudnia 2024r. na stronie internetowej ZTP.
Notification to data subjects of a personal data breach
Administrator danych osobowych:
Zarząd Transportu Publicznego w Krakowie
ul. Wielopole 1, 31-072 Kraków
telefon: 12 616 86 00, 12 616 86 02
email: sekretariat@ztp.krakow.pl
www : www.ztp.krakow.pl
adres ESP : /ZTPK/SkrytkaESP
NIP: 6783176817
REGON: 381750668
inspektor ochrony danych osobowych : Jarosław Myślak
email: iodo@ztp.krakow.pl
Opis charakteru oraz okoliczności naruszenia.
W dniu 3 grudnia ok. godziny 7:00 doszło do zaszyfrowania serwerów podwykonawcy ZTP – Miejskiego Przedsiębiorstwa Komunikacyjnego S.A. w Krakowie (dalej MPK), w których znajdowały się dane niezbędne do organizacji przejazdów środkami komunikacji miejskiej w Krakowie. Utrata dostępności do danych wywołana została atakiem hakerskim obejmującym uniemożliwienie dostępu do zasobów sieciowych i do poczty firmowej przez zainfekowanie złośliwym oprogramowaniem i zaszyfrowanie danych. Wskutek tego incydentu czasowo utracono dostęp do systemów informatycznych zawierających Pana/ Pani dane osobowe. Obecnie trwa analiza incydentu w kierunku ustalenia czy dane zostały przesłane nieuprawnionym osobom. Przed południem dnia 9 grudnia 2024 roku funkcjonowanie systemu zostało przywrócone. W bazie danych znajdowały się informacje w postaci:
- imienia i nazwiska;
- adresu zamieszkania lub adresu do korespondencji;
- serii i numeru dowodu tożsamości (jeżeli zostały podane w ramach procesu reklamacyjnego);
- numeru PESEL;
- daty urodzenia;
- nazwy użytkownika, loginu i hasła do obsługi biletu imiennego przez aplikację;
- danych o stanie zdrowia, w przypadku osób uprawnionych do przejazdów ulgowych lub bezpłatnych;
- danych o stanie majątkowym, w przypadku osób uprawnionych do przejazdów ulgowych lub bezpłatnych;
- danych o środowisku płatniczym (tylko status np. opłacono przelewem, kartą kredytową, w biletomacie, bez numerów kart płatniczych, może dotyczyć również numerów rachunków bankowych jeżeli były takowe podawane podczas procesu reklamacyjnego);
- czasie i miejscu transakcji;
- wizerunku (zdjęcie);
- numeru telefonu;
- danych o nośniku biletu komunikacji miejskiej w Krakowie.
Nie można wykluczyć (sytuacja jest cały czas badana), że wskutek ww. ataku hakerskiego, nieuprawnione osoby weszły w posiadanie Pani/Pana danych osobowych.
Z tego powodu, poniżej przedstawiamy naszą ocenę skutków takiej sytuacji, wraz z propozycją możliwych działań zapobiegawczych.
Możliwe konsekwencje
Nie można wykluczyć, że osoby nieuprawnione weszły w posiadanie Pani/Pana danych osobowych. Ponieważ nie można wykluczyć że osoby nieupoważnione uzyskały dostęp do Państwa danych, w oparciu o nasze analizy przedstawiamy możliwe skutki tego naruszenia.
W zakresie kradzieży tożsamości Pani/Pana dane osobowe w postaci imienia i nazwiska, adresu zamieszkania, numeru PESEL, daty urodzenia, danych o dowodzie osobistym i uprawnień do przejazdów ulgowych lub bezpłatnych oraz wizerunku mogą potencjalnie zostać wykorzystane do zaciągania zobowiązań finansowych w instytucjach poza bankowych, gdyż wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości. Mogą być również podejmowane próby zawarcia umów na usługi, w tym z operatorami telekomunikacyjnymi, świadczącymi usługi hotelowe i wynajmu pomieszczeń lub pojazdów. Również posłużenia się danymi osobowymi przy odroczonych płatnościach jak przyjęcie mandatu karanego, opłaty dodatkowej za przejazd bez biletu albo rachunku, faktury z przyszłą datą zapłaty. Nadto, posłużyć mogą do założenia fałszywych kont lub profili w instytucjach, sklepach albo mediach społecznościowych. Niewykluczona jest także nielegalna sprzedaż Pani/Pana danych osobowych innym podmiotom np. zajmujących się marketingiem, telemarketingiem, pośrednictwem w sprzedaży rzeczy lub oferowaniem usług, co może wiązać się z otrzymywaniem niezamawianych informacji handlowych i otrzymywaniem wiadomości spamowych, również w postaci wiadomości tekstowych sms lub rozmów telefonicznych.
W obszarze dóbr osobistych istnienie ryzyko działań ukierunkowanych na podważenie Pani/Pana wiarygodności, reputacji lub dobrego imienia. W tym celu mogą zostać wykorzystywane konta i profile w mediach społecznościowych oraz inne upublicznione przez Panią/Pana dane o nawykach, upodobaniach i kontaktach. Istnieje także potencjalne ryzyko nieuprawnionego rozpowszechnienia Pani/Pana danych osobowych, w tym wizerunku za pośrednictwem wskazanych portali społecznościowych.
Nieuprawnione osoby mogą również starać się uzyskać dostęp do Pani/Pana innych zasobów informatycznych jak poczta prywatna lub służbowa, wykorzystywanych aplikacji wymagających podania nazwy użytkowania, loginu i hasła.
Przedstawione powyżej zagrożenia są tylko hipotetycznym zestawieniem potencjalnych niebezpieczeństw jakie mogłyby zaistnieć przy użyciu nie tylko tych danych, ale także zaawansowanej technologii i działań zmierzających do dokonania czynów zabronionych.
Zastosowane środki zaradcze
W celu ograniczenia skutków oraz złagodzenia negatywnych następstw, bezpośrednio po stwierdzeniu incydentu przystąpiono do określenia jego skutków i zakresu oraz do próby przywrócenia funkcjonalności systemu. Nadto, powiadomiono Policję, Agencję Bezpieczeństwa Wewnętrznego, CERT (Computer Emergency Response Team), Centrum Zarządzania Kryzysowego Miasta Krakowa, Urząd Miasta Krakowa oraz Urząd Ochrony Danych Osobowych. Podmioty te włączyły się bezpośrednio w podejmowane czynności.
Podjęte działania doprowadziły do uruchomienia usług świadczonych pasażerom w zakresie sprzedaży biletów okresowych. W dalszym ciągu trwają czynności ukierunkowane na pełną analizę incydentu, przyczyn zaistnienia oraz wypracowania środków zapobiegawczych na przyszłość.
Proponowane środki zaradcze
Prócz stosowanych przez ZTP i MPK środków zaradczych przedstawiamy poniżej zestaw narzędzi i sposobów postępowania oraz kilka dobrych praktyk pozwalających obniżyć negatywne skutki wynikające z naruszenia ochrony Pani/Pana danych osobowych.
Kluczowe znaczenie w ograniczeniu i przeciwdziałaniu negatywnym skutkom naruszenia ochrony danych osobowych ma czujność osoby i świadomość zagrożeń. Dlatego, zalecamy aby Pani/Pan zwracał/a szczególną uwagę na wszelkie podejrzane wiadomości e-mail, SMS-y, połączenia telefonicznie lub inne próby kontaktu, które mogłyby być próbą wyłudzenia dodatkowych danych. Konieczne jest również zadbanie o zmianę haseł, w tym także po przeczytaniu niniejszego komunikatu (jeżeli Państwo tego wcześniej nie zrobili). Hasła powinny być silne, unikatowe i niedomyślne, składające się z małych, wielkich liter, cyfr i znaków specjalnych o odpowiednio długiej składni. Tam gdzie jest to możliwe zalecamy stosowanie managera haseł lub uwierzytelnienia dwuskładnikowego.
W zakresie kradzieży tożsamości i możliwości dalszego ich nieuprawnionego wykorzystania, w tym w celu ograniczenia ryzyka oszustw finansowych, zalecamy zastrzeżenie numeru PESEL – można tego dokonać na stronie https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie lub przy wykorzystaniu aplikacji mObywatel albo podczas osobistej wizyty w urzędzie Gminy lub Miasta.
Istnieje nadto, możliwość aktywowania alertów i powiadomień w Biurze Informacji Kredytowej (BIK), które przekażą informacje o próbach zaciągnięcia zobowiązań na Pani/Pana dane osobowe. Ta sama instytucja umożliwia regularne sprawdzenie własnej historii kredytowej co pozwala wykryć ewentualne nieautoryzowane próby zaciągnięcia kredytów.
Z pewnością bank, w którym prowadzony jest Pani/Pana rachunek posiada własne mechanizmy bezpieczeństwa, w tym odnoszące się do potwierdzenia tożsamości doradcy i aktywności banku w udostępnianych lub proponowanych ofertach. Proszę pamiętać aby w szczególności na prośbę doradcy:
- nie przelewać jakichkolwiek pieniędzy;
- nie instalować proponowanego oprogramowania;
- nie podawać danych do logowania, numeru kart debetowych i kredytowych;
- nie przesyłać skanu dowodu osobistego lub innego dokumentu poświadczającego tożsamość;
- nie podawać kodów PIN, PUK lub BLIK,
a przede wszystkim nie działać pochopnie, impulsywnie lub poddać się presji doradcy, w szczególności dotyczącego czasu reakcji przez niego określanego.
Pomocnym będzie również sprawdzanie prób nieautoryzowanych logowań do aplikacji obsługujących rachunki bankowe oraz porównywanie udanych logowań z Pani/Pana aktywnością w tych aplikacjach.
Przy logowaniu do stron bankowych, sklepów internetowych lub innych portali, wymagających podania nazwy użytkownika i hasła prosimy o sprawdzanie poprawności adresu wywołanej strony internetowej oraz jej wizualnej prawidłowości, w szczególności czy nie znajdują się w jej treści odbiegające od rzeczywistych obrazki lub treści pisane odmienną czcionką, z błędami, bez zachowania zasad ortografii lub gramatyki.
W zakresie Pani/Pana dóbr osobistych, w tym zachowania prawa do prywatności, przysługuje Państwu ochrona wynikająca ze środków opisanych w Kodeksie Cywilnym.
Niezależnie od powyższego, większość podmiotów świadczących usługi drogą elektroniczną, portale społecznościowe lub inni operatorzy umożliwiający zamieszczanie komentarzy użytkowników, posiadają własne regulaminu korzystania z tych funkcjonalności i/lub sposoby uzyskania pomocy. Na ich bazie istnieje możliwość zgłaszania nieprawidłowości lub nielegalnych treści, w tym naruszających Pana/Pani dobra osobiste, włącznie z żądaniem zaprzestania publikacji takich treści. Odnosi się to również do portali społecznościowych:
- Platforma x: https://help.x.com/pl/rules-and-policies/x-report-violation;
- Facebook: https://pl-pl.facebook.com/help/263149623790594/;
- YouTube: https://support.google.com/youtube/answer/2802032?hl=pl.
Prosimy również zadbać o aktualizacje systemów operacyjnych, wykorzystywanych aplikacji, systemów antywirusowych i zapór sieciowych.
Uprzejmie informujemy, że właściwe służby i organy ścigania zajmują się wyjaśnianiem incydentu i udzielają wsparcia ZTP i MPK. Jednocześnie zadeklarowaliśmy pełną z nimi współpracę. Podobnie jak z wszystkimi naszymi pasażerami i innymi osobami dotkniętymi zdarzeniem.
Bezpośredni kontakt w sprawie naruszenia
Informujemy, może Pani/Pan zadawać dodatkowe pytania lub zgłaszać wątpliwości poprzez kontakt z Inspektorem Danych Osobowych Jarosławem Myślakiem iodo@ztp.krakow.pl, albo podczas wizyty w siedzibie ZTP, jak również w bezpośrednim kontakcie z pracownikami Punktów Obsługi Pasażerów.
Za zaistniałą sytuację, wszelkie niedogodności związane z incydentem proszę przyjąć przeprosiny. Zarówno dyrekcja jak i pracownicy, zapewniają, że dołożą wszelkich starań ograniczających negatywne skutki zdarzenia.