Komunikat o naruszeniu ochrony danych osobowych

Administrator danych osobowych, jakim jest Uniwersytet Łódzki z siedzibą w Łodzi przy ul. Narutowicza 68, działając na podstawie art. 34 pkt 1 i 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), niniejszym informuje o możliwości naruszenia ochrony Pani/Pana danych osobowych, w związku ze zdarzeniem, do jakiego doszło w dniu 16 sierpnia 2021 r. w usłudze pocztowej MS Office 365 na uniwersyteckiej skrzynce funkcyjnej: cbsful@uni.lodz.pl służącej do obsługi polsko-francuskiego programu studiów w zakresie zarządzania typu MBA, obsługiwanej przez Wydział Studiów Międzynarodowych i Politologicznych UŁ.

W rezultacie zaistniałej sytuacji może nastąpić nieuprawnione wykorzystanie danych osobowych osób, które kierowały swoją korespondencję na adres: cbsful@uni.lodz.pl. Ujawnieniu osobom nieuprawnionym mogły ulec w szczególności następujące dane osobowe:


•    imiona i nazwisko;
•    informacja o zmianie nazwiska;
•    nazwisko panieńskie;
•    imiona i nazwiska rodziców;
•    płeć;
•    zdjęcie;
•    seria i nr dowodu osobistego;
•    seria i nr paszportu;
•    PESEL;
•    NIP;
•    nr rachunku bankowego;
•    data urodzenia;
•    akt urodzenia;
•    obywatelstwo;
•    nr indeksu;
•    numery telefonów (prywatne/służbowe);
•    adres e-mail (prywatny, służbowy, studencki);
•    adresy korespondencyjne;
•    miejsce zatrudnienia;
•    stopień naukowy.


Uniwersytet Łódzki niezwłocznie zablokował konta poczty elektronicznej, z których nastąpił wyciek danych osobowych. Informujemy również, że Uczelnia w celu ustalenia sprawcy wycieku zgłosił sprawę polskim organom ścigania oraz Prezesowi Urzędu Ochrony Danych Osobowych.


Ze względu na bezpieczeństwo, mimo, że nieuprawnione wykorzystanie danych jest jedynie prawdopodobne i niepotwierdzone informujemy, że zdarzenie potencjalnie może pociągnąć za sobą skutki dla podmiotów danych (osób, które kierowały korespondencję na adres: cbsful@uni.lodz.pl) polegające m.in. na: 


•    uzyskaniu dostępu do korzystania ze świadczeń opieki zdrowotnej przez osoby trzecie; 
•    wyłudzeniu ubezpieczenia lub środków z ubezpieczenia; 
•    uzyskaniu przez osoby trzecie dostępu do środków finansowych; 
•    nieuprawnionym zarejestrowaniu przedpłaconej karty telefonicznej (pre-paid); 
•    nieuprawnionym uzyskaniu kredytów/pożyczek w instytucjach pozabankowych; 
•    uzyskania przez osoby trzecie dostępu do środków finansowych zgromadzonych na Pani/Pana prywatnych kontach bankowych;
•    nieuprawnionym zawarciu umowy o świadczenie usług, np. telewizji kablowej, telefonu, Internetu;
•    założeniu na Pani/Pana dane osobowe konta internetowego (np. w serwisach społecznościowych); 
•    podszyciu się pod inną osobę lub instytucję w celu wyłudzenia od Pani/Pana dodatkowych informacji (np. danych do logowania, szczegółów karty płatniczej);
•    otrzymywaniu niezamówionych informacji handlowych lub marketingowych.
W celu zminimalizowania ewentualnych negatywnych skutków naruszenia może Pani/Pan również rozważyć podjęcie określonych działań. Może Pani/Pan m.in.:
•    monitorować transakcje płatnicze (np. ustawienie powiadomień o płatności w aplikacji płatniczej);
•    ignorować nieoczekiwane wiadomości, w szczególności od nieznanych nadawców;
•    monitorować stronę internetową https://haveibeenpwned.com/ pod kątem możliwości wycieku danych w postaci adresu e-mail;
•    wykonać zmianę haseł do serwisów poczty elektronicznej, banków i portali społecznościowych (proponujemy w celu generowania haseł korzystanie z menadżerów haseł i wprowadzenie uwierzytelniania dwuskładnikowego);
•    ustawić alerty logowań do wszystkich serwisów, do których posiada Pani/Pan dostęp;
•    podawać minimum danych niezbędnych do wykonania określonych czynności przetwarzania.

Przepraszamy Państwa za zaistniałą sytuację, która może budzić uzasadniony niepokój. Zobowiązujemy się dołożyć wszelkich starań, aby w przyszłości podobne zdarzenia nie miały już miejsca.

Adres e-mail do kontaktu w sprawie: iod@uni.lodz.pl 
Komunikat będzie aktualizowany na bieżąco.


Information sur une violation de la protection des données personnelles


L'administrateur des données personnelles, qui est l'Université de Łódź avec son siège à Łódź, 68,rue Narutowicza, agissant conformément à l'art. 34 points 1 et 2 du Règlement du Parlement Européen et du Conseil de l'UE 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/ 46/CE (ci-après : GDPR), vous informe par la présente de la possibilité de violer la protection de vos données personnelles, en relation avec l'événement survenu le 16 août 2021 dans le service de messagerie MS Office 365 à la boîte aux lettres fonctionnelle de l'université : cbsful @uni.lodz.pl qui gère le programme franco-polonais de gestion type MBA dirigé par la Faculté d'Études Internationales et Politiques de l'Université de Lodz.


En raison de la situation, il peut y avoir une utilisation non autorisée des données personnelles des personnes qui ont envoyé leur correspondance à l'adresse suivante : cbsful@uni.lodz.pl. Les données personnelles suivantes peuvent notamment être divulguées à des personnes non autorisées:


• nom et prénom;
• des informations sur le changement de nom;
•nom de jeune fille;
• les noms et prénoms des parents;
• sexe;
•Photo;
• série et numéro de la carte d'identité;
• série et numéro de passeport;
• Numéro PESEL;
• NIP (numéro d'identification fiscale);
•Numéro de compte bancaire;
•date de naissance;
• un acte de naissance;
•citoyenneté;
• numéro du livret d’étudiant;
• numéros de téléphone (privés/professionnels);
• adresse e-mail (privée, professionnelle, étudiante);
• adresses de correspondance;
•lieu d'embauche;
• diplôme universitaire.

L'université de Lodz a immédiatement bloqué les comptes de messagerie à partir desquels des données personnelles ont été divulguées. Nous informons également que l'Université, afin de trouver l'auteur de la fuite, a signalé l'affaire aux autorités polonaises chargées de l'application des lois et au président de l'Office pour la protection des données personnelles.

Pour des raisons de sécurité, bien que l'utilisation non autorisée des données ne soit que probable et non confirmée, nous tenons à vous informer que l'événement peut potentiellement avoir des conséquences pour les personnes concernées (personnes ayant envoyé une correspondance à l'adresse suivante : cbsful@uni.lodz.pl), telles que:


• l'accès à des services de santé par des tiers;
• extorsion d'assurance ou de fonds d'assurance;
• des tiers ayant accès aux fonds;
• enregistrement non autorisé d'une carte téléphonique prépayée;
• obtention non autorisée de crédits/prêts auprès d'institutions non bancaires;
• obtenir par des tiers l'accès aux fonds accumulés sur vos comptes bancaires privés;
• conclusion non autorisée d'un contrat de prestation de services, par exemple télévision par câble, téléphone, Internet;
• configuration de vos données personnelles sur un compte Internet (par exemple sur des sites de réseaux sociaux);
• usurper l'identité d'une autre personne ou institution afin d'obtenir des informations supplémentaires de votre part (par exemple, identifiants de connexion, informations de carte de paiement);
• recevoir des informations commerciales ou marketing non sollicitées.

Afin de minimiser les effets négatifs possibles d'une violation, vous pouvez également envisager de prendre des mesures spécifiques, entre autres:


• surveiller les opérations de paiement (par exemple, configurer des notifications de paiement dans une application de paiement);
• ignorer les messages inattendus, notamment en provenance d'expéditeurs inconnus;
• surveiller le site Web https://haveibeenpwned.com/ pour détecter d'éventuelles fuites de données sous la forme d'une adresse e-mail;
• modifier les mots de passe des services de messagerie, des banques et des réseaux sociaux (nous suggérons d'utiliser des gestionnaires de mots de passe et d'introduire une authentification à deux facteurs pour générer des mots de passe);
• mettre en place des alertes de connexion à tous les sites Web auxquels vous avez accès;
• fournir les données minimales nécessaires pour effectuer des activités de traitement spécifiques.

Nous nous excusons pour cette situation qui est pour vous une source d’inquiétude justifiée. Nous nous engageons à faire tous les efforts pour que des événements similaires ne se reproduisent pas à l’avenir.

Adresse e-mail de contact : iod@uni.lodz.pl 
Le message sera mis à jour régulièrement.