PUBLICZNY KOMUNIKAT O NARUSZENIU OCHRONY DANYCH OSOBOWYCH sporządzony w trybie art. 34 RODO

27.04.2026

PUBLICZNY KOMUNIKAT O NARUSZENIU OCHRONY DANYCH OSOBOWYCH sporządzony w trybie art. 34 RODO

Powiatowe Centrum Pomocy Rodzinie w Rzeszowie działając  na podstawie art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), informuje:

 

Szanowni Państwo!

 

Użytkownicy Systemu Obsługi Wsparcia wnioskujący o dofinansowania  ze środków Państwowego Funduszu Rehabilitacji Osób Niepełnosprawnych, Powiatowe Centrum Pomocy Rodzinie w Rzeszowie, ul. Siemieńskiego 18 A zawiadamia, że w dniu 01.04.2026r. mogło dojść do naruszenia ochrony Państwa danych osobowych, którymi administrujemy wspólnie z Państwowym Funduszem Rehabilitacji Osób Niepełnosprawnych, który jest właścicielem i administratorem technicznym Systemu Obsługi Wsparcia.

Jednocześnie informujemy, że do zdarzenia tego doszło z przyczyn niezależnych od  Powiatowego Centrum Pomocy Rodzinie w Rzeszowie oraz mimo stosowania najwyższych standardów zabezpieczeń informatycznych i środków technicznych mających zapewnić bezpieczeństwo przetwarzanych danych, gromadzonych przez PCPR. W tym samym dniu wdrożyliśmy procedury, które miały na celu  zminimalizowanie skutków incydentu. Jednocześnie informujemy, że  w pierwszej kolejności poinformowaliśmy  właściciela SOW – PFRON o zaistniałym zdarzeniu, aby ograniczyć i zminimalizować incydent.

   I.       Opis charakteru naruszenia.

Z informacji uzyskanych z Państwowego Funduszu Rehabilitacji Osób Niepełnosprawnych wiemy, że  istnieje  ryzyko, że osoby niezatrudnione w Powiatowym Centrum Pomocy Rodzinie w Rzeszowie mogły mieć nieuprawniony dostęp do Państwa danych. PFRON potwierdził  wystąpienie błędu w systemie SOW. 
          W dniu 01.04.2026 r. stwierdzono błąd w systemie SOW na skutek którego dostęp do Państwa danych osobowych uzyskali pracownicy innych powiatowych centrów pomocy rodzinie. Na ich kontach pracowniczych dostępne były wnioski złożone przez osoby z niepełnosprawnością lub ich pełnomocników oraz informacje dotyczące statusu obsługi ww. wniosków. Błąd polegał na tym, że były to wnioski podlegające właściwości innych powiatowych centrów pomocy rodzinie.

Naruszenie mogło dotyczyć, w zależności od konkretnych informacji dostępnych na Państwa  koncie, następujących kategorii Państwa danych osobowych: imienia i nazwiska, imion rodziców, daty urodzenia, numeru rachunku bankowego, adresu zamieszkania lub pobytu, numeru PESEL, adresu e-mail, loginu i hasła, numeru umowy, serii i numeru dowodu osobistego, numeru telefonu, numeru faktury, opisu okoliczności uzasadniających przyznanie dofinansowania, korespondencji prowadzonej za pośrednictwem systemu SOW przez beneficjentów z JST, wysokości dofinansowania, wysokości dochodu, rodzaju reprezentacji osoby z niepełnosprawnością (opiekun prawny, przedstawiciel ustawowy, pełnomocnik), aktywności zawodowej, informacji o wykształceniu, numeru NIP, numeru REGON, treści korespondencji prowadzonej przez beneficjenta lub jego pełnomocnika, daty i numeru pisma, numeru wniosku, przedmiotu i wysokości dofinansowania, danych dotyczących zdrowia.

II.      Kategorie osób, których incydent dotyczy.

Wnioskodawcy osoby fizyczne i prawne, osoby z niepełnosprawnościami ich pełnomocnicy, opiekunowie ubiegający się o dofinansowania w Powiatowym Centrum Pomocy Rodzinie w Rzeszowie w ramach środków  Państwowego Funduszu Rehabilitacji Osób Niepełnosprawnych.  

       

  III.        Możliwe konsekwencje naruszenia ochrony danych osobowych.

Pomimo, że dostęp do Państwa  danych osobowych mieli pracownicy powiatowych centrów pomocy rodzinie, a więc osoby na co dzień przetwarzające analogiczne jak Państwa dane osobowe, nie można całkowicie wykluczyć sytuacji opisanych poniżej.

W wyniku naruszenia mogło lub może dojść do:

–  próby podszywania się pod Państwa (tzw. kradzież tożsamości);
– uzyskania nieuprawnionego dostępu do usług elektronicznych (np. kont bankowych, portali społecznościowych);
– wykorzystania danych w celach zaciągnięcia zobowiązań finansowych lub podpisanie umów bez wiedzy i zgody osoby, której dane dotyczą (np. zaciągnięcia kredytu, zakupu usług na Państwa dane);
– wpisanie do rejestru dłużników w związku z wyłudzonymi zobowiązaniami;
– ryzyko stygmatyzacji, wykluczenia lub dyskryminacji (np. w zatrudnieniu, ubezpieczeniach lub relacjach społecznych);
– nieuprawnionego ujawnienia informacji dotyczących Państwa życia prywatnego lub zawodowego;
– narażenia na niechciany marketing, spam, próby wyłudzenia informacji (phishing);
– ujawnienia danych wrażliwych (dotyczących zdrowia), co może skutkować naruszeniem prywatności i dobrego imienia, w tym próby uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskania wglądu do danych o stanie zdrowia;
– wykorzystanie danych osobowych przez osobę trzecią do próby wyłudzenia ubezpieczenia;
– wykorzystanie danych osobowych przez osoby trzecie do ukrycia swojej tożsamości, np. przy otrzymywaniu mandatu;
– wykorzystanie danych do zakładania kont internetowych (np. e-mail, media społecznościowe) lub rejestrowanie usług na Państwa dane;
– ujawnienia wobec osób trzecich informacji o poszukiwaniu pracy, na tym samym możliwych negatywnych konsekwencji w relacjach zawodowych z obecnym pracodawcą.

    IV.      Środki zastosowane przez Administratora w związku z incydentem.

  1. Natychmiast po ujawnieniu incydentu zostały uruchomione procedury wewnętrzne dotyczące incydentów naruszeń ochrony danych osobowych.
  2. Zorganizowano spotkanie zespołu roboczego z Dyrektorem PCPR i ustalono funkcjonowanie Zespołu ds. rehabilitacji społecznej osób niepełnosprawnych w warunkach pracy zakłóconej incydentem. 
  3. Powiadomiono o zdarzeniu właściciela systemu SOW,  Państwowy Fundusz Rehabilitacji Osób Niepełnosprawnych z siedzibą przy ul. J. Pawła II 13 w Warszawie.
  4. Po uzyskaniu informacji o naruszeniu, PFRON czasowo wyłączył system SOW.
  5.  Powiadomiono CSIRT-NASK (Krajowy Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego, prowadzony przez Naukową i Akademicką Sieć Komputerową – Państwowy Instytut Badawczy z siedzibą w Warszawie) o zaistniałym incydencie.
  6. Przekazano do Prezesa Urzędu Ochrony Danych Osobowych zawiadomienie o naruszeniu ochrony danych osobowych.  

    V. Środki proponowane przez administratora w celu zminimalizowania ewentualnych negatywnych skutków.

Zalecamy podjęcie następujących kroków:

  1. zachowanie szczególnej ostrożności wobec podejrzanych wiadomości e-mail, sms i telefonów;
  2. nieudostępnianie danych osobowych osobom nieuprawnionym, nawet jeśli powołują się na znane instytucje oraz zachowanie szczególnej ostrożności przy podawaniu danych osobowych innym osobom lub podmiotom;
  3. zmianę haseł do kont internetowych (szczególnie tam, gdzie hasło jest podobne do tego, które mogło zostać naruszone);
  4. stosowanie unikalnych i silnych haseł do różnych usług;
  5. włączenie dwuskładnikowego uwierzytelniania tam, gdzie jest to możliwe;
  6. monitorowanie rachunków bankowych i historii transakcji;
  7. korzystanie z bezpiecznych kanałów komunikacji podczas podawania danych;
  8. w przypadku podejrzenia wykorzystania danych – zgłoszenie sprawy na policję lub do instytucji finansowej;
  9. zastrzeżenie numeru PESEL (np. w urzędzie gminy lub za pośrednictwem serwisu mObywatel);
  10. rejestrację w Biurze Informacji Kredytowej.

 

W przypadku naruszenia Państwa dóbr osobistych przysługuje Państwu  ochrona prawna na drodze sądowej zgodnie z przepisami kodeksu cywilnego oraz kodeksu postępowania cywilnego.

 

       VI. Kontakt w celu uzyskania dalszych informacji.

Liczymy, że mimo tego zdarzenia nie dojdzie do nieuprawnionego wykorzystania  Państwa danych z osobowych i  innych negatywnych dla Państwa konsekwencji.

W przypadku wątpliwości dotyczących zdarzenia w zakresie ochrony danych osobowych w związku z zaistniałym zdarzeniem lub chęci przekazania dodatkowych informacji prosimy kontaktować się z Inspektorem Ochrony Danych:

Maciej Gryc   adres email:  iodprcpr@powiat.rzeszow.pl

adres korespondencyjny: Powiatowe Centrum Pomocy Rodzinie w Rzeszowie, ul. Lucjana Siemieńskiego 18A, 35-234 Rzeszów.

Przepraszamy za ewentualne niedogodności, których mogli Państwo doświadczyć w związku z zaistniałą sytuacją. Jeżeli pozyskamy dodatkowe informacje w sprawie incydentu opublikujemy w kolejnym publicznym komunikacie.

 

                                                                                                                                                                           Administrator Danych PCPR