Znak Politechniki Warszawskiej

OKNO i naruszenie RODO – najczęściej zadawane pytania

Prezentujemy listę odpowiedzi na zapytania dotyczące możliwości naruszenia ochrony danych osobowych w związku z incydentem, do którego doszło 3 maja 2020 r. na platformie administracyjnej Ośrodka Kształcenia na Odległość PW (OKNO). Prosimy o sprawdzanie aktualizacji.

1. Czy ujawnione dane osobowe pochodzą z Platformy administracyjnej RED – czyli przeznaczonej dla studentów i pracowników OKNO, czy Moodla w domenie OKNO?

Dane pochodzą tylko z platformy RED.

2. Czy mogę gdzieś sprawdzić, czy figuruję na liście osób, których dane osobowe zostały ujawnione?

Informacje można uzyskać drogą mailową. Adres e-mail do kontaktu w tej sprawie: pomoc.okno@pw.edu.pl.

3. Czy ktoś z PW skontaktuje się ze mną w sprawie ujawnienia moich danych osobowych?

W przypadku potwierdzenia informacji o naruszeniu, osoby, których dotyczy naruszenie, zostaną poinformowane drogą mailową o charakterze naruszeń, punkcie kontaktowym, w którym można uzyskać więcej informacji i możliwych konsekwencjach naruszenia oraz środkach zastosowanych lub proponowanych w celu zaradzenia i minimalizowania negatywnych skutków zaistniałego naruszenia danych osobowych.

4. Jaki jest numer zgłoszenia sprawy na policji?

W sprawie, na wniosek PW, zostało wszczęte postępowanie przygotowawcze prowadzone przez Prokuraturę Rejonową Warszawa-Śródmieście (sygnatura akt PR 2 Ds. 734.2020.MŚ).

5. Czy uczelnia planuje wysłać informację na temat ujawnienia danych osobowych z systemu OKNO?

Bieżący komunikat dotyczący ujawnienia danych z Ośrodka Kształcenia na Odległość OKNO zamieszczony jest na stronach: www.pw.edu.pl, www.bip.pw.edu.pl/Ogloszenia/Komunikat-o-mozliwosci-naruszenia-ochrony-danych-osobowych, www.biuletyn.pw.edu.pl.

6. Dlaczego Ośrodek Kształcenia na Odległość Politechniki Warszawskiej przechowuje takie dane jak imiona rodziców, nazwisko panieńskie matki oraz numery dowodów?

O tym, jakie dane gromadzi się w czasie przebiegu studiów, stanowi § 14 ust. 2 Rozporządzenia Ministra Nauki i Szkolnictwa Wyższego z dnia 27 września 2018 r. w sprawie studiów (Dz. U. z 2018 r. poz. 1861).

7. Jak długo uczelnia zobowiązana jest przechowywać dokumentację związaną z przebiegiem studiów?

Zgodnie z § 15 ust. 4 Rozporządzenia Ministra Nauki i Szkolnictwa Wyższego z dnia 27 września 2018 r. w sprawie studiów (Dz. U. z 2018 r. poz. 1861) Teczkę akt osobowych studenta, z wyłączeniem dokumentów, o których mowa w ust. 1 pkt 1 lit. a oraz pkt 2–4, przechowuje się w archiwum uczelni przez okres 50 lat. Dokumenty, które obejmuje to wyłączenie, brakuje się.

Powyższe wyłączenie obejmuje dokumenty wymagane od kandydata na studia, w tym: a) poświadczoną przez uczelnię kopię: – dokumentu stanowiącego podstawę ubiegania się o przyjęcie na studia, o którym mowa w art. 69 ust. 2 ustawy – w przypadku kandydata na studia pierwszego stopnia lub jednolite studia magisterskie, – dyplomu ukończenia studiów – w przypadku kandydata na studia drugiego stopnia, b) ankietę osobową zawierającą zdjęcie kandydata, imiona i nazwisko, datę i miejsce urodzenia, numer PESEL, a w przypadku jego braku – nazwę i numer dokumentu potwierdzającego tożsamość oraz nazwę państwa, które go wydało, płeć, miejsce zamieszkania przed rozpoczęciem studiów: wieś albo miasto, adres zamieszkania oraz adres do korespondencji, numer telefonu kontaktowego, obywatelstwo, a w przypadku cudzoziemców również nazwę państwa urodzenia i informacje o posiadaniu Karty Polaka; c) dokumenty stanowiące podstawę przyjęcia na studia; d) podpisany przez studenta akt ślubowania; e) potwierdzenie odbioru legitymacji studenckiej i indeksu, a także ich duplikatów.

8. W jaki sposób PW się ze mną skontaktuje? Mój adres e-mail był na serwerze wydziałowym i dawno nie mam do niego dostępu. Co w przypadku, jeżeli prywatnego adresu e-mail już nie używam, straciłem do niego dostęp, zapomniałem hasła i nie można go odzyskać?

W takich przypadkach zalecamy kontakt na adres PW: pomoc.okno@pw.edu.pl.

9. Czy można zawnioskować do uczelni o zaprzestanie przetwarzania i usunięcie danych po zakończeniu studiów? Czy uczelnia jest zobligowana przechowywać te dane przez jakiś czas?

Uczelnia zobligowana jest przechowywać dokumenty dotyczące studiów przez 50 lat i nie ma możliwości prawnej, aby ubiegać się o usunięcie tych danych po zakończeniu studiów. Szczegóły wskazane są w odpowiedzi na pytanie 6 i 7.

10. Czy baza zawiera dane tylko osób studiujących w OKNO, czy mogą być w niej również dane innych studentów? Niektórzy studenci na OKNO logowali się przy pomocy USOS-a.

Na chwilę obecną ujawnione dane osobowe dotyczą jedynie osób studiujących w OKNO. Zakres ujawnionych danych osobowych wskazany został w komunikacie zamieszczonym na stronie BIP PW.

11. Czy studentom zostaną wypłacone odszkodowania?

Kwestie odszkodowawcze uregulowane zostały w art. 82 rozporządzenia Parlamentu Europejskiego i Rady (UE) z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Zgodnie z tym przepisem Politechnika Warszawska mogłaby ewentualnie odpowiadać za szkody tylko jeżeli nie dopełniłaby obowiązków, które ww. rozporządzenie nakłada na nią jako administratora danych osobowych.

12. Czy istnieje niebezpieczeństwo, że problem z ujawnieniem danych osobowych będzie dotyczył wszystkich wydziałów PW?

Nie ma takiego zagrożenia.

13. RODO Nakazuje poinformować o wycieku danych niezwłocznie. Czy PW dopełniła tego obowiązku?

PW dokona zgłoszenia do organu nadzorczego – Prezesa UODO. Termin na wykonanie tych czynności to nie później niż 72 godziny po stwierdzeniu naruszenia. Obecnie trwają intensywne czynności mające na celu ustalenie przyczyn i okoliczności całego zdarzenia.

14. Czy posługując się ujawnionymi danymi można uzyskać dostęp do konta bankowego?

Bezpośredniego dostępu do konta bankowego nie można uzyskać. Potencjalne zagrożenie jednak istnieje w sytuacji, gdy Pan/Pani używała takiego samego loginu i hasła do wejścia na rachunek bankowy jak i do wejścia na OKNO.

15. Czy informacja dotycząca pracowników naukowych także odnosi się tylko do pracowników naukowych OKNO?

Tak, informacja dotyczy tylko prowadzących zajęcia w OKNO PW. Zakres ujawnionych danych osobowych wykładowców jest ograniczony i wskazany został w komunikacie zamieszczonym na stronie BIP PW.

16. Czy dane, jakie zostały wykradzione, dotyczyły kandydatów na studia z OKNO, czy z całej PW z ostatnich dwóch lat?

Dane kandydatów dotyczyły tylko OKNO i tylko z bieżącego roku akademickiego.

17. Czy w związku z ujawnieniem moich danych osobowych zasadna jest wymiana dowodu osobistego, czy wystarczy tylko jego zastrzeżenie?

W naszej ocenie zasadne jest zastrzeżenie dowodu osobistego oraz złożenie zastrzeżenia kredytowego w Biurze Informacji Kredytowej BIK (gwarantujące otrzymywanie alertów w przypadku prób uzyskania kredytu na zastrzeżone dane osobowe). Oczywiście można również dokonać wymiany dowodu. Sposobów jest kilka – można złożyć papierowy wniosek w urzędzie gminy lub elektroniczny formularz na stronie internetowej. Czas oczekiwania na wydanie nowego dowodu to 30 dni. Wydanie i wymiana dokumentu jest bezpłatna. Od 4 marca 2019 roku wydawany jest jedynie e-dowód, czyli dowód z warstwą elektroniczną.

18. Czy te dane wystarczą do przeniesienia numeru na inną kartę SIM? Czy zalecacie zmianę numeru telefonu?

Znane nam procedury przeniesienia numeru telefonu na inną kartę SIM wymagają podania operatorowi także innych danych uwierzytelniających, takich jak kod PUK lub kod abonencki, a także fizycznego posiadania aktywnej karty SIM. Numer można przenieść na inną kartę SIM podczas wizyty w salonie, co jednak wymaga przedstawienia tam dowodu tożsamości. Nie ma zatem w teorii zagrożenia związanego z przeniesieniem numeru na inną kartę SIM. Nie ma potrzeby zmiany numeru telefonu.

Aktualizacja: 6 maja (pytania i odpowiedzi zadawane na czacie na platformie MS Teams)

  1. Czy został zawiadomiony UODO? 
    Tak, zgłoszenie zostało przesłane w dniu 06.05.2020 r. w wymaganym terminie.
  2. Kiedy PW wszczęła postępowanie, przed czy po opublikowaniu informacji w mediach?
    O nieuprawnionym pobraniu danych z naszego systemu OKNO dowiedzieliśmy się niezależnie z dwóch źródeł, od redaktorów portali: Zaufanatrzeciastrona.pl oraz Niebezpiecznik.pl.
  3. Czy PW pokryje koszty związane z załatwianiem spraw wynikających z zaistniałej sytuacji, np. z logowaniem się do platform takich jak BIK czy chronpesel.pl?
    Obecnie PW nie jest zobowiązana do pokrywania tego typu kosztów.
  4. Czy potwierdzacie Państwo informacje podane przez portal Niebezpiecznik.pl, że dane studentów PW mogły wyciec już w 2019 r.?
    Audyt ustalający przyczyny włamania do systemu nie wykazał, że miało ono miejsce również w 2019 r.
  5. Jakie konsekwencje czekają osoby odpowiedzialne za tę sytuację?
    Konsekwencje zostaną wyciągnięte odpowiednio do skali zaniedbań jeżeli faktycznie do nich doszło. Na razie skupiamy się na zabezpieczeniu systemu i dokładnym wyjaśnieniu całego zadarzenia.
  6. Dlaczego problemy z 2017 r. z pocztą studencką nie wymusiły analizy oraz audytu zabezpieczeń uczelni?
    Wykonany był szereg operacji “uszczelniających” system, odpowiada za nie Centrum Informatyzacji. Wprowadziliśmy zasadę mówiącą o tym, że w danym systemie znajdują się jedynie dane niezbędne do jego funkcjonowania.
  7. Kto nadzoruje proces informatyzacji?
    Bezpośredni nadzór nad CI sprawuje obecnie Kanclerz.
  8. Jeżeli wykupiłam abonament na BIK i chronpesel.pl i wydałam na to pieniądze, które miałam przeznaczone na opłacenie kursu OKNO, to co zrobić w takiej sytuacji?Czy jeżeli za kilka lat ktoś ujawni przestępstwa na moje nazwisko, to uczelnia wesprze mnie pomocą prawnika?
    Konkretne przypadki będą rozstrzygane indywidualnie. PW ponosi odpowiedzialność w przypadku, gdyby nie dopełniła obowiązku wskazanego w RODO. Szkoda musi być rzeczywista, poniesiona i udowodniona.
  9. Dlaczego PW czekała ponad 48 godzin z przekazaniem informacji osobom poszkodowanym?
    Po to, by ustalić zakres wycieku i informować osoby, które rzeczywiście były jego przedmiotem. Nie chcieliśmy rozprzestrzeniać informacji niezweryfikowanej. Do tej pory, poza informacjami zamieszczonymi w portalach zajmujących się bezpieczeństwem w sieci, nie mamy potwierdzenia ujawnienia danych. 
  10. Co, jeśli nie będę w stanie odebrać listu poleconego z sądu dotyczącego wycieku/przestępstwa? Czy uczelnia pokryje koszty wyrabiania dokumentów za granicą i kosztów leczenia, jeśli z tego powodu zachoruję? [Pytanie dotyczyło sytuacji związanej z pandemią]
    W przypadku występowania z roszczeniami należy udowodnić, że PW wyrządziła szkodę. Nie odpowiadamy za ew. koszty leczenia.
  11. W rozporządzeniu nie ma takich danych jak numer i seria dowodu oraz nazwisko rodowe matki – dlaczego te dane były gromadzone?
    Obecność tych danych w bazie może wynikać ze zmiany przepisów – które następowały w okresie gromadzenia danych. [Temat zostanie podjęty również podczas czatu, który odbędzie się 7 maja. Odpowiedź zamieścimy w aktualizacji]
  12. Przez ile lat muszę utrzymywać zabezpieczenie w swoim numerze PESEL?
    Przez taki okres, w którym istnieje zagrożenie – decyzje w tym zakresie każdy podejmuje indywidualnie.
  13. Jaki był harmonogram działań podjętych przez PW od momentu otrzymania informacji o włamaniu?
    Wyciek był zarejestrowany o 17:30 3 maja 2020, do nas informacja dotarła w poniedziałek i od razu rozpoczęliśmy działania w zakresie zabezpieczania – serwery zostały wyłączone, hasła zresetowane, uruchomiono prace nad sporządzeniem listy osób potencjalnie pokrzywdzonych (ok. 5300 osób, niektóre z nich miały jednak podanych kilka maili, stąd pojawiła się nieprawdziwa informacja o 10000 przypadków). Podejmowaliśmy działania bez zbędnej zwłoki.
  14. Czy o sprawie została poinformowana policja?
    Zawiadomienie PW o podejrzeniu popełnienia przestępstwa zostanie złożone 7 maja 2020 [aktualizacja z 7 maja – zawiadomienie zostało złożone we wskazanym terminie]; policja wszczęła już postępowanie (sygnatura JED-159210/20) po zgłoszeniu dokonanym przez jednego z pokrzywdzonych; jeżeli czyjeś dane zostaną wykorzystane np. przy próbie wyłudzenia, pokrzywdzonym jest student i wówczas on sam powinien zgłosić na policji ten fakt, wówczas sprawie zostanie nadana osobna sygnatura; do UODO wysłane zostało wymagane zgłoszenie. 
  15. Czy wyciekły skany dowodów osobistych?
    W bazie nie było skanów dowodów.
  16. Czy osoby, których sprawa dotyczy, dostaną potwierdzenie/imienne zaświadczenie, które przedłożą przy składaniu dowodu osobistego/przy ew. wizycie komornika w przyszłości? 
    Na razie nie jest przewidziana taka procedura, informacje o zgłoszeniu na policję i do UODO będziemy publikować sukcesywnie i będzie można się posłużyć tymi informacjami w kontakcie z wymienionymi podmiotami.
  17. Czy została zidentyfikowana osoba, która dokonała kradzieży danych?
    Pobrania danych dokonano z anonimowej zagranicznej sieci typu TOR.
  18. Otrzymałem maila z groźbą szantażu i próbą wyłudzenia, co zrobić w takim przypadku? 
    Należy niezwłocznie powiadomić policję o podejrzeniu popełnienia przestępstwa i przekazać im takiego maila.
  19. Nie każdy pożyczkodawca używa systemów takich jak BIK, o zaciągniętych pożyczkach można się więc dowiedzieć np. dopiero od komornika. Były też przypadki zaciągania pożyczek na zastrzeżone dowody. Jakie jeszcze środki są zalecane w celu ochrony?
    Niestety nie ma instytucji, która powszechnie chroniłaby przed takim zagrożeniem. W naszych zaleceniach staramy się wskazać maksimum możliwości, jakie można wykorzystać w celu uchronienia się przed konsekwencjami wycieku.

Aktualizacja: 8 maja (pytania i odpowiedzi zadawane 7 maja na czacie na platformie MS Teams)

1. Czy osoby poszkodowane otrzymają indywidualne zaświadczenia?
Do każdej z osób pokrzywdzonych zostały już wysłane zawiadomienia, są tam ogólne informacje nt. wyprowadzonych danych, realizowany jest proces przesyłania danych szczegółowych. Zaświadczenia będą wydawane po ustaleniu, że dana osoba znajduje się na liście pokrzywdzonych. Dodatkowo na żądanie sądu będziemy zobligowani do przekazania odpowiednich informacji.

2. Czy są Państwo w stanie zweryfikować, że ataku dokonano metodą SQL injection?
Analiza audytora wykazała, że był to backdoor, a nie SQL injection.

3. Kiedy uczelnia dowiedziała się o styczniowym backdoorze?
Dopiero przy okazji analizy związanej z bieżącym wyciekiem. W styczniu nastąpiło włamanie na konto jednego z wykładowców i w ten sposób został zainstalowany niepożądany plik.

4. Czy zasada mówiąca o przechowywaniu danych przez 50 lat dotyczy tylko jednostki OKNO, czy też całej PW?
Wytyczne mówiące o tak długim czasie przechowywania dotyczą nie tylko PW, ale również wszystkich uczelni w kraju.

5. Czy wyciekły tylko ostatnio używane hasła, czy także ich historia?
Tylko skróty ostatnich haseł – hashe.

6. Czy służbom została przekazana pełna lista poszkodowanych wraz z danymi?
Sprawa jest rozwojowa, pełna lista nie została przekazana, wysłane zostało natomiast zawiadomienie. Jesteśmy w posiadaniu dowodów na to, które osoby są objęte wyciekiem i w stosownym momencie te dane zostaną przekazane. Potrzebujemy sygnatury, pod którą toczy się postępowanie, wtedy będziemy wydawać zaświadczenia, o które Państwo pytają.

7. Kiedy miał miejsce ostatni audyt systemu OKNO?
Audyt zewnętrzny nastąpił dopiero po incydencie.

8. Kiedy zostaną wysłane maile ze szczegółowym zakresem danych, które wyciekły?
Trwają prace nad wysłaniem takich wiadomości, zrobimy to najszybciej, jak to tylko możliwe. Niezależnie od tego powstała strona, na której można sprawdzić, czy dany numer dowodu osobistego został ujawniony: https://www.ci.pw.edu.pl/incydent_okno/.

9. Czy studenci otrzymają informację od UODO albo innego organu o tym, że PW zadbała o zabezpieczenie danych?
Co do zasady urząd publikuje takie informacje na stronie internetowej. [aktualizacja: informacja znajduje się już na stronie UODO: https://uodo.gov.pl/pl/138/1518?fbclid=IwAR034VXhfGZvpQ1u-GStYdHdeqqrn1ihY8SAQKWUnUW91kI-qsIrGKWP-1U]

10. Czy można liczyć na zwrot kosztów związanych z zabezpieczaniem danych osobowych?
Wszystkie osoby, których sytuacja dotyczy, będą mogły ubiegać się o zwrot podstawowych kosztów poniesionych na zabezpieczenie swoich danych osobowych. Refundacja obejmować będzie koszt jednorazowej usługi zabezpieczającej w standardowym zakresie na okres jednego roku. Na chwilę obecną zgodnie z informacją podaną przez BIK, przez okres pierwszych trzech miesięcy taka usługa realizowana przez Biuro Informacji Kredytowej jest bezpłatna. Podstawą zwrotu będzie potwierdzenie statusu osoby, której dane osobowe zostały ujawnione, wniosek oraz załączona do wniosku faktura. Więcej informacji na ten temat pojawi się w aktualizacji artykułu na stronie PW.

11. Jak wygląda sytuacja z pobieraniem informacji o  numerze dowodu osobistego?
Rozporządzenie ws. dokumentowania toku studiów z 2006 r. przewidywała m.in. kserowanie dowodów osobistych, w 2011 r. pojawiła się zmiana rozporządzenia, ale tam również był obowiązek kserowania dowodów. W międzyczasie doszło do zmian w przepisach ustawy Prawo o szkolnictwie wyższym i uczelnie miały obowiązek zawierania umów o odpłatności za studia, a w 2016 r. weszło w życie kolejne rozporządzenie ws. toku studiów – dane uznano za niezbędne do zawierania umów ze studentami. Pytania o wskazane dane pojawiały się więc w ankietach dla kandydatów. Prawo o szkolnictwie wyższym z września 2018 r. wprowadziło zasadę, że należy podawać nr PESEL, a jeżeli ktoś go nie ma, wówczas należy podać numer dowodu osobistego. Wypełniający ankiety dot. przyjęcia na studia nie zawsze brali pod uwagę to rozróżnienie. Ankieta jest integralną częścią teczki studenta, jej dane są digitalizowane.

12. Czy wyciekła informacja o nazwiskach rodowych?
W bazie nie znaleziono rekordów potwierdzających taki wyciek. Rekord o tej nazwie istniał, ale nie był wypełniony. [aktualizacja: 14 maja] W bazie niestety znalazły się nieliczne wpisy dotyczące nazwisk rodowych matki. Osoby, których ten wyciek dotyczy, zostały poinformowane.