Nadleśnictwo Lubsko uprzejmie informuje, że dnia 5.11.2025 r. na skutek nieuprawnionego dostępu byłego pracownika Nadleśnictwa Lubsko do systemu Elektroniczne Zarządzanie Dokumentacją (dalej: EZD), po ustaniu zatrudnienia, doszło do naruszenia bezpieczeństwa danych osobowych widniejących w dokumentacji: zamówień publicznych, naborach na stanowiska pracy, wnioskach o podwyżki, dokumentach dot. przedłużenia umowy najmu, zgody na dzierżawę, zarejestrowanych w systemie EZD. Poniżej, Nadleśnictwo Lubsko przekazuje informacje dot. okoliczności zdarzenia, wraz z możliwymi skutkami i proponowanymi środkami zaradczymi.

Opis charakteru i okoliczności naruszenia:
Dnia 5.11.2025 r. Nadleśnictwo Lubsko, podczas analizy logów systemowych, odnotowało nieuprawniony dostęp do systemu EZD przez byłego pracownika Nadleśnictwa Lubsko. W momencie ustania stosunku pracy, uprawnienia zostały odebrane pracownikowi, jednak w związku z jego zatrudnieniem w innej jednostce Lasów Państwowych, przy aktywowaniu konta użytkownika, uprawnienia którymi posługiwał się w okresie zatrudnienia w Nadleśnictwie Lubsko, w wyniku błędu w systemie EZD, zostały reaktywowane.

Niezwłocznie po wykryciu nieuprawnionego dostępu do plików oraz znajdujących się w nich danych osobowych, Nadleśnictwo Lubsko skontaktowało się z podmiotem, który w ramach struktury Lasów Państwowych centralnie zarządza technicznymi aspektami funkcjonowania EZD, zgłaszając nieprawidłowości dotyczące przywrócenia byłemu pracownikowi odebranych wcześniej uprawnień w systemie EZD.

Ponadto, Nadleśnictwo Lubsko przeanalizowało logi systemowe i w wyniku dokonanej analizy ustaliło, iż:
1. były pracownik korzystał z dostępu do konkretnych spraw:
a) dokumentacji zamówień publicznych z lat 2023 – 2025 (w tym: protokołów postępowania, SIWZ, sprawozdań PZP, umów, rachunków, protokołów przekazania, umów audytu, faktur, wniosków, dokumentacji postepowań o zamówienie publiczne);
b) umów zawieranych z Nadleśnictwem Lubsko;
c) naborów i rekrutacji na stanowiska pracy;
d) wniosków o przyznanie podwyżki;
e) zgód na dzierżawę;
f) przedłużeń umów najmu;
g) programu kontroli okresowej za 2025 r.
2. pobierał niektóre pliki dotyczące konkretnych spraw w ramach dokumentacji wymienionej w pkt 1, z lat 2023 – 2025;
3. były pracownik, w ramach czynności służbowych wykonywanych w podczas zatrudnienia (do 31.08.2025 r.) w Nadleśnictwie Lubsko, miał uprawnienia dostępu do dokumentacji wymienionej w pkt 1;
4. nieuprawniony dostęp pracownika do dokumentacji z lat 2023 – 2025, wymienionej w pkt 1, miał miejsce w okresie 23.09. – 29.10.2025 r.

W zależności od przeglądanych i pobieranych dokumentów z lat 2023 - 2025, wymienionych w pkt 1, znajdowały się w nich następujące dane osób fizycznych zgromadzone w okresie 2023 – 2025 oraz osób fizycznych prowadzących działalność gospodarczą, biorących udział w zamówieniach publicznych prowadzonych przez Nadleśnictwo Lubsko w latach 2023 - 2025:
1. imię i nazwisko (w tym samo nazwisko lub nazwisko i pierwsza litera imienia);
2. adres zamieszkania,
3. numer PESEL,
4. nazwa i adres siedziby działalności gospodarczej,
5. numer NIP,
6. numer REGON,
7. adres mailowy,
8. numeru telefonu,
9. numer dowodu osobistego,
10. data urodzenia,
11. informacja o posiadaniu uprawnień budowlanych.

Obowiązkiem Nadleśnictwa Lubsko jest poinformować Państwa, że w związku z tym, iż doszło do nieuprawnionego dostępu do Państwa danych osobowych, możliwe jest wystąpienie konsekwencji opisanych poniżej, którymi mogą zostać dotknięte pełnoletnie osoby fizyczne oraz osoby fizyczne prowadzące działalność gospodarczą i biorące udział w zamówieniach publicznych procedowanych przez Nadleśnictwo Lubsko w latach 2023 - 2025:
− utrata kontroli nad własnymi danymi osobowymi – może dojść do udziału w przedsięwzięciach, w których wystarczy wykazanie się przez podmiot jedną czy kilkoma danymi, jakie były widoczne w dokumentach, aby działać w imieniu i na rzecz Pani/Pana,
− założenie na Pani/Pana dane osobowe konta internetowego (np. w serwisach społecznościowych),
− podszycie się pod inną osobę lub instytucję w celu wyłudzenia od Pani/Pana dodatkowych określonych informacji (np. danych do logowania, szczegółów karty kredytowej),
− możliwe jest uzyskanie przez osoby trzecie, na Pani/Pana szkodę, kredytów w instytucjach poza bankowych bądź wyłudzenie ubezpieczenia lub środków z ubezpieczenia co może spowodować negatywne konsekwencje związane z próbą przypisania Pani/Panu, odpowiedzialności za dokonanie takiego oszustwa;
− możliwa jest również kradzież lub sfałszowanie Pani/Pana tożsamości,
− może Pani/Pan otrzymywać niechcianą korespondencję od nieznanych adresatów.

W związku z powyższym, prosimy Państwa o czujność, a w przypadku uzyskania informacji o ewentualnych próbach wykorzystania Państwa danych, wskazanych powyżej – o niezwłoczne zawiadomienie organów ścigania oraz kontakt z Nadleśnictwem Lubsko.

Mogą Państwo skorzystać z możliwości zastrzeżenia swojego nr PESEL. Wszystkie niezbędne informacje znajdą Państwo pod adresem: https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie.

W związku z tym, że naruszenie obejmuje również dane dotyczące dowodu osobistego (numer oraz seria dokumentu), mają Państwo możliwość zastrzeżenia swojego dokumentu tożsamości za pomocą aplikacji bankowej/poprzez przeglądarkę na stronie banku lub w urzędzie gminy. Więcej informacji znajdą Państwo pod linkiem: https://www.gov.pl/web/gov/zglos-utrate-lub-uszkodzenie-swojego-dowodu-osobistego-uniewaznij-dowod

Dodatkowo, w celu ochrony przed wyłudzeniami, zachęcamy do skorzystania z Alertów Biura Informacji Kredytowej (BIK), gdzie mogą Państwo wykupić usługę SMS, która poinformuje, gdy ktoś złoży wniosek o kredyt na Państwa dane oraz gdy w BIK pojawi się istotna informacja na Państwa temat. Więcej informacji znajdą Państwo pod linkiem: https://www.bik.pl/ lub pod numerem telefonu: 22 348 44 44.

Jednocześnie zalecamy zachować ostrożność przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu lub telefonu.

Istnieje również możliwość skorzystania ze środków ochrony dóbr osobistych (zarówno w imieniu własnym, jak i dziecka), wskazanych w art. 24 Kodeksu Cywilnego:
„§ 1. Ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności, ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny.
§ 2. Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych.
§ 3. Przepisy powyższe nie uchybiają uprawnieniom przewidzianym w innych przepisach, w szczególności w prawie autorskim oraz w prawie wynalazczym.”

Środki, jakie zostały podjęte przed administratora w celu usunięcia naruszenia ochrony danych osobowych, w tym zminimalizowania jego ewentualnych negatywnych skutków:

Nadleśnictwo Lubsko poinformowało o naruszeniu organ nadzorczy – Prezesa Urzędu Ochrony Danych Osobowych.

Zapewniamy, że Nadleśnictwo Lubsko dokłada starań, by w pełni wyjaśnić okoliczności zaistniałego naruszenia. Podjęliśmy działania, aby nie dopuścić do wystąpienia podobnej sytuacji w przyszłości:
− niezwłocznie został odebrany dostęp byłemu pracownikowi Nadleśnictwa Lubsko do systemu Nadleśnictwa;
− powiadomiliśmy o naruszeniu jednostkę nadrzędną – Regionalną Dyrekcję Lasów Państwowych w Zielonej Górze;
− zawiadomiliśmy Inspektora ochrony danych wyznaczonego w Nadleśnictwie Lubsko;
− zawiadomiliśmy obecnego pracodawcę osoby, która nadużyła uprawnień w systemie EZD;
− o zdarzeniu powiadomiliśmy przetwarzającego, który pod kątem technicznym na szczeblu centralnym Lasów Państwowych zarządza systemem EZD i zabezpieczyliśmy logi systemowe;
− zobowiązaliśmy kierowników komórek organizacyjnych Nadleśnictwa Lubsko do egzekwowania od pracowników kończących stosunek pracy przekazania w EZD wszystkich prowadzonych spraw wyznaczonej osobie lub bezpośredniemu przełożonemu;
− zobligowaliśmy Administratora systemu informatycznego do usuwania z systemu EZD konta pracownika, z którym zakończono stosunek pracy.

Jednocześnie aktualizujemy Zarządzenie nr 24 Nadleśniczego Nadleśnictwa Lubsko z dnia 31 marca 2020 roku w sprawie zasad wprowadzenia do systemu elektronicznego zarządzania dokumentacją (EZD) oraz zasad postępowania z dokumentacją i wykonywania czynności kancelaryjnych w biurze Nadleśnictwa Lubsko w zakresie udostępniania pracownikom zasobów w systemie EZD, procedur usuwania konta pracownika z systemu EZD oraz przekazywania informacji i spraw w ramach EZD w związku z zakończeniem stosunku pracy w Nadleśnictwie Lubsko.

Kontakt z Inspektorem ochrony danych:
Jeśli będą Państwo mieli dodatkowe pytania, mogą się Państwo kontaktować z Inspektorem ochrony danych wyznaczonym w Nadleśnictwie Lubsko – Panią Moniką Kowalik w zastępstwie za Panią Ewę Hassę – mailowo, na adres iod@comp-net.pl.