Powiadomienie o naruszeniu ochrony danych osobowych

       Stowarzyszenie Słupski Inkubator Przedsiębiorczości informuje o zdarzeniu dotyczącym ochrony danych osobowych, które miało miejsce w naszej organizacji. Zgodnie z art. 34 RODO, jako administrator danych mamy obowiązek niezwłocznie przekazać informacje o naruszeniu, możliwych konsekwencjach oraz działaniach, które zostały podjęte w celu ograniczenia jego skutków i zapobiegania podobnym sytuacjom w przyszłości. Zależy nam na pełnej transparentności i zapewnieniu, że traktujemy tę sprawę z najwyższą powagą.

1. Opis charakteru naruszenia

W wyniku najprawdopodobniej włamania hakerskiego przez nieustalone osoby doszło do zmiany haseł administracyjnych oraz zaszyfrowania wszystkich plików na naszych serwerach, w tym na serwerze Windows 2012 oraz urządzeniu NAS QNAP TS-464 oraz kilku urządzeniach sieciowych. Fakt zaszyfrowania i zmiany haseł administracyjnych stwierdzono w dniu 13 stycznia 2026 r., krótko po rozpoczęciu pracy w tym dniu, tj. ok. godz. 7:30. Podjęte wstępnie czynności wyjaśniające wskazują także na możliwość nieuprawnionego dostępu do danych osobowych w celu osiągnięcia korzyści majątkowej w zamian za uzyskanie ponownego dostępu do nich przez nasze Stowarzyszenie.

Żadne z wyżej wymienionych urządzeń nie miało uruchomionych usług elektronicznych udostępnionych dla Internetu w tym zdalnego dostępu do serwerów.

Na serwerach przechowywane były dane w postaci elektronicznej: dane dotyczące pożyczek – dane osobowe pożyczkobiorców, poręczycieli i przebiegu usługi pożyczkowej, dane dotyczące szkoleń – dane osobowe uczestników szkoleń, dzienniki i programy zajęć szkoleniowych, dane dotyczące najemców pomieszczeń w Inkubatorze Przedsiębiorczości, dane innych projektów – dane osobowe uczestników i firm (jeśli program dotyczył), programy projektów i dokumenty rozliczeniowe, dane księgowe Stowarzyszenia i innych instytucji, dla których Stowarzyszenie  prowadziło usługi księgowości, dane kadrowe pracowników, osób współpracujących ze Stowarzyszeniem i członków stowarzyszenia, dane (dokumenty elektroniczne) związane z bieżącą działalnością Stowarzyszenia.

W związku z tym incydentem istnieje ryzyko nieuprawnionego dostępu do danych osobowych oraz ich potencjalnego wykorzystania.

2. Możliwe konsekwencje naruszenia

W wyniku naruszenia mogło dojść do:

• próby podszywania się pod Państwa dane (tzw. kradzież tożsamości);
• uzyskania nieuprawnionego dostępu do usług elektronicznych (np. kont bankowych, portali społecznościowych);
• wykorzystania danych w celach oszustw finansowych (np. zaciągnięcia kredytu, zakupu usług na Państwa dane);
• nieuprawnionego ujawnienia informacji dotyczących Państwa życia prywatnego lub zawodowego;
• narażenia na niechciany marketing, spam, próby wyłudzenia informacji (phishing);

3. Środki zastosowane przez administratora

Podjęliśmy niezwłocznie następujące działania naprawcze i zapobiegawcze:

• przeprowadzenie postępowania wyjaśniającego
• zgłoszenie naruszenia do Prezesa Urzędu Ochrony Danych Osobowych zgodnie z art. 33 RODO
• zgłoszenie na Policję zawiadomienia możliwości popełnienia następujących przestępstw: nieuprawnionego dostępu do systemu (art. 267 § 1 k.k.), oszustwa komputerowego (art. 287 k.k.), zakłócania systemu (art. 269a k.k.), niszczenia danych (art. 268a k.k.)
• odtworzenie danych z kopii zapasowych
• wdrożenie dodatkowych mechanizmów zabezpieczeń
• rozpoczęcie audytu bezpieczeństwa systemów IT
• podjęcie czynności w zakresie uzyskania ponownego dostępu do danych osobowych i ich dalszego zabezpieczenia.

4. Zalecane działania dla Państwa

Zalecamy podjęcie następujących kroków:

• zachowanie szczególnej ostrożności wobec podejrzanych wiadomości e-mail, SMS i telefonów;
• nieudostępnianie danych osobowych osobom nieuprawnionym, nawet jeśli powołują się na znane instytucje;
• stosowanie unikalnych i silnych haseł do różnych usług;
• włączenie dwuskładnikowego uwierzytelniania tam, gdzie jest to możliwe;
• monitorowanie rachunków bankowych i historii transakcji;
• korzystanie z bezpiecznych kanałów komunikacji podczas podawania danych;
• zastrzeżenie numeru pesel w aplikacji m-obywatel.

5. Punkt kontaktowy

W przypadku pytań lub wątpliwości prosimy o kontakt ze Stowarzyszeniem Słupski Inkubator Przedsiębiorczości osobiście w siedzibie Stowarzyszenia (ul. Tuwima 22A, 76 – 200 Słupsk), telefonicznie  (59 846 91 20) lub mailowo biuro@inkubator.slupsk.pl