Co się stało?
Administrator danych osobowych – Prezydent Miasta Słupska informuje, że podmiot przetwarzający danymi osobowymi na polecenie Administratora padł ofiarą cyberataku, który doprowadził do naruszenia ochrony danych osobowych.  Przekazuję informacje na temat incydentu oraz działań jakie w związku z nim podejmujemy. Podaję też informacje o krokach, które może Pan/i podjąć. Proszę o zapoznanie się z poniższym powiadomieniem.

Opis zdarzenia
W dniu 26.05.2026 r. firma obsługująca Słupską Kartę Mieszkańca powiadomiła Administratora Danych o naruszeniu ochrony danych osobowych. W wyniku incydentu bezpieczeństwa osoby nieuprawnione uzyskały dostęp do konta pracownika obsługującego system. W toku analizy ustalono również, że sprawcy podmienili link do strony logowania do systemu.

Na chwilę obecną nie stwierdzono dostępu do haseł użytkowników.

Rodzaj i zakres danych objętych naruszeniem:
    1. imię i nazwisko,
    2. identyfikator użytkownika,
    3. login,
    4. adres - e-mail

Jakie mogą być skutki?
W związku z incydentem istnieje ryzyko, że osoby nieuprawnione mogą wykorzystać pozyskane dane między innymi do:
    1. otrzymywanie fałszywych wiadomości e-mail  podszywających się pod urząd lub operatora systemu słupskiej karty mieszkańca,
    2. próby wyłudzenia danych logowania,
    3. próby oszustw socjotechnicznych wykorzystujących Państwa dane kontaktowe,
    4. naruszenie prywatności i poczucia bezpieczeństwa,
    5. osoby trzecie mogą na Pana/i dane osobowe założyć konto internetowe (np. w serwisach społecznościowych);
    6. narażenie na niechciany kontakt (spam, marketing bez zgody).

Co zalecamy?
Dla zwiększenia bezpieczeństwa zalecamy:
    1. zachowanie szczególnej ostrożności wobec wiadomości e-mail, SMS lub komunikatów zawierających linki lub prośby o podanie danych;
    2. nieotwieranie podejrzanych załączników;
    3. zmianę hasła, jeżeli login lub adres e-mail są wykorzystywane do logowania do usług internetowych;
    4. stosowanie uwierzytelniania wieloskładnikowego (MFA), jeśli jest dostępne;
    5. monitorowanie aktywności na swoich kontach internetowych.

Jakie działania podjęliśmy?
Po wykryciu incydentu administrator:
    1. podjął działania mające na celu zabezpieczenie systemów i ograniczenie skutków zdarzenia,
    2. przeprowadził analizę zakresu naruszenia,
    3. wdrożył dodatkowe środki bezpieczeństwa (zmiana haseł administracyjnych, skierowanie na dodatkowe szkolenie),
    4. zgłosił naruszenie do organu nadzorczego PUODO oraz CSIRT NASK.

Gdzie można uzyskać więcej informacji?
W przypadku pytań dotyczących incydentu lub przetwarzania danych osobowych można skontaktować się  inspektorem ochrony danych:

Inspektor Ochrony Danych Administratora:
Agata Kaczmarowska. Magdalena Ząbek
E-mail:
iod@um.slupsk.pl
Telefon:
59 84 88 459, 59 84 88 360

Adres korespondencyjny:
Pl. Zwycięstwa 3, 76-200 Słupsk

Data publikacji komunikatu: 29.05.2026