Szanowni Państwo,
z przykrością przekazujemy informację udostępnioną nam przez firmę Librus Sp. z o.o.
Dania 11 czerwca 2025 r., o godz. 10:40 doszło do zdarzenia związanego z wykryciem podatności aplikacji do prowadzenia dziennika elektronicznego LIBRUS. Podatność polegała na możliwości wglądu w dane osobowe odbiorców wiadomości wysyłanych zbiorczo na wiele adresów, przez każdego z nich. Dostęp do danych nie następował automatycznie, ale poprzez dostęp do niewidocznych elementów wiadomości.
W wyniku podjętych niezwłocznie działań, w dniu 12 czerwca o godz. 14:05 opisany w niniejszym zgłoszeniu błąd w działaniu rozwiązania LIBRUS Synergia został usunięty – pozyskanie danych osobowych pozostałych odbiorców wiadomości systemowej (w przypadku wysłania przez jednostkę oświatową wiadomości grupowej) przez jednego z jej adresatów nie jest aktualnie możliwe. Dodatkowo, w celu wyeliminowania podobnych błędów w przyszłości, zespoły odpowiedzialne za rozwój rozwiązania Librus Synergia przejdą dodatkowe szkolenie w zakresie uwzględnienia zasady privacy by design w fazie projektowania.
Potencjalny dostęp obejmował:
· imię i nazwisko nazwiska rodziców/prawnych opiekunów (tych, którzy uzupełnili swoje profile w dzienniku elektronicznym);
· identyfikator wewnętrzny użytkownika;
· imiona i nazwiska dzieci;
· klasa, do której dziecko uczęszcza;
· grupa, do której dziecko uczęszcza.
Zakres danych oraz fakt, że ich odbiorcami były osoby, które z dużym prawdopodobieństwem już te dane posiadały (oprócz identyfikatora wewnętrznego) powoduje niskie ryzyko naruszenia Państwa praw i wolności, co wynika z metodyki oceny wagi naruszenia zastosowanej podczas oceny zdarzenia.
Następstwem naruszenia danych osobowych może być:
· podszycie się pod inną osobę lub instytucję w celu wyłudzenia dodatkowych danych osobowych, które mogłyby być wykorzystane, np. do zaciągnięcia zobowiązań finansowych lub rejestracji karty telefonicznej typu prepaid lub celowego wprowadzenia w błąd w dowolnym zakresie (w związku z ujawnieniem imion i nazwisk dzieci i ich rodziców);
· nawiązanie kontaktu z dostawcą dziennika elektronicznego i próba podszycia się pod daną osobę podając jako informację potwierdzającą tożsamość imię i nazwisko oraz identyfikator.
W celu zminimalizowania ewentualnych negatywnych skutków naruszenia:
Prosimy Państwa o kontakt w sytuacji, w której w jakikolwiek sposób spotkaliby się Państwo z dyskryminacją lub próby niekorzystnego wykorzystania informacji, które mogłyby zostać ujawnione, w związku z opisywanym zdarzeniem. Podejmiemy wtedy wszelkie możliwe działania, by temu przeciwdziałać i by Państwa wesprzeć.
Jeżeli mają Państwo jakiekolwiek pytania lub chcieliby Państwo przekazać nam dodatkowe informacje w związku z zaistniałym zdarzeniem, prosimy o kontakt zwrotny poprzez dziennik elektroniczny lub rodo@olpi.pl
W imieniu Administratora Danych Osobowych, OLPI Sp. z o. o.
Członkowie zarządu OLPI Sp. z o. o.:
Anna Adryjanek, Katarzyna Maria Bogdanowicz