Komunikat w sprawie naruszenia ochrony danych osobowych

Szanowni Państwo,

administrator danych, jakim jest Uniwersytet Warszawski (UW) z siedzibą w Warszawie przy ul. Krakowskie Przedmieście 26/28, 00-927 Warszawa, w trybie art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) niniejszym informuje o możliwości naruszenia ochrony danych osobowych.

Zawiadomienie kierowane jest do członków społeczności akademickiej Uniwersytetu Warszawskiego, w tym studentów, doktorantów, kandydatów na studia, pracowników, a także osób współpracujących z Uniwersytetem, których dane osobowe mogły zostać objęte incydentem, do jakiego doszło w nocy 15/16 kwietnia 2026 r.

Wiemy, iż takie sytuacje mogą budzić niepokój, dlatego traktujemy tę sprawę bardzo poważnie. Od razu podjęliśmy działania, aby ograniczyć skutki zdarzenia i lepiej zabezpieczyć dane na przyszłość. Na bieżąco analizujemy sytuację i robimy wszystko, co możliwe, aby podobne incydenty się nie powtórzyły. Jednocześnie Uniwersytet Warszawski dokonał zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych oraz prowadzona jest aktywna kooperacja z CERT Polska oraz z Centralnym Biurem Zwalczania Cyberprzestępczości (CBZC).

W dalszej części przekazujemy:

1. Opis charakteru naruszenia – co się stało, opis przyczyn i przebiegu incydentu.
2. Informacje o możliwych konsekwencjach – co to może dla Państwa oznaczać, jakie są możliwe skutki tej sytuacji.
3. Informacje o podjętych działaniach oraz środkach zastosowanych w celu ograniczenia skutków zdarzenia – co robimy w tej sprawie, jakie działania już podjęliśmy i co jeszcze robimy.
4. Wskazówki dotyczące możliwych działań, jakie mogą Państwo podjąć we własnym zakresie – jak mogą Państwo dodatkowo zadbać o swoje dane osobowe.

1. Opis charakteru naruszenia

Do naruszenia doszło w wyniku nieuprawnionego dostępu do systemów informatycznych Uniwersytetu Warszawskiego. Osoba nieuprawniona zalogowała się do systemu przy użyciu prawidłowych danych dostępowych (loginu i hasła), które zostały wcześniej przejęte – najprawdopodobniej w wyniku działania złośliwego systemu na urządzeniu użytkownika.

Dzięki użyciu poprawnych danych logowania aktywność ta przez dłuższy czas nie wzbudzała podejrzeń. Osoby odpowiedzialne za atak działały w sposób rozproszony i trudny do wykrycia, stopniowo uzyskując dostęp do kolejnych elementów systemu.

W trakcie incydentu doszło do:

– naruszenia poufności:

• nieuprawnionego dostępu do danych osobowych,
• ich skopiowania, a następnie udostępnienia w Internecie (darknet),

– naruszenia integralności:

• potencjalnej modyfikacji danych (nie można tego całkowicie wykluczyć).

Nie doszło do trwałego zablokowania dostępu do danych (zaszyfrowania) lub zakłócenia działania kluczowych systemów uczelni.

Incydent został wykryty 9 lutego 2026 r. w ramach działań prewencyjnych prowadzonych przez zespół bezpieczeństwa, podjętych w związku z informacjami o globalnej kampanii ransomware. Po jego wykryciu natychmiast podjęto działania zabezpieczające. Na tamten moment przeprowadzona analiza nie wykazała, iż mogło dojść do wycieku danych poza infrastrukturę uczelni.

Z przeprowadzonych analiz wynika, że:

• dane mogły zostać skopiowane w okresie od stycznia do lutego 2026 r.,
• ich publikacja w darknecie nastąpiła w nocy 15/16 kwietnia 2026 r.

Jakie dane mogły zostać objęte zdarzeniem?

W toku analizy ustalono, iż opublikowany w darknecie zbiór danych obejmował bardzo dużą liczbę plików (ok. 200 tys., rozmiar: 850 GB). Zdecydowana większość plików z danymi osobowymi pochodzi z dwóch jednostek Uniwersytetu Warszawskiego – Wydział Neofilologii oraz Wydział Stosowanych Nauk Społecznych i Resocjalizacji. Część z nich (ok. 650 GB) stanowiły materiały audiowizualne o charakterze publicznym.

Jednocześnie część zbioru (ok. 200 GB) zawierała różnego rodzaju dane, w tym dane osobowe. Spośród nich ok. 32,8 tys. plików mogło zawierać dane osobowe.

Zakres danych osobowych był zróżnicowany i w zależności od przypadku mógł obejmować m.in.:

• dane identyfikacyjne (np. imię i nazwisko, data urodzenia, płeć, obywatelstwo),
• dane identyfikacyjne szczególnego rodzaju (np. numer PESEL, numer i serię dokumentu tożsamości, nr paszportu),
• dane kontaktowe (np. adres zamieszkania, adres e-mail, numer telefonu, nazwa użytkownika),
• dane finansowe i podatkowe (np. numer rachunku bankowego, dane z dokumentów podatkowych),
• dane związane z zatrudnieniem (np. umowy, przebieg zatrudnienia),
• dane dotyczące zdrowia (np. informacje zawarte w zwolnieniach lekarskich),
• dane związane z ubezpieczeniami społecznymi,
• dane zawarte w korespondencji elektronicznej,
• wizerunek.

Zdarzenie mogło dotyczyć w szczególności:

• pracowników Uniwersytetu Warszawskiego,
• studentów,
• kandydatów na studia,
• doktorantów,
• byłych pracowników i współpracowników,
• innych osób związanych z działalnością uczelni.

Na obecnym etapie nie możemy jednoznacznie potwierdzić, czy i których konkretnie osób dane zostały objęte incydentem. Analiza zdarzenia przez cały czas trwa. W związku z tym, w trosce o bezpieczeństwo, zachęcamy do zapoznania się z poniższymi wskazówkami oraz do śledzenia bieżących komunikatów publikowanych na stronie internetowej Uniwersytetu.

2. Możliwe konsekwencje

Z uwagi na charakter incydentu oraz zakres danych, które mogły zostać nim objęte, istnieje wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą. W szczególności ryzyko to wynika z możliwości nieuprawnionego wykorzystania danych identyfikacyjnych, kontaktowych, finansowych oraz innych informacji o charakterze osobistym.

Potencjalne konsekwencje (w zależności od zakresu danych) mogą obejmować:

Utratę kontroli nad danymi i prywatnością

• utratę kontroli nad danymi osobowymi, w tym brak wiedzy, kto i w jakim celu może je wykorzystywać,
• naruszenie prywatności, w tym ujawnienie danych osobowych osobom nieuprawnionym,
• dalsze nieuprawnione rozpowszechnianie danych, w tym w Internecie.

Kradzież tożsamości i wykorzystanie danych

• kradzież tożsamości lub podszywanie się przy wykorzystaniu danych identyfikacyjnych (np. imię i nazwisko, PESEL, dane dokumentu tożsamości, dane kontaktowe),
• zakładanie kont internetowych (np. e-mail, media społecznościowe) lub rejestrowanie usług na Państwa dane,
• wykorzystywanie danych do ukrycia tożsamości lub działań niezgodnych z prawem.

Ryzyka finansowe i prawne

• zaciąganie zobowiązań finansowych bez Państwa wiedzy (np. pożyczki, zakupy ratalne),
• zawieranie umów cywilnoprawnych (np. usługi telekomunikacyjne, abonamenty),
• wykorzystanie danych do celów podatkowych lub gospodarczych (np. składanie fałszywych deklaracji, rejestracja działalności),
• próby wyłudzeń świadczeń, odszkodowań lub innych korzyści majątkowych,
• konieczność wyjaśniania spraw urzędowych lub finansowych, z którymi dana osoba nie ma faktycznego związku,

Ryzyka związane z usługami publicznymi i zdrowiem

• nieuprawnione wykorzystanie danych w systemach publicznych lub medycznych (np. z użyciem numeru PESEL),
• uzyskanie dostępu do informacji o stanie zdrowia lub korzystanie ze świadczeń w cudzym imieniu.

Ryzyka związane ze studiami i środowiskiem akademickim

• nieuprawniony dostęp do systemów uczelnianych lub edukacyjnych (np. dane o studiach, ocenach, osiągnięciach),
• podszywanie się pod studentów, doktorantów lub kandydatów w procesach rekrutacyjnych lub w komunikacji z uczelnią,
• wykorzystanie danych do oszustw związanych z rekrutacją, stypendiami lub ofertami pracy,
• nieuprawnione użycie danych w środowisku akademickim lub zawodowym,
• ujawnienie informacji o przebiegu studiów, rekrutacji lub sytuacji zawodowej,

Ryzyka związane z danymi wrażliwymi i zawodowymi

• ujawnienie danych dotyczących zdrowia,
• ujawnienie danych kadrowych i finansowych (np. dotyczących zatrudnienia lub wynagrodzenia),
• naruszenie dóbr osobistych, w tym reputacji lub dobrego imienia,
• ryzyko dyskryminacji w przypadku ujawnienia danych wrażliwych,

Ryzyka operacyjne i długoterminowe

• ukierunkowane próby oszustw (phishing, SMS, telefon) wykorzystujące Państwa dane,
• próby wyłudzenia dodatkowych informacji (np. danych do logowania lub danych finansowych),
• próby przejęcia dostępu do kont (e-mail, bankowość, systemy uczelniane),
• utrudnienia w korzystaniu z usług publicznych, finansowych lub edukacyjnych,
• otrzymywanie niezamówionych informacji lub kontaktów,
• długotrwałe skutki związane z obecnością danych w obiegu, w tym ich dalsze kopiowanie i wykorzystywanie przez osoby trzecie.

3. Zastosowane środki zaradcze

Po wykryciu incydentu natychmiast podjęliśmy działania, aby zatrzymać nieuprawniony dostęp, zabezpieczyć systemy i ograniczyć skutki zdarzenia.

W szczególności:

• odizolowaliśmy zagrożone systemy, aby przerwać dalszy dostęp osób nieuprawnionych,
• wymusiliśmy reset haseł dla wszystkich użytkowników oraz zaktualizowaliśmy komponenty odpowiedzialne za uwierzytelnianie,
• wdrożyliśmy dodatkowe zabezpieczenia logowania,
• ograniczyliśmy dostęp do wybranych systemów i danych tylko do niezbędnych użytkowników,
• przeprowadziliśmy szczegółowe sprawdzenie całego środowiska IT, aby wykryć ewentualne ślady nieuprawnionej aktywności,
• zabezpieczyliśmy dane i przeanalizowaliśmy przebieg incydentu,

Po wdrożeniu tych działań ponownie sprawdziliśmy systemy — nie stwierdziliśmy dalszej obecności osób nieuprawnionych.

Równolegle:

• zgłosiliśmy incydent do odpowiednich instytucji (CERT Polska, CBZC, Prezes Urzędu Ochrony Danych Osobowych),
• współpracujemy z CERT Polska i CBZC w celu pełnego wyjaśnienia zdarzenia,

Dodatkowo wzmacniamy zabezpieczenia na przyszłość, m.in. poprzez:

• rozszerzenie stosowania dodatkowych zabezpieczeń logowania,
• rozbudowę systemów wykrywania zagrożeń,
• zwiększenie poziomu monitorowania i izolacji sieci.

4. Proponowane środki zaradcze – jakie działania mogą Państwo podjąć we własnym zakresie

Na obecnym etapie nie ma pewności, czy Państwa dane zostały wykorzystane, jednak zalecamy zachowanie szczególnej czujności oraz podjęcie działań, które pozwolą ograniczyć potencjalne skutki zdarzenia.

Zabezpieczenie tożsamości i danych finansowych

• zastrzeżenie numeru PESEL – to jedno z najskuteczniejszych zabezpieczeń przed wykorzystaniem danych do zaciągania zobowiązań (np. kredytów, pożyczek); można to zrobić online, w aplikacji mObywatel lub w urzędzie,
• monitorowanie aktywności kredytowej poprzez założenie konta w systemach informacji kredytowej i gospodarczej (np. BIK, BIG, KRD, ERIF) oraz włączenie alertów o próbach wykorzystania danych,
• sprawdzenie historii zapytań dotyczących numeru PESEL (kto i kiedy go weryfikował).

Zabezpieczenie dostępu do kont i usług

• zmiana haseł do poczty elektronicznej, bankowości, systemów uczelnianych i innych serwisów — hasła powinny być unikalne dla wszystkich konta,
• w miarę możliwości włączenie uwierzytelniania wieloskładnikowego,
• weryfikacja, czy dane logowania nie pojawiły się w znanych wyciekach danych (np. poprzez serwis: https:// bezpiecznedane.gov.pl).

Ograniczenie dostępności danych w przestrzeni publicznej

• przegląd informacji o sobie dostępnych w internecie i usunięcie danych, które nie są niezbędne (np. numery telefonów, adresy e-mail, adres zamieszkania, wizerunek),
• zachowanie szczególnej ostrożności przy publikowaniu informacji o sobie w przyszłości.

Ostrożność w kontaktach i komunikacji

• zachowanie czujności wobec podejrzanych wiadomości e-mail, SMS i połączeń telefonicznych,
• nieudostępnianie danych osobowych ani danych do logowania osobom trzecim bez weryfikacji,
• nieotwieranie nieznanych załączników i linków, choćby jeżeli wiadomość wydaje się pochodzić od znanej instytucji,
• szczególna ostrożność wobec wiadomości dotyczących spraw finansowych, zdrowotnych, rekrutacyjnych lub „pilnych działań”.

Reagowanie na nieprawidłowości

• w przypadku zauważenia podejrzanych działań (np. próby zaciągnięcia zobowiązania, nieznane logowania, nieautoryzowane umowy) — niezwłoczny kontakt z adekwatną instytucją (np. bankiem),
• zgłoszenie sprawy organom ścigania w przypadku podejrzenia wykorzystania danych,
• przekazanie informacji o zdarzeniu administratorowi danych (Uniwersytetowi).

Dodatkowe środki ostrożności

• podawanie wyłącznie minimalnego zakresu danych niezbędnego do załatwienia danej sprawy,
• rozważenie wymiany dokumentu tożsamości, jeżeli istnieją przesłanki jego wykorzystania,
• zachowanie szczególnej ostrożności w sytuacjach, w których ktoś powołuje się na Państwa dane lub próbuje je zweryfikować.

Sprawy formalne i administracyjne

• w przypadku naruszenia prywatności przysługuje Państwu prawo dochodzenia roszczeń na drodze cywilnej (np. o odszkodowanie lub zadośćuczynienie),
• mają Państwo również prawo złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych.

Jeżeli dowiedzą się Państwo o wykorzystaniu Państwa danych przez osobę nieuprawnioną lub zauważą jakiekolwiek niepokojące sygnały, prosimy o możliwie niezwłoczne przekazanie tej informacji oraz podjęcie odpowiednich działań, w tym kontakt z adekwatnymi instytucjami.

5. Gdzie można uzyskać więcej informacji?

Zachęcamy do regularnego śledzenia komunikatów na głównej stronie internetowej Uniwersytetu Warszawskiego – https://www.uw.edu.pl, a także zapoznania się poradnikiem „Zasady Cyberhigieny” oraz innymi przydatnymi publikacjami dostępnymi na stronie internetowej https://www.odo.uw.edu.pl

Jeżeli mają Państwo pytania dotyczące zdarzenia lub chcą uzyskać dodatkowe informacje w zakresie ochrony danych osobowych, prosimy o kontakt z Inspektorem Ochrony Danych Uniwersytetu Warszawskiego:

Dominik Ferenc – Inspektor Ochrony Danych poczta: Inspektor Ochrony Danych, Uniwersytet Warszawski, ul. Krakowskie Przedmieście 26/28, 00-927 Warszawa
e-mail: iod@adm.uw.edu.pl, tel.: +48 22 55 22 042

Dokładamy wszelkich starań, aby podobne zdarzenia nie miały miejsca w przyszłości. Będziemy na bieżąco informować o wszelkich istotnych ustaleniach związanych z incydentem.

Przepraszamy za wszelkie niedogodności, jakie mogły powstać w związku z zaistniałą sytuacją. Zapewniamy, iż przykładamy najwyższą wagę do bezpieczeństwa Państwa danych i podejmujemy wszelkie możliwe działania, aby skutecznie chronić je w przyszłości.