Pismem z 11 października 2023r. komornik powiadomił stronę postępowania egzekucyjnego, że „zmuszony jestem poinformować o naruszeniu ochrony danych osobowych, które miało miejsce w lipcu 2020r.”, a więc trzy lata po zdarzeniu.
Osoby trzecie uzyskały nieautoryzowany dostęp do następujących danych:
– imię i nazwisko
– numer PESEL
– data urodzenia
– adres zamieszkania lub adres pobytu
– seria i numer dowodu osobistego
– numer rachunku bankowego
– dane dotyczące wyroków w postępowaniach cywilnych
W wyniku dostępu do tych danych, mogło dojść do:
– Oszustw finansowych
I. Zawarcie nieautoryzowanych transakcji bankowych.
II. Utworzenie fałszywych kredytów lub pożyczek.
III. Wykorzystanie Państwa danych w celu zakupów na raty.
– Oszustw tożsamości
I. Wystawienie fałszywych faktur lub innych dokumentów na Państwa nazwisko.
II. Próba uzyskania dostępu do Państwa skrzynki pocztowej lub e-mail w celu przechwycenia korespondencji.
III. Utworzenie fałszywych profili w mediach społecznościowych, które mogą być wykorzystane do oszustw.
– Nieautoryzowanego dostępu
I. Wykorzystanie danych do zmiany haseł do różnych serwisów internetowych.
II. Manipulacja ustawieniami kont, takimi jak adresy dostawy dla kont handlowych.
– Niechcianych kontaktów
I. Nękanie telefoniczne lub przez e-mail.
II. Wizyty nieznanych osób pod Państwa adresem.
III. Otrzymywanie niechcianych ofert handlowych lub usług.
Czytelnik poprosił redakcję, aby ustaliła, jakie są skutki wycieku tych danych dla poszkodowanych. Poprosił także o sprawdzenie, jakie konsekwencje poniósł komornik w związku z tą sytuacją, i dlaczego, dopiero po trzech latach zainteresowani dowiedzieli się o wycieku ich danych osobowych.
cdn.
K. Czartoryski, M. Branicka
foto: Pixabay
_______________________
Aktualizacja: 10 kwietnia
Pytania do komornika Michała Dobrzyńskiego:
– Z Pana pisma wynika, że wyciek danych miał miejsce w lipcu 2020r. Dopiero w październiku 2023r. powiadomił Pan zainteresowanych o tym fakcie. Skąd ta zwłoka?
– Czy rzeczywiście miał miejsce wyciek danych osobowych w lipcu 2020r?
– Wyciek danych osobowych – ilu potencjalnie osób dotyczy? Ile osób otrzymało od Pana pismo z sygnaturą Kmo 918/23?
– Kiedy powiadomił Pan UODO o wycieku danych osobowych?
– Kiedy powiadomił Pan organa ścigania o wycieku danych osobowych?
– Czy ustalił Pan sprawców? Jeśli tak, to jakie podjął Pan kroki prawne wobec nich?
– Czy poszkodowani wyciekiem danych zgłaszali/zgłaszają Panu negatywne konsekwencje dla siebie w związku z tym wyciekiem? – Jeśli tak, to jakie?
– Jakie konsekwencje prawne i finansowe poniósł Pan w związku z wyciekiem danych osobowych?
Pytania do Dariusza Mikuckiego, prezesa Sądu Rejonowego w Żyrardowie:
– Kiedy (data) komornik powiadomił prezesa sądu o wycieku danych osobowych?
– Jakie działania podjął Pan w celu wyjaśnienia zaistniałej sytuacji (chodzi o harmonogram działań)?
– Jakie są Pana ustalenia dotyczące wycieku?
– Czy potencjalni poszkodowani wyciekiem danych zgłaszali Panu problemy z tym związane? Jeśli tak, to jakie?
– Na przestrzeni ostatnich 8 lat, czy podobny wyciek danych osobowych miał miejsce (chodzi o komorników)? Jeśli tak, to kiedy i u których komorników?
Pytania do Urzędu Ochrony Danych Osobowych (UODO):
– Kiedy komornik sądowy Michał Dobrzyński zgłosił do UODO wyciek danych?
– Dlaczego dopiero po 3 latach komornik powiadomił potencjalnych poszkodowanych wyciekiem danych? Czy to nie za późno?
– Czy komornika spotkały jakieś sankcje za wyciek danych?
Pytania do Prokuratury Krajowej:
– Czy na szczeblu Prokuratury Krajowej lub prokuratur podległych toczyły się lub toczą sprawy związane z wyciekiem danych z serwera komornika sądowego Michała Dobrzyńskiego z Żyrardowa?
– Czy udało się ustalić winnych przecieku i skierować akt oskarżenia wobec nich?
———-
Jak ustaliliśmy – w UODO sprawa ma sygnaturę: DKN.5130.4501.2020.
cdn.
________________________
Aktualizacja: 16 kwietnia. „Sprawa ta nie jest jeszcze zakończona”
1.
Karol Witowski, rzecznik prasowy, Departament Komunikacji Społecznej UODO:
– W odpowiedzi na Pana e-mail informuję, że administrator danych zgłosił interesujące Pana naruszenie ochrony danych. W toku postępowania wyjaśniającego i po przeanalizowaniu wszystkich informacji Prezes UODO uznał, że w związku z naruszeniem powinny zostać zawiadomione osoby, których dotyczy to naruszenie i wystąpił do administratora z takim żądaniem.
Sprawa ta nie jest jeszcze zakończona.
Jednocześnie informuję, że UODO nie informuje o szczegółach dotyczących zgłoszonych naruszeń ochrony danych. UODO może udzielać informacji jedynie administratorowi w ramach prowadzonych czynności wyjaśniających.
Pomocniczo wskazuję, że administrator danych, u którego doszło do naruszenia ochrony danych osobowych powinien przeanalizować takie zdarzenie pod kątem ewentualnego zgłoszenia naruszenia do Prezesa UODO i powiadomienia osób.
Do organu nadzorczego trzeba zgłaszać te naruszenia ochrony danych, w przypadku których istnieje ryzyko szkodliwego (niekorzystnego) wpływu na osoby, których dane dotyczą. Chodzi tu np. o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy też naruszenia tajemnic prawnie chronionych. Jeżeli natomiast istnieje wysokie ryzyko, że wystąpią niekorzystne skutki naruszenia dla osób, których dane dotyczą, wówczas RODO wymaga, aby oprócz organu ds. ochrony danych, administrator o sytuacji poinformował również osoby, których te dane dotyczą. Takie sytuacje mogą mieć miejsce, gdy zakres ujawnionych danych obejmuje np. informacje widniejące w dowodach tożsamości, a więc nie tylko imię i nazwisko, ale nr PESEL, nr dokumentu.
Celem zgłaszania naruszeń Prezesowi UODO jest m.in. dokonanie przez organ nadzorczy oceny, czy administrator prawidłowo wypełnił obowiązek zawiadomienia o naruszeniu osób, których dane dotyczą, o ile faktycznie wystąpiła sytuacja, w której ma obowiązek to zrobić, czy podjął właściwe działania w związku z naruszeniem. Dlatego też istotny jest czas zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego, na co administratorzy mają co do zasady 72 godziny od momentu, w którym stwierdzą naruszenie.
W przypadku poważnych naruszeń bardzo ważny jest czas reakcji. Dlatego, gdyby okazało się np., że administrator powinien powiadomić nie tylko UODO, ale także osoby, których dotyczy dane zdarzenie, a tego nie zrobił, to wówczas można szybko wskazać mu taką konieczność. Bardzo ważne jest bowiem, by osoby, których dane zostały np. ujawnione czy skradzione albo w inny sposób naruszone, mogły po takim powiadomieniu jak najszybciej same podjąć działania, które zabezpieczą je przed kolejnymi zagrożeniami.
Takimi działaniami może być np. zastrzeżenie nr PESEL oraz zachowanie jeszcze większej ostrożności podczas podawania danych przez internet lub telefon, by np. osoby o nieuczciwych zamiarach nie uzyskały np. dodatkowych danych, które ułatwią im np. tzw. kradzież tożsamości.
Należy mieć na uwadze, że nie każde zgłoszenie naruszenia przez administratora wymaga podejmowania działań ze strony UODO. W przypadku niektórych mogą być kierowane pisma o uzupełnienie zgłoszenia o dodatkowe informacje czy wystąpienia.
Odpowiadając na pytanie o ewentualne konsekwencje naruszenia informuję, że za nieprzestrzeganie zasad określonych w RODO administrator ponosi odpowiedzialność. Kary finansowe w RODO to tylko jeden z instrumentów oddziaływania, jakimi dysponuje Prezes UODO, by zapewnić przestrzeganie prawa. RODO zawiera bowiem całą gamę różnych rozwiązań, które służą wzmocnieniu ochrony danych osobowych obywateli. W przypadku stwierdzenia naruszenia przepisów może być bowiem m.in. wydane ostrzeżenie, udzielone upomnienie czy wydany nakaz dostosowania określonych działań do obowiązujących przepisów.
2.
Prokurator Przemysław Nowak, rzecznik prasowy Prokuratury Krajowej:
– W Prokuraturze Krajowej takie postępowanie się nie toczy.
Nie udzielam informacji w zakresie pozostałych prokuratur, każda prokuratura ma swojego rzecznika prasowego.
Sugeruję zapytać prokuraturę właściwą wg miejsca zdarzenia.
=======
Od redakcji. Tak też uczyniliśmy.
cdn.
_______________________
Aktualizacja: 18 kwietnia
Prokuratura Okręgowa w Płocku:
– Sprawy dotyczące wycieku danych z serwera komornika Michała Dobrzyńskiego nie toczą się w prokuraturach okręgu płockiego.
Sprawę tę prowadzi PR Warszawa – Ochota w Warszawie.
================
Pytania do Prokuratury Rejonowej Warszawa-Ochota:
– Na jakim etapie jest sprawa dotycząca wycieku danych z serwera komornika Michała Dobrzyńskiego?
– Czy działania prokuratury dotyczą tylko wycieku danych, czy także innych kwestii?
– Dlaczego czynności prowadzi Prokuratura Rejonowa Warszawa-Ochota, a nie np. jedna z prokuratur okręgu płockiego?
– Czy udało się ustalić sprawców wycieku, i jak do niego doszło?
_______________________
Aktualizacja: 19 kwietnia
Do dzisiaj nie otrzymaliśmy odpowiedzi od prezesa SR w Żyrardowie oraz komornika Dobrzyńskiego.
Pytania zadaliśmy po raz drugi.
cdn.
___________________________
Aktualizacja: 25 kwietnia
Sędzia Iwona Wiśniewska-Bartoszewska, rzecznik prasowy Sądu Okręgowego w Płocku:
Komornik sądowy przy Sądzie Rejonowym w Żyrardowie w dniu 29 lipca 2020r. poinformował Prezesa Sądu Rejonowego w Żyrardowie, że w dniu 10 lipca 2020r. doszło do naruszenia systemu teleinformatycznego jego kancelarii poprzez zaszyfrowanie danych na serwerze oraz komputerach za pomocą ransomware. Miał to stwierdzić w dniu 13 lipca 2020r.
Komornik poinformował, że wystosował zawiadomienia do Prezesa Urzędu Ochrony Danych Osobowych oraz Komendy Powiatowej Policji w Żyrardowie. Następnie na zapytanie sądu poinformował, że jego system teleinformatyczny odzyskał sprawność. Prezes Sądu Rejonowego w Żyrardowie nie podejmował dotychczas żadnych działań w tej materii, wobec tego, że komornik zawiadomił sam ww. organy państwa. To one są właściwe do podejmowania odpowiednich kroków przewidzianych prawem.
Prezes Sądu Rejonowego w Żyrardowie nie poczynił żadnych ustaleń w związku z tym wyciekiem. Nie dotarły żadne informacje co do dalszych losów ww. zawiadomień wysłanych do tych właściwych organów państwowych.
Prezes Sądu Rejonowego w Żyrardowie nie stwierdził podstaw do podjęcia działań dyscyplinarnych wobec komornika sądowego. W szczególności nie przedstawiono mu żadnych zarzutów karnych. Żadna osoba hipotetycznie pokrzywdzona tym wyciekiem nie zgłosiła się do Prezesa Sądu Rejonowego w Żyrardowie, zaś Prezes nie stwierdził w ostatnich 8 latach żadnego podobnego wycieku danych osobowych od komorników sądowych podlegających jego nadzorowi.
cdn.
____________________
Aktualizacja: 28 kwietnia
Prokuratura Rejonowa Warszawa-Ochota w Warszawie – Aleksandra Maria Kowalak:
– W odpowiedzi na pismo z dnia 21 kwietnia 2025 roku informuję, że postępowanie 4312-1.Ds.845.2024 zostało zakończone postanowieniem o umorzeniu śledztwa z dnia 7 kwietnia 2025 roku.
Postępowanie dotyczyło wyłącznie przestępstwa z art. 231 § 1 kk, czyli niedopełnienia obowiązków przez funkcjonariusza publicznego, podstawą umorzenia był art.17 § 1 pkt. 2 kpk, tj. brak znamion czynu zabronionego.
Prokuraturę Rejonową Warszawa-Ochota w Warszawie wyznaczyła jako właściwą miejscowo Prokuratura Okręgowa w Płocku, po przegranym przez tut. jednostkę sporze kompetencyjnym.
W toku postępowania nie ustalono sprawców wycieku, ani sposobu w jaki do niego doszło, bowiem inny był jego przedmiot.
=======
Komentarz
Rzecznik prasowa SO w Płocku przekazała nam, że Dobrzyński złożył zawiadomienie do Komendy Powiatowej Policji w Żyrardowie. Prokuratura Okręgowa w Płocku napisała, że sprawy dotyczące wycieku danych z serwera komornika Michała Dobrzyńskiego nie toczą się w prokuraturach okręgu płockiego.
Z kolei Prokuratura Rejonowa Warszawa-Ochota prowadziła śledztwo tylko w sprawie niedopełnienia obowiązków przez funkcjonariusza publicznego.
________________
Dodatkowe pytania do Iwony Wiśniewskiej-Bartoszewskiej, rzecznika prasowego Sądu Okręgowego w Płocku:
– Czego dotyczyło zawiadomienie złożone przez komornika Michała Dobrzyńskiego do Komendy Powiatowej Policji w Żyrardowie?
– Jaki finał miało to zawiadomienie?
– Kto w takim wypadku prowadził czynności śledcze w kierunku wykrycia sprawców wycieku?
cdn.
——————–
Z ostatniej chwili
Prokurator Rejonowy w Żyrardowie Marek Litkowski:
– Wskazuję, iż w Prokuraturze Rejonowej w Żyrardowie nie toczyły się i nie toczą się sprawy związane z wyciekiem danych z serwera komornika Michała Dobrzyńskiego z Żyrardowa.
____________________________
Aktualizacja: 29 kwietnia
Do dzisiaj nie otrzymaliśmy odpowiedzi od komornika Dobrzyńskiego.
Pytania zadaliśmy po raz trzeci.
cdn.
___________________
Aktualizacja: 8 maja
Sędzia Iwona Wiśniewska-Bartoszewska, rzecznik prasowy Sądu Okręgowego w Płocku:
– Zawiadomienie Komornika Sądowego przy Sądzie Rejonowym w Żyrardowie M. D. do Komendy Powiatowej Policji dotyczyło włamania do prowadzonego przez niego systemu informatycznego służącego do prowadzenia kancelarii komorniczej. Miało ono skutkować przejęciem kontroli nad tym systemem, co mogło spowodować także wyciek danych osobowych. Prezes Sądu Rejonowego w Żyrardowie nie dysponuje informacjami jaki był finał postępowania przygotowawczego ani w kierunki jakiego przestępstwa było ono prowadzone. Sąd Rejonowy w Żyrardowie nie był wszak stroną tego postępowania.
Nie dotarły także do Sądu żadne informacje dotyczące jego przebiegu jak i rozstrzygnięcia, ani rodzaju czynności dochodzeniowo – śledczych prowadzonych przez funkcjonariuszy policji celem ujawnienia sprawcy przestępstwa popełnionego na szkodę komornika. Wszelkie informacje w tym zakresie leżą w kompetencji organów ścigania.
=======
Komentarz
Pytania do Marka Jabłońskiego, komendanta KPP w Żyrardowie:
– Z jaką datą jest zawiadomienie komornika sądowego Michała Dobrzyńskiego, o którym mowa w odpowiedzi rzecznika prasowego SO w Płocku?
– Czego to zawiadomienie dotyczyło?
– Na jakim etapie jest sprawa z tego zawiadomienia?
– Czy Prokuratura Rejonowa w Żyrardowie lub inna prokuratura, sprawuje lub sprawowała nadzór w związku z tym zawiadomieniem?
cdn.
________________________
Aktualizacja: 10 maja
Komornik Michał Dobrzyński (odpowiedź pisemna z datą 16 kwietnia br.):
– Incydent, który faktycznie miał miejsce w Kancelarii został zgłoszony odpowiednim organom, w tym UODO, Prezesowi Sądu, Policji i Prokuraturze. Od tego momentu, z oczywistych powodów, Kancelaria sprawy nie komentuje.
========
Komentarz
Pytania były takie:
– Z Pana pisma wynika, że wyciek danych miał miejsce w lipcu 2020r. Dopiero w październiku 2023r. powiadomił Pan zainteresowanych o tym fakcie. Skąd ta zwłoka?
– Czy rzeczywiście miał miejsce wyciek danych osobowych w lipcu 2020r?
– Wyciek danych osobowych – ilu potencjalnie osób dotyczy? Ile osób otrzymało od Pana pismo z sygnaturą Kmo 918/23?
– Kiedy powiadomił Pan UODO o wycieku danych osobowych?
– Kiedy powiadomił Pan organa ścigania o wycieku danych osobowych?
– Czy ustalił Pan sprawców? Jeśli tak, to jakie podjął Pan kroki prawne wobec nich?
– Czy poszkodowani wyciekiem danych zgłaszali/zgłaszają Panu negatywne konsekwencje dla siebie w związku z tym wyciekiem? – Jeśli tak, to jakie?
– Jakie konsekwencje prawne i finansowe poniósł Pan w związku z wyciekiem danych osobowych?
Praktycznie Dobrzyński odpowiedział tylko na jedno pytanie (czy miał miejsce wyciek danych).
Od tamtego czasu ustaliliśmy, że prokuratury właściwe miejscowo jednoznacznie wskazują, że „nie toczyły się i nie toczą się sprawy związane z wyciekiem danych z serwera komornika Michała Dobrzyńskiego z Żyrardowa”.
Pismo komornika jest z datą wcześniejszą, niż odpowiedzi prokuratur na zapytania prasowe.
__________________________________
Komornik otrzyma następujące pytania:
– Z Pana pisma wynika, że wyciek danych miał miejsce w lipcu 2020r. Dopiero w październiku 2023r. powiadomił Pan zainteresowanych o tym fakcie. Skąd ta zwłoka?
– Która prokuratura została przez Pana powiadomiona o wycieku danych i kiedy (dokładna data)?
– Wyciek danych osobowych – ilu potencjalnie osób dotyczy? Ile osób otrzymało od Pana pismo z sygnaturą Kmo 918/23?
– Czy sprawcy wycieku zostali ustaleni?
– Czy poszkodowani wyciekiem danych zgłaszali/zgłaszają Panu negatywne konsekwencje dla siebie w związku z tym wyciekiem? – Jeśli tak, to jakie?
cdn.
____________________
Aktualizacja: 14 maja
St. sierż. Julia Szczygielska, p.o. oficera prasowego Komendanta Powiatowego Policji w Żyrardowie:
– Zawiadomienie zostało złożone do Komendy Powiatowej Policji w Żyrardowie dnia 27 lipca 2020r.
– Zawiadomienie dotyczyło ataku typu ransomware na serwerach i komputerach w kancelarii prawniczej zgłaszającego w dniach: 10.07.2020r. i 13.07.2020r.
– Sprawa została zakończona w dniu 31.08.2020r., postępowanie zostało umorzone z tytułu niewykrycia sprawcy.
– Powyższe postępowanie nie było objęte nadzorem Prokuratury Rejonowej w Żyrardowie.
cdn.
______________
Przeczytaj także:
– Dlaczego komornik sądowy Michał Dobrzyński z Żyrardowa bronił absurdalnej wyceny nieruchomości?
– Żyrardowski układ zamknięty? Część I – zawiadomienie
– Żyrardowski układ zamknięty? Część II – „dochodzenie”
– Żyrardowski układ zamknięty? Część IV – jak odwrócić kota ogonem – przepis made in Żyrardów
– Żyrardowski układ zamknięty? Część V – biedny kot, ile razy bowiem można go odwracać ogonem
– Sąd Rejonowy w Żyrardowie – Biała Księga
– Żyrardowski układ zamknięty? Część VI – nowe, szokujące fakty