Szanowni Państwo,
w związku z incydentem zgłoszonym przez firmę Librus Sp. z o.o. – dostawcę systemu LIBRUS Synergia, z którego korzysta nasza placówka – informujemy, że stwierdzono naruszenie ochrony danych osobowych, które miało miejsce w dniach od 29.01.2024 do 12.06.2025 r. Był to błąd w systemie LIBRUS Synergia, który polegał na tym, że odbiorcy grupowych wiadomości systemowych (np. wiadomości wysyłanych przez wychowawcę do wszystkich rodziców w klasie) mogli – przy użyciu zaawansowanych narzędzi przeglądarki – uzyskać dostęp do danych osobowych innych adresatów tej wiadomości, to jest: imienia i nazwiska rodzica (jeżeli uzupełnił swoje dane w systemie), imienia i nazwiska ucznia, identyfikatora wewnętrznego użytkownika, informacji o klasie i grupie, informacji o typach kont pozostałych adresatów wiadomości, tj. informacji, czy dany odbiorca wiadomości jest rodzicem czy uczniem.
Dostawca systemu podał następujący przykład zaistniałej sytuacji:
W sytuacji wysłania przez wychowawcę grupowej wiadomości systemowej do rodziców wszystkich uczniów w jego klasie w temacie szczegółów zakończenia roku szkolnego, odbiorca takiej wiadomości (korzystając z odpowiednich narzędzi przeglądarki internetowej, jeśli posiadał odpowiednią wiedzę techniczną) mógł pozyskać dane osobowe innego rodzica i jego dziecka: imię i nazwisko rodzica, imię i nazwisko ucznia, identyfikator wewnętrzny użytkownika oraz informację o klasie i grupie.
Podkreślamy, że nie doszło do automatycznego ujawnienia danych – dostęp do nich wymagał wiedzy technicznej oraz użycia dodatkowych narzędzi. Podkreślamy, że do chwili obecnej firma Librus nie odnotowała żadnych przypadków faktycznego wykorzystania nieuprawnionego dostępu do danych.
Wszelkich dodatkowych informacji odnośnie naruszenia, jego możliwych skutkach, możliwościach ich zapobieżenia może Państwu udzielić wyznaczony Inspektor ochrony danych osobowych – Pan Maciej Laskowski, z którym można się skontaktować pod numerem telefonu 575 435 897, pod adresem email iodo@gryfon.com.pl, pocztą tradycyjną lub osobiście w Szkole, po umówieniu się na spotkanie.
Jakie mogą być konsekwencje naruszenia?
Teoretycznie osoba nieuprawniona (np. inny rodzic) mogła zapoznać się z danymi Państwa dziecka i – jeśli podali Państwo swoje dane w systemie – również z Państwa imieniem i nazwiskiem. Niemniej, jak wskazaliśmy wcześniej, nie odnotowano żadnego przypadku faktycznego wykorzystania tych danych.
Jakie działania zostały podjęte?
Firma Librus usunęła błąd w dniu 12 czerwca 2025 r. o godz. 14:05. Od tego momentu pozyskanie danych osobowych innych adresatów wiadomości nie jest już możliwe. Dodatkowo zapowiedziano wprowadzenie dodatkowych zabezpieczeń i szkoleń zespołu technicznego.
Przepraszamy za zaistniałą sytuację i zapewniamy, że podejmujemy wszelkie działania mające na celu zapobieganie podobnym zdarzeniom w przyszłości.
Z wyrazami szacunku,
Alicja Witkowska
Dyrektor SP im. Sybiraków w Dolistowie Starym