Szanowni Państwo,
Szkoła, działając w charakterze administratora danych osobowych, informuje, iż w dniach 13 i 16 czerwca 2025 r. otrzymaliśmy informację od dostawcy systemu LIBRUS Synergia, działającego w charakterze podmiotu przetwarzającego, o możliwym naruszeniu ochrony danych osobowych w ramach tej platformy.
W dniu 11 czerwca 2025 r. o godz. 10.40 Podmiot przetwarzający otrzymał zgłoszenie od jednej z placówek oświatowych korzystających z rozwiązania LIBRUS Synergia o podejrzeniu naruszenia ochrony danych osobowych polegającego na możliwym, nieuprawnionym dostępie odbiorców grupowych wiadomości systemowych (przesłanych za pomocą rozwiązania LIBRUS Synergia) do danych osobowych pozostałych adresatów wiadomości.
W wyniku przeprowadzonej niezwłocznie analizy technicznej i potwierdzenia zasadności zgłoszenia, o godz. 12:07 tego samego dnia potwierdzono wystąpienie naruszenia.
Z informacji przekazanych przez LIBRUS wynika, iż w okresie 29 stycznia 2024 r. – 12 czerwca 2025 r. rozwiązanie LIBRUS Synergia (wyłącznie w kontekście wiadomości grupowych dostępnych w skrzynce odbiorczej) w sposób nieprawidłowy przesyłało przeglądarce internetowej odbiorcy (grupowej wiadomości systemowej) informacje o pozostałych adresatach wiadomości (obejmujących takie dane jak: imię i nazwisko rodzica, imię i nazwisko ucznia, identyfikator wewnętrzny użytkownika oraz informację o klasie i grupie, a także informację o typie konta, tzn. czy konto jest zaklasyfikowane jako uczeń czy rodzic).
Przykład:
W sytuacji wysłania przez wychowawcę grupowej wiadomości systemowej do rodziców wszystkich uczniów w jego klasie w temacie szczegółów zakończenia roku szkolnego, odbiorca takiej wiadomości (korzystając z odpowiednich narzędzi przeglądarki internetowej, jeśli posiadał odpowiednią wiedzę techniczną) mógł pozyskać dane osobowe innego rodzica i jego dziecka.
Nie doszło do automatycznego ujawnienia danych – dostęp był możliwy wyłącznie po stronie innego uprawnionego użytkownika Librus Synergia (np. innego rodzica, który mógł już wcześniej znać dane osobowe innych adresatów wiadomości, z wyjątkiem identyfikatora wewnętrznego użytkownika), posiadającego wiedzę techniczną umożliwiającą dostęp do niewidocznych elementów wiadomości.
W wyniku podjętych niezwłocznie działań, w dniu 12 czerwca o godz. 14.05 opisany błąd w działaniu rozwiązania LIBRUS Synergia został usunięty - pozyskanie danych osobowych pozostałych odbiorców wiadomości systemowej (w przypadku wysłania przez placówkę oświatową wiadomości grupowej) przez jednego z jej adresatów nie jest aktualnie możliwe.
Informujemy, iż Szkoła, jako administrator danych osobowych dopełniła wszystkich przewidzianych przez przepisy o ochronie danych osobowych. Z Librus łączy nas umowa powierzenia danych osobowych regulująca obowiązki firmy jako podmiotu przetwarzającego dane osobowe uczniów i rodziców. Librus wypełnił również ankietę kwalifikacyjną, w której zapewnił o posiadaniu odpowiednich zabezpieczeń w procesie przetwarzania danych.
Jak do tej pory Librus nie jest w stanie określić czy ktoś faktycznie uzyskał dostęp do wymienionych wyżej danych i których konkretnie osób dane mogły zostać w sposób nieuprawniony ujawnione. Zostaliśmy jedynie poinformowani, że taka luka i możliwość istniała. Jesteśmy w kontakcie z podmiotem przetwarzającym, aby możliwie jak najdokładniej wyjaśnić tę sprawę.
Informujemy, iż zdarzenie zostanie zgłoszone Prezesowi Urzędu Ochrony Danych Osobowych.
Będziemy informować Państwa na bieżąco o ewentualnym rozwoju sprawy.