Wielki wyciek danych z Urzędu Marszałkowskiego. Adresy, numery PESEL i wysokość pensji pracowników

Jeden z pracowników Urzędu Marszałkowskiego w Lublinie skopiował ze służbowego komputera dane wszystkich pracowników marszałka. Doszło do gigantycznego wycieku takich informacji jak imiona i nazwiska, adresów zamieszkania czy numerów PESEL.

Ten artykuł powstał dzięki wsparciu Czytelników. Nie czekaj, wspieraj.

• nr konta: 71 1090 2590 0000 0001 4947 2615
• zostań patronem: patronite.pl/jawnylublin
• szybki przelew: jawnylublin.pl/wplacam
• paypal: [email protected]

Sprawa jest głośna i mówią o niej chyba wszyscy pracownicy lubelskiego Urzędu Marszałkowskiego. Na początku sierpnia jeden z pracowników otrzymał nowy komputer służbowy. Nie do końca nowy, bo wcześniej używany przez kogoś innego. Sprzęt nie został „wyczyszczony”, a osoba, która dostała komputer, skopiowała na pendrive dane pracowników urzędu zatrudnionych do 2024 roku.

– Incydent miał miejsce 5 sierpnia. Pracownicy będący na urlopach macierzyńskich i innych długotrwale nieobecnych nikt nie poinformował o incydencie, pojawiło się jedynie ogłoszenie w wewnętrznym systemie urzędu. Danych jest dużo, zawierają dane osobowe, pesele, zarobki, nagrody przede wszystkim zwykłych pracowników – alarmuje jeden z pracowników.

I dodaje, że teraz każdy zastanawia się, co się wydarzyło i czy ich dane są bezpiecznie. – Pozostaje zagadką czy zostaną wyciągnięte konsekwencje, bo jak na razie urząd bazuje na oświadczeniu tego pracownika, że dane nigdzie nie zostały wykorzystane. W takim wypadku nasuwa się pytanie, po co zgrywał je na zewnętrzny nośnik – dodaje nasz informator.

Wszystko skopiowane

Skala wycieku jest olbrzymia, bo mowa nawet o ponad tysiącu osób. A o sprawie wiedzą już nie tylko zatrudnieni w urzędzie, ale też byli pracownicy, którzy z pracy odeszli kilka lat temu. – Otrzymałem taką informację od kolegi z urzędu – opowiada osoba, która już w UMWL nie pracuje.

I zastanawia go jeszcze jedna kwestia. Kiedy Jarosław Stawiarski (PiS) został po raz pierwszy marszałkiem województwa w 2018 roku bardzo „uszczelnił” urząd. Do tego stopnia, że w służbowym sprzęcie zostały poblokowane porty USB. – Żeby móc użyć USB trzeba o to poprosić i wyjaśnić, że jest to potrzebne w sprawach zawodowych – dodaje były pracownik marszałka. I ta zasada obowiązuje nadal.

Rzecznik prasowy marszałka, Remigiusz Małecki na szereg zadanych przez nas pytań odpowiada tylko jednym zdaniem: – O incydencie zostały zawiadomione właściwe organy. Dla dobra postępowania nie udzielamy informacji w przedmiotowym zakresie.

Więcej można się dowiedzieć z pisma marszałka, które zostało wysłane do pracowników.

Pismo datowane na 18 sierpnia podpisał sam marszałek Stawiarski. Przyznaje w nim wprost, że doszło do incydentu. „Informuję, że w dniu 5 sierpnia 2025 roku w Urzędzie Marszałkowskim Województwa Lubelskiego (UMWL) doszło do naruszenia ochrony danych osobowych, polegającego na nieuprawnionym skopiowaniu danych kadrowych przez pracownika Urzędu, który nie posiadał stosownego upoważnienia do ich przetwarzania. Naruszenie dotyczyło danych osobowych w zakresie: imienia i nazwiska, numeru PESEL, daty urodzenia, adresu zamieszkania, informacji o wynagrodzeniu, w tym przyznanych nagród. Charakter naruszenia ochrony danych osobowych” – czytamy.

Marszałek ujawnia także, że pracownik Lubelskiego Centrum Innowacji i Technologii (podlega pod UMWL) przekazał komputer służbowy pracownikowi urzędu bez uprzedniego usunięcia danych. „W wyniku tego działania pracownik uzyskał dostęp do danych kadrowych. W dniu 5 sierpnia br. skopiował je na swój zasób sieciowy oraz zewnętrzny nośnik. Zdarzenie zostało potwierdzone analizą logów systemowych” – dodaje Stawiarski.

I tłumaczy, że incydent został zgłoszony do Prezesa Urzędu Ochrony Danych Osobowych. Dodatkowo została wszczęta wewnętrzna procedura wyjaśniająca, „a Administrator danych podjął działania zmierzające do zminimalizowania jego skutków oraz zapobieżenie podobnym naruszeniom w przyszłości”.

Została także zawiadomiona prokuratura.

Kredyty i umowy

Z naszych informacji wynika, że osoba odpowiedzialna za wyciek, to pracownik z długim stażem pracy. W UMWL zatrudniony jest od 2007 roku. Nie udało nam się jednak ustalić, czemu skopiował dane, do czego miał ich użyć i jak to wszystko zostało wykryte.

Marszałek Stawiarski w piśmie do pracowników nie ukrywa, że sprawa jest poważna i groźna. Uczula, że występuje zagrożenie:

• posługiwania się Pani/Pana danymi osobowymi przez osoby trzecie do zaciągnięcia zobowiązania finansowego na szkodę w instytucjach pozabankowych;
• zawieranie przez osoby trzecie umów cywilno-prawnych na Pani/Pana szkodę, np. umów najmu lub dzierżawy, gdzie nie jest wymagane okazywanie dowodu tożsamości;
• podejmowanie przez osoby trzecie prób podszywania się pod instytucje publiczne lub podmioty prywatne, w celu wyłudzenia od Pani/Pana korzyści finansowych, np. poprzez fałszywe wezwania do zapłaty podatku;
• ograniczenie korzystania przez Panią/Pana z praw obywatelskich, np.: wykorzystanie danych do oddania głosu w głosowaniu nad środkami budżetu obywatelskiego;
• otrzymywanie przez Panią/Pana niechcianej korespondencji pocztą tradycyjną.

Co prawda pracownik miał oświadczyć, że usunął pozyskane dane i nikomu ich nie przekazał, ale ryzyko jest tak duże, że Stawiarski prosi o „zachowanie wzmożonej ostrożności” jeśli chodzi o otrzymywane maile, sms-y czy inne wiadomości, zwłaszcza te, których nadawca domaga się jakiejś zapłaty, dopłaty.

Na zdjęciu: Do incydentu w Urzędzie Marszałkowskim doszło 5 sierpnia. Kilkanaście dni potem marszałek województwa rozesłał do pracowników pismo z ostrzeżeniem, że to bardzo poważna sprawa (Fot. UMWL)