Skontaktuj się z nami
798 031 351  
798 802 150  
szkolenia@ikzszkolenia.pl
SZKOLENIA I EGZAMINY ONLINE:
TERAZ WSZYSTKIE UPRAWNIENIA I EGZAMINY BEZ WYCHODZENIA Z DOMU. ZAPISZ SIĘ >>

Zadzwoń do nas!

tel. 798 031 351  |  tel. 798 802 150

Szanowni Państwo,

w ostatnim czasie nasza organizacja doświadczyła incydentu związanego z ochroną danych osobowych. Jeden z naszych pracowników szczebla kierowniczego, mający dość specyficzne rozumienie pojęcia „przedsiębiorczość” (o innych tradycyjnych wartościach – jak lojalność – nie wspominając) postanowił skrócić sobie drogę do własnego biznesu i skopiował nasza bazę klientów.

Mechanizmy bezpieczeństwa zadziałały i poinformowały nas o tym, jednak nie były w stanie temu zapobiec. Zaufanie jest ostatnią linią obrony, a ono właśnie zawiodło.

Chcemy podkreślić, że naruszenie to nie stanowi typowego wycieku danych. Dane znalazły się w rękach profesjonalisty, który zna ich wartość i można przypuszczać, że nie będzie skory do ich ujawnienia osobom trzecim lub lekkomyślnego udostępniania w Internecie. Mowa raczej o nieuprawnionym dostępie do danych przez osobę, która nie powinna tego dostępu posiadać. Zgodnie z przepisami RODO, taki stan należy uznać za naruszenie ochrony danych osobowych z wszelkimi tego konsekwencjami.

Naruszenia oczywiście nie bagatelizujemy. Jako, że czyn taki słusznie uznawany jest w prawie za przestępstwo, zawiadomiliśmy odpowiednie organy i jesteśmy zdeterminowani, żeby sprawę doprowadzić do końca.

W związku z naruszeniem, z uwagi na charakter danych, jesteśmy zobowiązani poinformować Państwa o wszelkich potencjalnych zagrożeniach, jakie mogą wiązać się z dostępem do tych danych przez osobę nieuprawnioną, zakładając przy tym najczarniejsze scenariusze. Prosimy więc o poświęcenie chwili i zapoznanie się z poniższą informacją.

  1. Co się stało Pracownik kierowniczego szczebla, na krótko przed zwolnieniem, wykorzystując swoje uprawnienia (niezbędne do świadczenia pracy), skopiował bazę danych klientów organizacji w celu wykorzystania jej w ramach swojej konkurencyjnej działalności. O fakcie eksportu bazy danych przełożony pracownika dowiedział się od służb informatycznych, które poinformowały go o tym na podstawie logów systemowych. Ponadto do pracodawcy zaczęły docierać informacje, że do dotychczasowych klientów organizacji dzwoni inna firma, powiązana ze sprawcą opisanego czynu, która proponuje usługę przedłużenia ważności uprawnień zawodowych. Telefony miały wyraźnie sprofilowany charakter – występowały na krótko przed utratą ważności tych uprawnień.
  2. Dane dotyczące inspektora ochrony danych osobowych. Dane kontaktowe inspektora ochrony danych osobowych, od którego mogą Państwo otrzymać w każdym czasie informację na temat opisanego naruszenia oraz jego konsekwencji: inspektor@inspektor-gliwice.pl.
  3. Możliwe konsekwencje wynikające z naruszenia ochrony danych osobowych. W bazie klientów znajdowały się następujące dane: imię i nazwisko, PESEL, numer dowodu osobistego, miejsce i rodzaj pracy, dane kontaktowe, data ważności uprawnień. Dane te mogą posłużyć do kierowania niechcianej informacji handlowej, spamu, a także do zaciągnięcia zobowiązań w bankach, firmach pożyczkowych, u operatorów telekomunikacyjnych – zwłaszcza tych miejscach, w których zobowiązania można zaciągać za pomocą środków komunikacji elektronicznej czyli np. przez Internet, aplikację itp. Dane mogą też posłużyć do prób, podszywania się, wyłudzeń lub oszustw drogą elektroniczną. W związku z powyższym prosimy o szczególne zwrócenie uwagi na przychodzącą korespondencję, zwłaszcza nietypową, np. pisma z firm windykacyjnych, od komorników, od operatorów telekomunikacyjnych, banków itp. W razie otrzymania tego typu korespondencji decydowanie zalecamy nie ignorowanie jej. W takim przypadku należy niezwłocznie udać się na Policję w celu zablokowania ew. procedury ściągania długów. Można rozważyć zastrzeżenie numeru PESEL, co można zrobić w aplikacji mObywatel lub w dowolnym urzędzie gminy. Zalecamy także zmianę hasła wszędzie tam gdzie hasłem tym był np. numer PESEL, a ponadto włączenie logowania dwuskładnikowego (np hasło + SMS) wszędzie, gdzie taka funkcjonalność istnieje. Warto też w swoim banku uruchomić tryb informacyjny w systemie bankowym o zawieranych zobowiązaniach. Banki mogą przesyłać informację (np. sms), że właśnie dochodzi o próby zaciągnięcia zobowiązania. W razie jakichkolwiek pytań lub wątpliwości bardzo prosimy o kontakt z inspektorem ochrony danych pod wskazanym wyżej adresem e-mail.
  4. Opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu by ponownie nie wystąpiły oraz w przypadku ewentualnych negatywnych skutków. W celu uniknięcia podobnych incydentów w przyszłości, wdrożono mechanizm każdorazowej, ręcznej akceptacji przez wyższe kierownictwo operacji eksportu danych z bazy. Ponadto zweryfikowano uprawnienia pracowników do eksportowania danych oraz zweryfikowano widoczność danych w bazie.

Skontaktowano się ze sprawcą naruszenia, zobowiązując go do zaprzestania wykorzystywania danych osobowych oraz do ich trwałego usunięcia.

Zawiadomiono organy ścigania o podejrzeniu popełnienia przestępstwa z art. 23 ustawy o zwalczaniu nieuczciwej konkurencji oraz podjęto kroki prawne na drodze cywilnej.

Przeprowadzono rozmowy z pracownikami kierowniczego szczebla z zakresu ochrony tajemnicy przedsiębiorstwa (rozmowy miały charakter uzupełniający, bowiem organizacja posiada wdrożoną politykę ochrony tajemnicy przedsiębiorstwa i pracownicy są w tej kwestii przeszkoleni).


Zarząd

WOJEWÓDZKI URZĄD PRACY

ENEA

BP

OBI

Polska Spółka Gazownictwa

Wojewódzki Szpital Specjalistyczny

Wipasz

Herbapol

KUEHNE + NAGEL

Sweco

INKOP

autojet

Rydygier

OTIS

SKANSKA

MEILLERGHP

ETC-PZL AEROSPACE INDUSTRIES

WODR