Aktualności

Możliwość naruszenia danych osobowych (wyjaśnienie)
06/02/2020

Administrator danych osobowych, jakim grupa przedsiębiorstw (w trybie art. 34 pkt 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) niniejszym informuje o możliwości naruszenia ochrony danych osobowych.

W nocy 21-22 stycznia 2020 r. miał miejsce incydent związany z kradzieżą komputerów (2 szt.) oraz akt osobowych transportowanych do siedziby firmy przez naszych pracowników. Na dyskach komputerów znajdowały się dane osobowe przetwarzane w związku z zatrudnieniem. Komputery posiadały aktualne zabezpieczenia i ochronę: login i hasło. Administrator Danych Osobowych nie może wykluczyć, iż w wyniku tego incydentu nieznane osoby uzyskały dostęp do Pani/Pana danych osobowych, przez co doszło do naruszenia ochrony danych osobowych.

Na dyskach komputerów znajdowały się dane osobowe pracowników m.in. dane identyfikacyjne – imię (imiona), nazwisko, data urodzenia, dane kontaktowe, wykształcenie, kwalifikacje zawodowe, przebieg zatrudnienia, imiona rodziców, pesel, płeć, narodowość, obywatelstwo, seria i numer dowodu/paszportu, seria i numer dowodu osobistego, nr telefonu komórkowego.

Realizując obowiązek wynikający z treści art. 34 RODO informuje, iż istnieje ryzyko nieuprawnionego dostępu do ww. danych osobowych i zapoznania się z ich treścią. Możliwymi konsekwencjami ewentualnego naruszenia ochrony danych osobowych jest nieuprawnione wykorzystanie danych osobowych m.in. w celu:

  • uzyskania przez osoby trzecie, na szkodę osoby, której dane naruszono, kredytów w instytucjach pozabankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości;
  • uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono oraz do jej danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL;
  • korzystania z praw obywatelskich osoby, której dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego - uniemożliwiałoby to właściwej osobie skorzystanie z przysługującego jej prawa;
  • wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu.

W celu zabezpieczenia się przed negatywnymi skutkami zaistniałego naruszenia zalecamy, aby osoby których dane osobowe mogły ulec naruszeniu, podjęły kroki minimalizujące ryzyko wystąpienia negatywnych konsekwencji i nieuprawnionego wykorzystania danych m.in. poprzez:

  • założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej (na rynku dostępne są systemy, instytucje i przedsiębiorstwa, które oferują usługi pozwalające na monitorowanie swojej aktywności kredytowej. Podajemy przykładowe: Biuro Informacji Kredytowej S.A. strona https://www.bik.pl, Biuro Informacji Gospodarczej InfoMonitor S.A. strona https://big.pl, Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. stron https://krd.pl, Serwis CHRONPESEL strona https://www.chronpesel.pl. W przypadku stwierdzenia jakichkolwiek nieprawidłowości – zgłoszenie tego faktu organom ścigania;
  • zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu;
  • dokonanie samodzielnego zgłoszenia faktu naruszenia danych osobowych właściwym organom w celu zapobieżenia tzw. „kradzieży tożsamości”.

Podjęcie tych działań ma na celu zabezpieczenie danych osobowych przed niewłaściwym ich wykorzystaniem. Zapewniam, iż Współadministratorzy Danych Osobowych w celu zaradzenia naruszeniu ochrony danych osobowych i zminimalizowania ewentualnych negatywnych skutków tego naruszenia  podjął niezwłocznie adekwatne środki organizacyjne, administracyjne i prawne, w tym ponownie poinformował pracowników, iż przetwarzanie danych osobowych, których współadministrowanie może odbywać się wyłącznie na nośnikach służbowych zapewniających właściwą ochronę poufności i bezpieczeństwa danych osobowych zgodnie z obowiązującymi wewnętrznymi procedurami. Współadministratorzy Danych Osobowych przeprowadził też kolejne szkolenie z zakresu przepisów o ochronie danych osobowych oraz kontynuuje harmonogram cyklicznych szkoleń dla pracowników z tego zakresu. Jednocześnie incydent został zgłoszony przez Personnel Service Sp. z. o. o. do Urzędu Ochrony Danych Osobowych i do organów ścigania.

Współadministratorzy Danych Osobowych, aby zapewnić właściwą ochronę danych osobowych oraz w celu niedopuszczenia do zaistnienia podobnych naruszeń danych, planuje wprowadzenie zmian w sferze transportu dokumentacji i akt osobowych, których celem jest zapewnienie wzmocnionej ochrony danych osobowych. W szczególności, planuje się podjęcie stosownych działań mających na celu ograniczenie możliwości zapisywania danych na nośnikach zewnętrznych.

Współadministratorzy Danych Osobowych zapewnia, iż zostały podjęte niezbędne działania, aby podobna sytuacja nie miała miejsca w przyszłości.

W razie dodatkowych pytań lub wątpliwości prosimy o kontakt z Inspektorem Ochrony Danych Osobowych:

Mariusz Zajkiewicz ul. Gwiaździsta 66 lok 2B.06, 53-413 Warszawa, e-mail: iod@personnelservice.pl


Personnel Service © 2009 - 2020