Szanowni Państwo,

Działając na podstawie art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej RODO, informujemy o naruszeniu ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia Pani/Pana praw lub wolności.
Informujemy, że dnia 14.04.2022 nastąpił zabór dokumentów oraz komputerów z siedziby Spółki przez odwołany Zarząd. Odwołany Zarząd mógł uzyskać nieuprawniony dostęp do niektórych danych osobowych przetwarzanych przez Spółkę.
Dla zapewnienia najwyższego standardu bezpieczeństwa danych osobowych został powołany zespół, który podjął natychmiast po otrzymaniu zgłoszenia następujące czynności:
* Odzyskano i zabezpieczono komputery oraz dokumenty od odwołanego Zarządu.
* Zabezpieczono i ograniczono dostęp do baz danych.
* Zarządzono audyt bezpieczeństwa przez firmę zewnętrzną.
* Zlecono monitoring portali społecznościowych (w tym również portali sieci TOR), pod kątem pojawienia się danych osobowych pochodzących ze Spółki (nie odnotowaliśmy żadnego przypadku ujawnienia).
* Poinformowano osoby, których naruszenie ochrony danych dotyczy poprzez niniejsze pismo.
W zakresie środków związanych bezpośrednio z bezpieczeństwem informacji, w odpowiedzi na zdarzenie:
* zgodnie z wewnętrzną procedurą bezpieczeństwa, podjęto re-instalację odzyskanych komputerów,
* wymusiliśmy zmianę haseł personelu do wszystkich usług sieciowych,
* udzieliliśmy pracownikom dodatkowych instrukcji i ostrzeżeń dot. ochrony danych osobowych oraz cyberbezpieczeństwa,
* wymieniono zabezpieczenia do pomieszczeń fizycznych.
Poza działaniami wskazanymi powyżej zawiadomiono w tej sprawie organ nadzorczy (Urząd Ochrony Danych), Policje oraz Prokuraturę Okręgową w Warszawie.
W wyniku zdarzenia mogły zostać ujawnione dane osobowe: imię, nazwisko, nazwisko rodowe, adres zamieszkania, numer PESEL, NIP, REGON, seria i numer dowodu osobistego lub paszportu, data i miejsce urodzenia, numer telefonu, wysokość wynagrodzenia, wizerunek, obywatelstwo, stan zdrowia, wykształcenie, karalność, adres e-mail, numer konta bankowego.
Obecnie nie ma potwierdzenia co do fizycznego wycieku wyżej wymienionych danych.
Dysponując wskazanymi wyżej danymi, osoba nieuprawniona może podejmować działania związane z możliwością posługiwania się nimi tam, gdzie uwierzytelnienie wymaga podania imienia i nazwiska, numeru telefonu lub/oraz adresu email czy też numeru PESEL lub numeru dowodu osobistego i tym samym osoba może:
* Podejmować próby uzyskania na Pani/Pana szkodę, pożyczek w instytucjach pozabankowych np. przez internet lub telefonicznie, w przypadkach niewymagających okazywania dokumentu tożsamości.
* Podejmować próby uzyskania dostępu do systemów obsługujących udzielenie świadczeń medycznych i uzyskać wgląd do danych o Pani/Pana stanie zdrowia, w przypadkach, gdy dostęp do systemów rejestracji pacjenta będzie oparty na potwierdzeniu swojej tożsamości z wykorzystaniem numeru PESEL.
* Pani/Pana dane osobowe mogą zostać wykorzystane przez osobę trzecią do próby wyłudzenia odszkodowania.
* Osoby trzecie mogą podjąć próbę zawarcia na Pani/Pana szkodę umów cywilnoprawnych.
* Pani/Pana dane mogą zostać wykorzystane do zakładania konta na stronach internetowych, forach, sklepach i innych serwisach tam, gdzie brak jest weryfikacji zwrotnej za pomocą wiadomości e-mail lub numeru telefonu (sms/mms).
Rekomendowane działania
Przygotowaliśmy przydatną listę środków zaradczych, których podjęcie zwiększy bezpieczeństwo Pani/Pana danych:
* Założenie konta w systemie informacji kredytowej, w celu otrzymywania powiadomień o każdej próbie uzyskania pożyczki na Pani/Pana nazwisko, np. BIK https://www.bik.pl/klienci-indywidualni/alerty-bik lub https://chronpesel.pl.
* Zastrzeżenie dowodu osobistego lub innego dokumentu w banku, w którym Pani/Pan posiada konto, lub w innym, nawet jeśli Pani/Pan nie ma tam założonego konta – lista polskich banków przyjmujących takie zgłoszenia znajduje się tutaj: https://dokumentyzastrzezone.pl/lista-bankow…/.
* Jeśli Pani/Pana jest obywatelem Polski – wyrobienie nowego dowodu osobistego poprzez kontakt z właściwym Urzędem Miasta, Gminy lub Dzielnicy, unieważnienie aktualnego dokumentu i złożenie wniosku o wyrobienie nowego. Można to zrobić przez Internet, wykorzystując Profil Zaufany, osobiście w urzędzie lub za pośrednictwem tradycyjnej poczty, jeśli znajdujesz się za granicą. Więcej informacji znajduje się na tej stronie: https://www.gov.pl/…/zglos-utrate-lub-uszkodzenie….
* Jeśli Pani/Pan podejrzewa, że mógł stać się ofiarą przestępstwa, niezwłocznie proszę zgłosić się na policję. Jeśli przestępstwo zostało popełnione z wykorzystaniem Pani/Pana danych osobowych, należy powiadomić podmioty używające tych danych, np. bank, pożyczkodawców lub sieć telekomunikacyjną. Należy zebrać oraz zachować dowody wszelkich formalnych czynności podjętych w związku z zajściem, aby móc je wykorzystać podczas ewentualnego procesu sądowego.
* Jeśli Pani/Pan używa numeru PESEL jako loginu na jakimkolwiek portalu lub koncie internetowym – należy zmienić login (o ile dany serwis dopuszcza taką zmianę).
* Należy zachować szczególną ostrożność w przypadku, gdy:
a) otrzymamy niespodziewane maile lub wiadomości tekstowe, w szczególności od nieznanych nadawców;
b) odbierzemy połączenia wykonywane z nieznanych numerów, w szczególności gdy dotyczą one przekazywania danych „w celach weryfikacyjnych” – nawet jeśli rozmówca podaje państwa aktualne dane. Może być to próba wyłudzenia dodatkowych informacji, innych niż te potencjalnie przejęte;
c) udostępniamy lub wykorzystujemy swoje dane osobowe za pośrednictwem Internetu, w szczególności za pośrednictwem linków znajdujących się w mailach lub wiadomościach.
* Należy zwracać szczególną uwagę na linki i wypatrujmy nieprawidłowości.
* Jeśli zaobserwujemy jakiekolwiek nieprawidłowości, nie udostępniajmy żadnych danych osobowych i zgłośmy ten fakt organom ścigania.
Sprawami dotyczącymi ochrony danych osobowych w Spółce zajmuje się Pani Aleksandra Trzpiel – e-mail: aleksandra.trzpiel@phosa.pl.
W przypadku dodatkowych pytań zachęcamy do kontaktu.