Szanowni Państwo,

Działając na podstawie art.. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwane dalej RODO, informujemy o naruszeniu ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia Pani/Pana praw lub wolności.
Informujemy, że dnia 14.04.2022 nastąpił zabór dokumentów oraz komputerów z siedziby Spółki przez odwołany Zarząd. Odwołany Zarząd mógł uzyskać nieuprawniony dostęp do niektórych danych osobowych przetwarzanych przez Spółkę. .
Dla zapewnienia najwyższego standardu bezpieczeństwa danych osobowych został powołany zespół, który podjął natychmiast po otrzymaniu zgłoszenia następujące czynności:
* Odzyskano i zabezpieczono komputery oraz dokumenty od odwołanego Zarządu.
* Zabezpieczono i ograniczono dostęp do baz danych.
* Zarządzono audyt bezpieczeństwa przez firmę zewnętrzną.
* Zlecono monitoring portali społecznościowych (w tym również portali sieci TOR), pod kątem pojawienia się danych osobowych pochodzących ze Spółki (nie odnotowaliśmy żadnego przypadku ujawnienia).
* Poinformowano osoby, których naruszenie ochrony danych dotyczy poprzez niniejsze pismo.
W zakresie środków związanych bezpośrednio z bezpieczeństwem informacji, w odpowiedzi na zdarzenie:
* zgodnie z wewnętrzną procedurą bezpieczeństwa, podjęto re-instalację odzyskanych komputerów,
* wymusiliśmy zmianę haseł personelu do wszystkich usług sieciowych,
* udzieliliśmy pracownikom dodatkowych instrukcji i ostrzeżeń dot. ochrony danych osobowych oraz cyberbezpieczeństwa.
* wymieniono zabezpieczenia do pomieszczeń fizycznych.
Poza działaniami wskazanymi powyżej zawiadomiono w tej sprawie organ nadzorczy oraz Policje i Prokuraturę Okręgową w Warszawie
W wyniku zdarzenia mogły zostać ujawnione dane osobowe: imię nazwisko, adres siedziby e-mail, numer telefonu, nazwa firmy, NIP, REGON.
Dysponując wskazanymi wyżej danymi, osoba nieuprawniona może podejmować działania związane z możliwością posługiwania się nimi tam, gdzie uwierzytelnienie wymaga podania imienia i nazwiska, numeru telefonu lub/oraz adresu email- czyli na przykład mogą zostać wykorzystane do zakładania konta na stronach internetowych, forach, sklepach i innych serwisach tam, gdzie brak jest weryfikacji zwrotnej za pomocą e-mail’a lub numeru telefonu (sms/mms)
Rekomendowane działania
Przygotowaliśmy przydatną listę środków zaradczych, których podjęcie zwiększy bezpieczeństwo Twoich danych:
* Jeśli podejrzewasz, że mogłeś stać się ofiarą przestępstwa, niezwłocznie zgłoś się na policję. Jeśli przestępstwo zostało popełnione z wykorzystaniem Twoich danych osobowych, powiadom podmioty używające tych danych. Zbierz oraz zachowaj dowody wszelkich formalnych czynności podjętych w związku z zajściem, aby móc je wykorzystać podczas ewentualnego procesu sądowego.
* Zachowaj szczególną ostrożność w przypadku, gdy:
a) otrzymasz niespodziewane maile lub wiadomości tekstowe, w szczególności od nieznanych nadawców;
b) odbierasz połączenia wykonywane z nieznanych numerów, w szczególności gdy dotyczą one przekazywania danych „w celach weryfikacyjnych” – nawet jeśli rozmówca podaje Ci twoje aktualne dane. Może być to próba wyłudzenia dodatkowych informacji, innych niż te potencjalnie przejęte;
c) udostępniasz lub wykorzystujesz swoje dane osobowe za pośrednictwem Internetu, w szczególności za pośrednictwem linków znajdujących się w mailach lub wiadomościach.
* Zwracaj szczególną uwagę na linki i wypatruj nieprawidłowości.
* Jeśli zaobserwujesz jakiekolwiek nieprawidłowości, nie udostępniaj żadnych danych osobowych i zgłoś ten fakt organom ścigania.
Sprawami dotyczącymi ochrony danych osobowych w Spółce zajmuje się Pani Aleksandra Trzpiel – e-mail: aleksandra.trzpiel@phosa.pl.
W przypadku dodatkowych pytań zachęcamy do kontaktu.