Пані та панове,
інформуємо, що в лютому 2023 року Elica Group Polska sp. z o.o. („Компанія”) отримала інформацію про порушення захисту персональних даних, що може мати на вас вплив. Нижче ми подаємо найважливішу інформацію щодо цього порушення та контактні дані офісу Компанії та уповноваженого інспектора із захисту даних, за допомогою яких ви можете зв’язатися з нами для подальших роз’яснень.
Що сталося та яких особистих даних стосувалося порушення?
У жовтні 2022 року тодішній працівник Компанії («Працівник»), використовуючи некоректну конфігурацію ІТ-системи, отримав несанкціонований доступ до деяких комп’ютерних папок відділу кадрів, де зберігалися численні файли з персональними даними. Потім Працівник завантажив ці файли на свій приватний носій.
Дані та інформація, котрих стосується порушення, відносяться до: колишніх співробітників і тимчасових працівників Компанії та включають ім'я, прізвище, інформацію про зарплатню, підвищення, відсутність на роботі, понаднормову роботу та причини припинення трудових відносин з Компанією. Також можливо, що Працівник мав доступ до інформації про стан здоров’я та оцінки ефективності окремих працівників.
У результаті аналізу подій встановлено, що Працівник діяв умисно з метою отримати доступ до інформації, до якої він не повинен мати доступу. Зокрема, щодо зарплат і запланованих підвищень його колегам, без наміру поширювати незаконно завантажені документи за межами Компанії. За його поясненнями, його єдиною метою була перевірка розміру зарплат і планованих надбавок. Він не мав наміру далі використовувати зібрану інформацію.
Співробітник також офіційно погодився зберігати конфіденційність усієї інформації, до якої він мав доступ. Крім того, він надав Компанії пристрої для зберігання завантажених файлів. Він заявив, що не має інших копій даних і не надавав їх стороннім особам.
Які заходи були вжиті Компанією для обмеження можливих негативних наслідків порушення?
Про ситуацію компанія повідомила місцеву поліцію. Розпочато та проведено кримінальні провадження. У цьому провадженні згадана вище мотивація Працівника була підтверджена.
Також Компанія поінформувала про дане порушення контролюючий орган – Президента Управління захисту персональних даних PUODO. Компанія співпрацювала з PUODO з метою надання всієї інформації, необхідної для відновлення подій та обмеження ризиків для прав і свобод суб’єктів даних.
Крім того, Компанія перевірила, чи були оприлюднені особисті дані осіб, які постраждали від порушення, в Інтернеті, в тому числі в мережі Darkweb. Слідів, що вказують на це, компанія не виявила.
Які заходи були вжиті для того, щоб запобігти повтору такого порушення?
Компанія посилила заходи безпеки для захисту своїх ІТ-систем. Зокрема, переглядаючи права доступу до мережевих пристроїв і ресурсів, щоб переконатися, що вони відповідають завданням, які виконують окремі співробітники. Компанія також посилила механізми системного моніторингу для швидкого виявлення будь-яких порушень.
Крім того, було вжито заходів для подальшого зниження ймовірності помилок конфігурації системи, наприклад, проведення навчання та заходів з підвищення обізнаності для ІТ-співробітників і перегляд внутрішніх процедур для управління ІТ-системами.
Якими можуть бути наслідки цієї події для вас?
Незалежно від використання заходів із зменшення ризику та доказів, зібраних Компанією, а також заяв, зроблених Працівником, не можна бути впевненим, що персональні дані, що містяться у файлах, не були надані третім особам.
Таким чином, можливо, що інші неавторизовані особи могли ознайомитися з інформацією щодо вашої особистості, фінансового становища, стану здоров’я та звичок/уподобань, пов’язаних із професійною чи особистою сферою, включаючи будь-які негативні думки, висловлені в рамках оцінки роботи.
Через конфіденційний характер деяких даних не можна повністю виключити ризик порушення особистих прав, зокрема доброї репутації, або інших наслідків дискримінаційного характеру.
Приносимо вибачення за будь-які незручності, які може спричинити цей інцидент. Ми тут, щоб допомогти вам, якщо це необхідно.
Як можна отримати більше інформації?
Якщо у вас виникли запитання чи занепокоєння щодо витоку даних і ви хотіли б отримувати оновлення щодо подальших подій у цьому питанні, ви можете зв’язатися з відділом кадрів Компанії за телефоном +48 71 3810 400 або електронною поштою за адресою privacyegp@elica.com.
Запити також можна надсилати звичайною поштою на адресу Компанії: Elica Group Polska Sp. z o.о., вул. Inżynierska 3, 55-221 Jelcz-Laskowice.
Ви також можете зв’язатися з уповноваженим інспектором Компанії із захисту даних, паном Андреа Регеліном за допомогою електронної пошти: dpo_egp@elica.com.
Як захистити себе?
Наостанок нагадаємо, що відстояти свої права можна в порядку, передбаченому Цивільним кодексом та Цивільним процесуальним кодексом. Відповідно до ст. 23 ЦК особисті права залишаються під захистом цивільного законодавства. Як передбачено ст. 24 Цивільного кодексу кожен, чиїм особистим інтересам загрожують дії іншої особи, може вимагати припинення таких дій, якщо вони не є протиправними. У разі виявлення порушення він може також вимагати від особи, яка вчинила порушення, виконання дій, необхідних для усунення його наслідків, зокрема подання декларації відповідного змісту та форми. Якщо майнова шкода завдана внаслідок порушення особистих прав, потерпіла сторона може вимагати її відшкодування на загальних засадах, передбачених Цивільним кодексом.
Jelcz Laskowice, 02.08.2024