Szanowni Państwo,
przesyłamy niniejszy komunikat, aby poinformować, że w lutym 2023 roku spółka Elica Group Polska sp. z o.o. („Spółka”) dowiedziała się o naruszeniu ochrony danych osobowych, które może mieć na Panią/Pana wpływ.
Poniżej przedstawiamy Państwu najważniejsze informacje dotyczące naruszenia oraz dane kontaktowe biura Spółki i inspektora ochrony danych, pod którymi można się skontaktować w celu uzyskania dalszych wyjaśnień.
Co się wydarzyło i jakich danych osobowych dotyczyło naruszenie?
W październiku 2022 roku ówczesny pracownik Spółki („Pracownik”), wykorzystując błędną konfigurację systemu informatycznego, uzyskał nieuprawniony dostęp do niektórych folderów komputerowych działu personalnego, w których przechowywane były liczne pliki zawierające dane osobowe. Następnie Pracownik pobrał te pliki na swoje prywatne nośniki.
Dane i informacje, których dotyczy naruszenie, dotyczą m.in. byłych pracowników i pracowników tymczasowych Spółki i obejmują imię, nazwisko, informacje o wynagrodzeniu, podwyżkach, nieobecnościach w pracy, nadgodzinach oraz przyczynach rozwiązania stosunku pracy ze Spółką. Jest również możliwe, że Pracownik miał dostęp do informacji na temat stanu zdrowia i ocen pracowniczych poszczególnych pracowników.
W wyniku analizy zdarzeń ustalono, że Pracownik działał celowo, z zamiarem uzyskania dostępu do informacji, do których nie powinien mieć dostępu. W szczególności w odniesieniu do wynagrodzeń i planowanych podwyżek swoich współpracowników, bez zamiaru udostępniania nielegalnie pobranych dokumentów poza Spółką. Według jego wyjaśnień, jego jedynym celem było sprawdzenie wysokości wynagrodzeń i planowanych podwyżek. Nie miał zamiaru dalszego wykorzystywania zgromadzonych informacji.
Pracownik zobowiązał się również formalnie do zachowania w tajemnicy wszystkich informacji, do których miał dostęp. Ponadto przekazał Spółce urządzenia służące mu do przechowywania pobranych plików. Złożył oświadczenie, że nie posiada żadnych innych kopii danych i nie udostępniał ich żadnym nieupoważnionym osobom.
Jakie środki zostały podjęte przez Spółkę w celu ograniczenia ewentualnych negatywnych skutków naruszenia?
Spółka o zdarzeniu poinformowała miejscową policję. Wszczęto i przeprowadzono postępowanie karne. W postępowaniu tym potwierdziła się motywacja Pracownika, o której mowa powyżej.
Ponadto Spółka zawiadomiła o naruszeniu organ nadzorczy - Prezesa Urzędu Ochrony Danych Osobowych („PUODO”). Spółka współpracowała z PUODO w celu przekazania wszelkich informacji niezbędnych do rekonstrukcji zdarzeń oraz ograniczenia ryzyka dla praw i wolności osób, których dane dotyczą.
Co więcej, Spółka sprawdziła, czy dane osobowe osób, których dotyczyło naruszenie, zostały opublikowane w Internecie, w tym w darkwebie. Spółka nie wykryła żadnych śladów na to wskazujących.
Jakie działania podjęto, aby zapobiec ponownemu wystąpieniu naruszenia?
Spółka wzmocniła środki bezpieczeństwa w celu ochrony swoich systemów informatycznych. W szczególności poprzez przegląd uprawnień dostępu do urządzeń i zasobów sieciowych, by zapewnić, że są one właściwe do zadań wykonywanych przez poszczególnych pracowników. Spółka wzmocniła również mechanizmy monitorowania systemu, aby umożliwić szybkie wykrywanie wszelkich nieprawidłowości. Dodatkowo podjęto działania, mające na celu dalsze ograniczenie prawdopodobieństwa wystąpienia błędów w konfiguracji systemów, takie jak zapewnienie szkoleń i działań uświadamiających dla pracowników IT oraz przegląd wewnętrznych procedur zarządzania systemami informatycznymi.
Jakie mogą być konsekwencje tego zdarzenia dla Państwa?
Niezależnie od zastosowania środków zmniejszających ryzyko i dowodów zebranych przez Spółkę, a także oświadczeń złożonych przez Pracownika, nie można mieć pewności, że dane osobowe zawarte w plikach nie zostały udostępnione osobom trzecim.
W związku z tym możliwe jest, że inne nieuprawnione osoby mogły zapoznać się z informacjami dotyczącymi Pana/Pani tożsamości, sytuacji finansowej, stanu zdrowia i nawyków/preferencji związanych ze sferą zawodową lub osobistą, w tym z ewentualnymi negatywnymi opiniami dokonanymi w ramach oceny pracy.
Ze względu na poufny charakter niektórych danych, nie można całkowicie wykluczyć ryzyka naruszenia dóbr osobistych, w szczególności dobrego imienia, lub innych konsekwencji o dyskryminującym charakterze.
Przepraszamy za wszelkie niedogodności, jakie mogą wyniknąć z tego zdarzenia. W razie potrzeby służymy Państwu pomocą.
Jak można uzyskać więcej informacji?
W przypadku jakichkolwiek pytań lub wątpliwości dotyczących naruszenia danych i chęci otrzymywania aktualnych informacji na temat dalszego rozwoju sytuacji w tej sprawie, może Pani/Pan skontaktować się z działem personalnym Spółki telefonicznie, dzwoniąc pod numer +48 (71) 38 10 400 lub za pośrednictwem poczty elektronicznej, pisząc na adres mailowy: privacyegp@elica.com.
Zapytania można także kierować tradycyjną pocztą na adres Spółki: Elica Group Polska Sp. z o.o., ul. Inżynierska 3, 55-221 Jelcz-Laskowice. Można również skontaktować się z inspektorem ochrony danych Spółki, panem Andreą Reghelinem, za pośrednictwem poczty elektronicznej: dpo_egp@elica.com.
Jak możesz się chronić?
Na koniec przypominamy, że może Pani/Pan dochodzić swoich praw, korzystając z procedur przewidzianych w kodeksie cywilnym i kodeksie postępowania cywilnego. Zgodnie z art. 23 kodeksu cywilnego dobra osobiste pozostają pod ochroną prawa cywilnego. Jak stanowi art. 24 kodeksu cywilnego, każdy, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, żeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności żeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych przewidzianych w kodeksie cywilnym.
Jelcz Laskowice, 02.08.2024