Ważny komunikat Przedsiębiorstwa Usługowo-Handlowego „CHEMIROL“ sp. z o.o. dotyczący naruszenia bezpieczeństwa danych osobowych

Analiza ataku przeprowadzona z udziałem zewnętrznych ekspertów wykazała, że w jego wyniku doszło do nieuprawnionego dostępu do danych osobowych obecnych i byłych Klientów, Kontrahentów, Pracowników i Współpracowników Spółki. Doszło również do nieuprawnionego pobrania danych z serwerów. Analiza przeprowadzona przez Spółkę prowadzi do wniosku, iż atak mógł dotyczyć również danych wyżej wymienionych kategorii osób. Z uwagi na fakt, że nie posiadamy aktualnych danych kontaktowych do wszystkich osób, których ten atak może dotyczyć, niniejszym komunikatem publicznym wypełniamy obowiązek informacyjny wynikający z art. 34 RODO.

Jakie dane są zagrożone? Naruszenie poufności może dotyczyć następujących kategorii danych:

- imię i nazwisko,

- adres zamieszkania,

- numer PESEL,

- data urodzenia,

- numer telefonu,

- adres e-mail,

- numer rachunku bankowego,

- dane dotyczące zarobków,

- imiona rodziców,

nazwisko rodowe matki,

- seria i numer dowodu osobistego,

- nazwa użytkownika.

Działając z najwyższą starannością, informujemy o możliwie najszerszym zakresie kategorii danych osobowych, które mogły zostać objęte naruszeniem. Jednocześnie informujemy, że w odniesieniu do konkretnych osób zakres ich danych osobowych, który mógł ulec naruszeniu, może być mniejszy.

Podjęte działania

Niezwłocznie po wykryciu zagrożenia podjęliśmy działania mające na celu zabezpieczenie systemów i zablokowanie ataku. O incydencie powiadomiliśmy prezesa Urzędu Ochrony Danych Osobowych oraz właściwe organy ścigania. Wdrożyliśmy również dodatkowe procedury bezpieczeństwa, aby zapobiec podobnym zdarzeniom w przyszłości.

Możliwe konsekwencje dla osób, których dane dotyczą

Zgodnie z wymogami prawa, informujemy o potencjalnych ryzykach związanych z wyciekiem tego typu danych. Istnieje możliwość, że osoby nieuprawnione będą próbowały wykorzystać te dane do celów przestępczych lub innych nieuprawnionych działań, między innymi takich jak:

- próby uzyskania kredytów lub pożyczek;

- próby wyłudzenia usług (np. telekomunikacyjnych), ubezpieczeń lub zawarcia innych umów;

- możliwość uzyskania dostępu do świadczeń opieki zdrowotnej (np. rejestracja na podstawie PESEL);

- możliwość korzystania z praw obywatelskich w imieniu osoby poszkodowanej (np. głosowanie w budżecie obywatelskim);

- próby wyłudzenia danych osobowych lub środków finansowych poprzez podszywanie się pod zaufane instytucje (phishing: telefon, e-mail, SMS);

- próby uzyskania nieuprawnionych informacji o sytuacji majątkowej lub podejmowanie prób uzyskania dostępu do kont i usług powiązanych z danymi kontaktowymi;

- próby zakładania kont internetowych na cudze dane (np. w serwisach społecznościowych) lub wykorzystywanie ich do dalszych nadużyć;

- próby wykorzystania danych w celu kradzieży tożsamości lub podszywania się (np. podanie cudzych danych jako własnych);

- otrzymywanie niezamówionych informacji handlowych (spam, niechciane połączenia telefoniczne) w wyniku nieuprawnionego użycia danych kontaktowych;

- próby zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych;

- ryzyko uzyskania dostępu do świadczeń w ZUS, KRUS lub NFZ;

- ryzyko wystąpienia ukierunkowanych ataków socjotechnicznych, oszustw metodą “na wnuczka” czy “na policjanta”.

Zalecane działania ochronne

Dla własnego bezpieczeństwa zalecamy podjęcie kroków prewencyjnych:

1. Zastrzeżenie numeru PESEL: jest to najskuteczniejsza metoda ochrony przed wyłudzeniem kredytu. Można to zrobić bezpłatnie i natychmiastowo w rządowej aplikacji mObywatel, na stronie mobywatel.gov.pl lub w dowolnym urzędzie gminy (szczegółowe informacje o sposobie zastrzeżenia numeru PESEL dostępne są na stronie internetowej: https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie)

2. Monitorowanie aktywności kredytowej: warto skorzystać z usług biur informacji gospodarczej (np. Alerty BIK), aby otrzymywać powiadomienia o próbach użycia danych. (np. https://www.bik.pl/klienci-indywidualni)

3. Wzmożona ostrożność: prosimy o szczególną czujność wobec podejrzanych wiadomości e-mail, SMS lub telefonów, w których nadawcy proszą o podanie dodatkowych danych lub wykonanie przelewów.

4. Weryfikacja bezpieczeństwa danych: zachęcamy do korzystania z rządowego serwisu (na stronie https://bezpiecznedane.gov.pl), stworzonego przez Ministerstwo Cyfryzacji i NASK. Narzędzie to pozwala sprawdzić, czy Państwa dane znalazły się w jakimkolwiek ujawnionym w sieci wycieku, co pomaga zachować kontrolę nad cyfrowym bezpieczeństwem.

5. W przypadku stwierdzenia tzw. ‘kradzieży tożsamości’ (tj. wykorzystania danych przez osobę nieuprawnioną np. poprzez „podszycie się”), zalecamy niezwłoczne zgłoszenie tego faktu właściwym organom - Policji lub Prokuraturze w celu zapobieżenia przestępczym działaniom.

6. Informujemy o możliwości skorzystania ze środków ochrony dóbr osobistych, wskazanych w przepisach zarówno Kodeksu cywilnego, jak i Kodeksu postępowania cywilnego, w szczególności środki ochrony z art. 24 kc oraz 730 kpc.

Jeśli mają Państwo jakiekolwiek pytania dotyczące ataku, uprzejmie prosimy o kontakt z dedykowaną Infolinią pod numerem telefonu: 723 683 302.

Spółka wyznaczyła Inspektora Ochrony Danych, w związku z powyższym w razie pytań lub jeśli chcą Państwo przekazać dodatkowe informacje związane z naruszeniem, możliwym jest również kontakt z IOD - p. Patrykiem Jabłońskim:

elektronicznie - na adres e-mail: iod@chemirol.com 

lub pocztą tradycyjną na adres: PUH Chemirol, Inspektor Ochrony Danych, ul. Przemysłowa 3, 88-300 Mogilno.

Wyrażamy głębokie ubolewanie z powodu zaistniałej sytuacji i przepraszamy za wszelkie niedogodności oraz stres, jaki może ona wywołać.

Źródła:

[1] Spółka wpisana do rejestru przedsiębiorców krajowego rejestru sądowego przez Sąd Rejonowy w Bydgoszczy - XIII Wydział KRS pod numerem 39784, posiadająca numer NIP 5571589655, o kapitale zakładowym w wysokości 9.500.000 zł w całości wpłaconym.

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO)

Źródło informacji: Zarząd Przedsiębiorstwa Usługowo-Handlowego „CHEMIROL“ sp. z o.o.