Szanowni Państwo!
Drodzy Klienci, Kontrahenci, Współpracownicy!
Zawiadamiany Państwa, że firma AB BECHCICKI Sp. z o.o. padła ofiarą cyberataku, który doprowadził do naruszenia ochrony Państwa danych osobowych, którymi administrujemy, poprzez utratę dostępu do nich w związku z zaszyfrowaniem danych zgromadzonych na serwerach naszej firmy. Do zdarzenia tego doszło mimo stosowania najwyższych standardów zabezpieczeń informatycznych i środków technicznych mających zapewnić bezpieczeństwo powierzanych danych.
Poniższy komunikat zawiera wymagane prawem informacje o incydencie. Prosimy o zapoznaje się z nim i kontakt w razie potrzeby wyjaśnień.
Zapewniamy, że wdrożyliśmy procedury, które mają na celu przywrócenie niezakłóconej działalności naszej firmy w pełnym zakresie i podejmujemy wszelkie możliwe działania mające na celu zminimalizowanie skutków incydentu. Jednocześnie informujemy, że ciągłość naszej działalności operacyjnej jest zachowana.
PUBLICZNY KOMUNIKAT O NARUSZENIU OCHRONY DANYCH OSOBOWYCH
z dnia 13.09.2024 r.
sporządzony w trybie art. 34 RODO
AB BECHCICKI Sp. z o.o. z siedzibą we Wrocławiu, ul. Opolska 182, 52-014 Wrocław, Polska, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy dla Wrocławia-Fabrycznej we Wrocławiu, VI Wydział Gospodarczy Krajowego Rejestru Sądowego, pod numerem KRS: 0000137359, NIP: 8862035526 na podstawie art. 34 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO),
informuje o naruszeniu ochrony danych osobowych:
I. Charakter naruszenia ochrony danych osobowych.
Do naruszenia ochrony danych osobowych doszło w wyniku ataku złośliwego oprogramowania szyfrującego pliki znajdujące się na serwerze AB BECHCICKI Sp. z o.o.
II. Kategorie osób, których incydent dotyczy.
Incydent dotyczy danych osobowych wszystkich kategorii osób, których dane przetwarza AB BECHCICKI Sp. z o.o. jako administrator tj.:
- pracowników obecnych i byłych oraz osób zatrudnionych na podstawie umów cywilnoprawnych (dane przetwarzane przez administratora jako pracodawcę, w tym PESEL, imię nazwisko, adres zamieszkania, numer rachunku bankowego, dane o wynagrodzeniach),
- obecnych i byłych kontrahentów (dane identyfikacje kontrahentów będących osobami fizycznymi – imię, nazwisko, adres siedziby, telefon, mail, dane osobowe pracowników i współpracowników kontrahentów, wraz z adresami mailowymi oraz numerami telefonów, dane o należnościach, numer rachunku bankowego)
- klientów nabywających nasze towary (dane identyfikacyjne klientów będących osobami fizycznymi – imię, nazwisko, adres siedziby, telefon, mail, dane osobowe pracowników i współpracowników kontrahentów, wraz z adresami mailowymi oraz numerami telefonów, dane o należnościach, numer rachunku bankowego)
Na chwilę obecną nie ma możliwości ustalenia dokładnej liczby osób, których dane dotyczą. Na chwilę obecną nie ma również możliwości ustalenia dokładnej liczby wpisów danych osobowych, których dotyczy naruszenie.
III. Możliwe konsekwencje naruszenia ochrony danych osobowych.
Bezpośrednią konsekwencją incydentu dla AB BECHCICKI Sp. z o.o. jako administratora danych jest utrata dostępu do danych osobowych. Przekłada się to na brak możliwości realizowania prowadzenia działalności w pełnym zakresie z uwagi na utratę dostępu do baz danych, dokumentów elektronicznych, poczty elektronicznej zlokalizowanych na serwerze będącym przedmiotem cyberataku.
Dla osób, których dane dotyczą możliwymi konsekwencjami incydentu są:
- Utrata kontroli nad własnymi danymi osobowymi (nie wiadomo, kto w tej chwili ma dostęp do Państwa danych).
- Brak możliwości realizowania swoich praw w zakresie danych osobowych (osoby, których dane dotyczą np. nie mogą skutecznie wnioskować o zaprzestanie przetwarzania ich danych osobowych).
- Mimo, że dotychczasowe czynności weryfikacyjne skali incydentu nie potwierdziły, by Państwa dane zostały wykorzystane w sposób nieuprawniony, jesteśmy zobowiązani do poinformowania o ryzyku, że dane osobowe mogą zostać użyte do podszywania się w celu wyrządzenia szkody majątkowej lub osobistej (np. żądanie zapłaty nienależnych kwot, szantażowanie utratą dobrego imienia itp. ).
IV. Środki zastosowane w związku z incydentem.
- Natychmiast po ujawnieniu incydentu zostały uruchomione procedury wewnętrzne dotyczące incydentów naruszeń ochrony danych osobowych.
- Powiadomiono Centralne Biuro Zwalczania Cyberprzestępczości Odział we Wrocławiu i złożono zawiadomienie o podejrzeniu popełnienia przestępstwa.
- Powiadomiono CERT Polska o zaistniałym incydencie.
- Zawiadomiono Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu danych osobowych.
- Powiadomiono osoby, których dane dotyczą poprzez wydanie publicznego komunikatu.
- Powiadomiono obecnych pracowników.
V. Środki zastosowane przez administratora w celu zminimalizowania negatywnych skutków.
- Wydane zostało polecenie służbowe wyłączenia serwerów służbowych i nieużywania ich do czasu sprawdzenia i odwołania zakazu.
- Trwają czynności audytu i zabezpieczenia dalszych naruszeń.
VI. Zalecenia dla osób, których dane dotyczą.
W najbliższym czasie warto wzmocnić czujność, a wszelkie podejrzane działania zgłaszać na Policję, np.:
- jeżeli otrzymają Państwo od kogoś maila lub inną wiadomość zawierającą Państwa dane osobowe, gdy te dane nie były wcześniej udostępnione tej osobie,
- jeżeli otrzymają Państwo elektronicznie lub papierowo żądanie zapłacenia nienależnej kwoty pod rygorem opublikowania Państwa danych osobowych,
- jeżeli po zmianie danych do logowania będą Państwo mieli problem z korzystaniem z bankowości elektronicznej, z tożsamości elektronicznej (mObywatel), z publicznych usług elektronicznych (np. Internetowe Konto Pacjenta, ZUS PUE itp.) itp.
VII. Kontakt w celu uzyskania dalszych informacji.
Joanna Krupska, numer telefonu: 694 412 607
Przepraszamy za ewentualne niedogodności, których mogli Państwo doświadczyć w związku z zaistniałą sytuacją. Jeżeli pozyskamy dodatkowe informacje w sprawie incydentu opublikujemy w kolejnym publicznym komunikacie.