Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 23 czerwca 2022 r., sygn. DKN.5131.14.2022
Na podstawie art. 104 § ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2021 r. poz. 735 z późn. zm.), art. 7 ust. 1 i art. 60 ustawy o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 57 ust. 1 it. a) i h) oraz art. 58 ust. 2 it. b) w związku z art. 34 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenia o ochronie danych) (Dz. Urz. UE 119 z 4.05.2016, str. 1, Dz. Urz. UE 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE 74 z 4.03.2021, str. 35), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie nieprawidłowego zawiadomienia przez A. S.A. z siedzibą w W., o naruszeniu ochrony danych osobowych osób, których dotyczyło to naruszenie, Prezes Urzędu Ochrony Danych Osobowych
stwierdzając naruszenie przez A. S.A. z siedzibą w W., art. 34 ust. 2 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE 119 z 4.05.2016, str. 1, Dz. Urz. UE 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE 74 z 4.03.2021, str. 35), zwanego dalej rozporządzeniem 2016/679, udziela A. S.A. z siedzibą w W., upomnienia.
Uzasadnienie
W dniu […] maja 2021 r. A. S.A. z siedzibą w W., zwana dalej Spółką ub Administratorem, dokonała Prezesowi Urzędu Ochrony Danych Osobowych, zwanemu dalej Prezesem UODO, zgłoszenia naruszenia ochrony danych osobowych, które zostało zarejestrowane pod sygnaturą […]. Naruszenie ochrony danych osobowych polegało na uzyskaniu nieuprawnionego dostępu do służbowego konta poczty elektronicznej pracownika Spółki. Analiza zdarzeń pozwoliła wskazać, że doszło do nieautoryzowanej penetracji skrzynki użytkownika, przy użyciu protokołów […] i […] – przy wykorzystaniu jego oginów i haseł, w wyniku czego doszło do naruszenia poufności przetwarzanych danych osobowych. Administrator ustalił w szczególności, że dane 12 osób, których dotyczyło zgłoszone naruszenie, obejmowały imię, nazwisko, adres zamieszkania / adres korespondencyjny, nr PESEL oraz numer dokumentu tożsamości (dowód osobisty / paszport), dane 7 osób, których dotyczyło zgłoszone naruszenie, obejmowały imię i nazwisko, numer dokumentu tożsamości (dowód osobisty/paszport/karta pobytu) i numer PESEL, dane 2 osób, których dotyczyło zgłoszone naruszenie, obejmowały imię, nazwisko, numer PESEL, adres zamieszkania / adres korespondencyjny, dane 1 osoby obejmowały imię nazwisko, adres zamieszkania / korespondencyjny, numer dokumentu tożsamości (dowód osobisty / paszport / karta pobytu), dane 1 osoby obejmowały imię, nazwisko, datę urodzenia, numer dokumentu tożsamości (dowód osobisty/paszport/karta pobytu) oraz adres e-mail. W przypadku 6 osób, których dotyczyło naruszenie, dane obejmowały imię, nazwisko oraz numer dokumentu tożsamości (dowód osobisty/paszport/karta pobytu).
Już dziś zamów dostęp
do IFK Platforma Księgowych i Kadrowych
- Codzienne aktualności prawne
- Porady i artykuły z najpopularniejszych czasopism INFOR wraz z bieżącymi wydaniami
- Bogatą bibliotekę materiałów wideo
- Merytoryczne dodatki, ściągi, plakaty
