Zawiadomienie o naruszeniu ochrony danych osobowych

29.03.2022

Zawiadomienie o naruszeniu ochrony danych osobowych

Grupa Eiffage w Polsce, w skład której wchodzą spółki wymienione w punkcie 5.3 poniżej niniejszego zawiadomienia (dalej „Eiffage Polska” lub „spółki Eiffage Polska”) posiadające – pojedynczo lub wraz z innymi w/w spółkami – status administratora Państwa danych osobowych, informuje o naruszeniu ochrony danych osobowych, do którego doszło w dniu 4 marca 2021r.

  1. Co się wydarzyło?
    1. Informujemy, że w dniu 4 marca 2021 r. w spółkach Eiffage Polska stwierdzono naruszenie ochrony danych osobowych polegające na utracie przez powyższe spółki dostępu do danych osobowych przetwarzanych w szczególności w procesie rekrutacji, zarządzania pracownikami, obsługi prawnej spółek oraz obsługi kontrahentów i klientów.
    2. Ustalenia poczynione na skutek przeprowadzonego postępowania wyjaśniającego wykazały, że przyczyną zdarzenia było złośliwe oprogramowanie (ransomware) o nazwie sodinokibi/REvil ingerujące w dostępność danych co stanowi celowe i zamierzone działanie osób trzecich, które uzyskały dostęp do systemu informatycznego spółek Eiffage Polska z zamiarem jego unieruchomienia i żądania okupu.
  2. Jakie mogą być konsekwencje tego zdarzenia?
    1. W ocenie spółek Eiffage Polska doszło do naruszenia dostępności powyższych danych osobowych. Ponadto nie stwierdzono na dzień dzisiejszy naruszenia poufności i integralności powyższych danych (tzn. nie stwierdzono tego, że Państwa dane osobowe wyciekły i mogły zostać w jakikolwiek sposób opublikowane i/lub wykorzystane przez nieuprawnione osoby trzecie).
    2. Kierując się zatem ostrożnością i troską o bezpieczeństwo Państwa danych wskazujemy na następujące, poza ograniczeniem możliwości realizacji praw, w tym praw z art. 15 – 20 RODO, potencjalne konsekwencje powyższego zdarzenia: uzyskanie przez osoby trzecie kredytów w instytucjach pozabankowych; uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej; korzystanie z praw obywatelskich, np. wykorzystanie danych do oddania głosu w  głosowaniu nad środkami budżetu obywatelskiego; wyłudzenie ubezpieczenia lub środków z ubezpieczenia; otrzymywanie niezamówionej informacji handlowej na adres poczty elektronicznej, poczty tradycyjnej lub numer telefonu.
  3. Jakie działania zostały podjęte przez Spółki Eiffage Polska po uzyskaniu informacji o naruszeniu?
    1. Niezwłocznie po powzięciu informacji o wystąpieniu zdarzenia, każda spółka Eiffage Polska podjęła działania celem zakończenia naruszenia ochrony danych osobowych oraz zminimalizowania jego negatywnych skutków.
    2. Niezwłocznie po stwierdzeniu naruszenia ochrony danych osobowych każda spółka Eiffage Polska podjęła działania mające na celu zaradzenie naruszeniu ochrony danych osobowych, polegające na:
      1. odłączeniu wszystkich serwerów od sieci publicznej i sieci informatycznej Eiffage;
      2. przesłaniu do pracowników spółek Eiffage Polska, komunikatu z zaleceniem niekorzystania ze sprzętu firmowego, zgłaszania wszystkich podejrzanych zdarzeń do działu IT oraz nieotwierania załączników z niezaufanych źródeł;
      3. zapewnieniu zastępczego sprzętu informatycznego w celu przywrócenia bieżącej działalności operacyjnej, a także
      4. zaangażowaniu zewnętrznego podmiotu specjalizującego się w bezpieczeństwie IT w celu zarządzenia incydentem, analizy incydentu, ustalenia jego zakresu i usunięcia jego negatywnych skutków.
    3. Ponadto, spółki Eiffage Polska wykonały następujące czynności celem zaradzenia naruszeniu ochrony danych osobowych:
      1. regularne, za pośrednictwem zasobów Grupy Eiffage we Francji, monitorowanie sieci internetowej w celu sprawdzenia, w oparciu o „słowa klucze” czy doszło do naruszenia poufności danych, a także
      2. przeprowadzenie analizy wolumetrycznej ruchu sieciowego oraz monitorowanie sieci darkweb.
    4. Współpracujemy również z organem nadzorczym – Prezesem Urzędu Ochrony Danych Osobowych (dalej „PUODO”). Dnia 8 marca 2021 r. dokonaliśmy zgłoszenia naruszenia ochrony danych osobowych PUODO oraz podjęliśmy działania, o których podjęcie zwrócił się organ.
  4. Gdzie można uzyskać więcej informacji na temat naruszenia ochrony danych osobowych?
    1. Więcej informacji na temat naruszenia ochrony danych osobowych oraz przetwarzania danych osobowych przez spółki Eiffage Polska można uzyskać korespondencyjne pisząc na adres właściwej dla Państwa spółki Eiffage Polska wymienionej w punkcie 5.3 poniżej czyli: ul. Domaniewska 28, 02-672 Warszawa (z dopiskiem „EIFFAGE-RODO”) lub drogą elektroniczną pisząc na adres: privacy.poland@eiffage.com.
  5. Co można zrobić, aby uniknąć negatywnych skutków zaistniałego naruszenia?
    1. W celu zabezpieczenia się przed potencjalnymi negatywnymi skutkami zaistniałego naruszenia i nieuprawnionego wykorzystania Państwa danych, rekomendujemy podjęcie następujących działań:
      1. założenie konta w systemie informacji kredytowej i gospodarczej w celu monitorowania swojej aktywności kredytowej, co pozwoli na wykrycie ewentualnej próby lub uzyskania kredytu przez osobę nieuprawnioną;
      2. ostrożność przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu lub telefonu, gdyż osoby, które w sposób nieuprawniony mogły wejść w posiadanie danych osobowych, mogą je wykorzystać lub przekazać innym podmiotom, a następnie uzyskując dodatkowe informacje, uzyskać dalsze dostępy, np. do kont bankowych;
      3. zmianę haseł dostępowych do konta bankowego (w szczególności do bankowości internetowej), poczty elektronicznej oraz innych kanałów dostępu w przypadku, gdy hasła mogły składać się z danych, które zostały ujawnione w  wyniku naruszenia;
      4. sprawdzenie swoich kont pod kątem podejrzanej aktywności;
      5. zachowanie ostrożności w przypadku niezamówionej korespondencji, która prosi o podanie danych osobowych lub odsyła do strony internetowej z prośbą o podanie danych osobowych;
      6. unikanie otwierania linków lub pobierania załączników z podejrzanych wiadomości e-mail.
    2. Podkreślamy, że dołożyliśmy najwyższych starań, aby zminimalizować ryzyko wystąpienia negatywnych skutków zaistniałego naruszenia. Podjęliśmy także działania techniczne, prawne i organizacyjne mające na celu wyeliminowanie podobnych zdarzeń w przyszłości.
    3. Naruszenie, którego dotyczy niniejsze zawiadomienie, dotyczyło danych osobowych przetwarzanych przez następujące spółki: Eiffage DOD Poland sp. z o.o. z siedzibą w Warszawie, Eiffage Projekt 1 sp. z o.o. z siedzibą w Warszawie, Eiffage Inwestycja Poznań sp. z o.o. z siedzibą w Warszawie, Eiffage Galeria S.A. z siedzibą w Warszawie, Quadrat Postępu sp. z o.o. z siedzibą w Warszawie, Eiffage Immobilier Polska sp. z o.o. z siedzibą w Warszawie, Eiffage Polska Budownictwo S.A z siedzibą w Warszawie, Eiffage Polska Koleje sp. z o.o. z siedzibą w Warszawie, Eiffage Polska Serwis sp. z o.o. z siedzibą w Warszawie, Eiffage Construction SAS z siedzibą w Vélizy-Villacoublay (Francja).

Pełna treść komunikatu >>