Grupa Eiffage w Polsce, w skład której wchodzą spółki wymienione w punkcie 5.3 poniżej niniejszego zawiadomienia (dalej „Eiffage Polska” lub „spółki Eiffage Polska”) posiadające – pojedynczo lub wraz z innymi w/w spółkami – status administratora Państwa danych osobowych, informuje o naruszeniu ochrony danych osobowych, do którego doszło w dniu 4 marca 2021r.
- Co się wydarzyło?
- Informujemy, że w dniu 4 marca 2021 r. w spółkach Eiffage Polska stwierdzono naruszenie ochrony danych osobowych polegające na utracie przez powyższe spółki dostępu do danych osobowych przetwarzanych w szczególności w procesie rekrutacji, zarządzania pracownikami, obsługi prawnej spółek oraz obsługi kontrahentów i klientów.
- Ustalenia poczynione na skutek przeprowadzonego postępowania wyjaśniającego wykazały, że przyczyną zdarzenia było złośliwe oprogramowanie (ransomware) o nazwie sodinokibi/REvil ingerujące w dostępność danych co stanowi celowe i zamierzone działanie osób trzecich, które uzyskały dostęp do systemu informatycznego spółek Eiffage Polska z zamiarem jego unieruchomienia i żądania okupu.
- Jakie mogą być konsekwencje tego zdarzenia?
- W ocenie spółek Eiffage Polska doszło do naruszenia dostępności powyższych danych osobowych. Ponadto nie stwierdzono na dzień dzisiejszy naruszenia poufności i integralności powyższych danych (tzn. nie stwierdzono tego, że Państwa dane osobowe wyciekły i mogły zostać w jakikolwiek sposób opublikowane i/lub wykorzystane przez nieuprawnione osoby trzecie).
- Kierując się zatem ostrożnością i troską o bezpieczeństwo Państwa danych wskazujemy na następujące, poza ograniczeniem możliwości realizacji praw, w tym praw z art. 15 – 20 RODO, potencjalne konsekwencje powyższego zdarzenia: uzyskanie przez osoby trzecie kredytów w instytucjach pozabankowych; uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej; korzystanie z praw obywatelskich, np. wykorzystanie danych do oddania głosu w głosowaniu nad środkami budżetu obywatelskiego; wyłudzenie ubezpieczenia lub środków z ubezpieczenia; otrzymywanie niezamówionej informacji handlowej na adres poczty elektronicznej, poczty tradycyjnej lub numer telefonu.
- Jakie działania zostały podjęte przez Spółki Eiffage Polska po uzyskaniu informacji o naruszeniu?
- Niezwłocznie po powzięciu informacji o wystąpieniu zdarzenia, każda spółka Eiffage Polska podjęła działania celem zakończenia naruszenia ochrony danych osobowych oraz zminimalizowania jego negatywnych skutków.
- Niezwłocznie po stwierdzeniu naruszenia ochrony danych osobowych każda spółka Eiffage Polska podjęła działania mające na celu zaradzenie naruszeniu ochrony danych osobowych, polegające na:
- odłączeniu wszystkich serwerów od sieci publicznej i sieci informatycznej Eiffage;
- przesłaniu do pracowników spółek Eiffage Polska, komunikatu z zaleceniem niekorzystania ze sprzętu firmowego, zgłaszania wszystkich podejrzanych zdarzeń do działu IT oraz nieotwierania załączników z niezaufanych źródeł;
- zapewnieniu zastępczego sprzętu informatycznego w celu przywrócenia bieżącej działalności operacyjnej, a także
- zaangażowaniu zewnętrznego podmiotu specjalizującego się w bezpieczeństwie IT w celu zarządzenia incydentem, analizy incydentu, ustalenia jego zakresu i usunięcia jego negatywnych skutków.
- Ponadto, spółki Eiffage Polska wykonały następujące czynności celem zaradzenia naruszeniu ochrony danych osobowych:
- regularne, za pośrednictwem zasobów Grupy Eiffage we Francji, monitorowanie sieci internetowej w celu sprawdzenia, w oparciu o „słowa klucze” czy doszło do naruszenia poufności danych, a także
- przeprowadzenie analizy wolumetrycznej ruchu sieciowego oraz monitorowanie sieci darkweb.
- Współpracujemy również z organem nadzorczym – Prezesem Urzędu Ochrony Danych Osobowych (dalej „PUODO”). Dnia 8 marca 2021 r. dokonaliśmy zgłoszenia naruszenia ochrony danych osobowych PUODO oraz podjęliśmy działania, o których podjęcie zwrócił się organ.
- Gdzie można uzyskać więcej informacji na temat naruszenia ochrony danych osobowych?
- Więcej informacji na temat naruszenia ochrony danych osobowych oraz przetwarzania danych osobowych przez spółki Eiffage Polska można uzyskać korespondencyjne pisząc na adres właściwej dla Państwa spółki Eiffage Polska wymienionej w punkcie 5.3 poniżej czyli: ul. Domaniewska 28, 02-672 Warszawa (z dopiskiem „EIFFAGE-RODO”) lub drogą elektroniczną pisząc na adres: privacy.poland@eiffage.com.
- Co można zrobić, aby uniknąć negatywnych skutków zaistniałego naruszenia?
- W celu zabezpieczenia się przed potencjalnymi negatywnymi skutkami zaistniałego naruszenia i nieuprawnionego wykorzystania Państwa danych, rekomendujemy podjęcie następujących działań:
- założenie konta w systemie informacji kredytowej i gospodarczej w celu monitorowania swojej aktywności kredytowej, co pozwoli na wykrycie ewentualnej próby lub uzyskania kredytu przez osobę nieuprawnioną;
- ostrożność przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu lub telefonu, gdyż osoby, które w sposób nieuprawniony mogły wejść w posiadanie danych osobowych, mogą je wykorzystać lub przekazać innym podmiotom, a następnie uzyskując dodatkowe informacje, uzyskać dalsze dostępy, np. do kont bankowych;
- zmianę haseł dostępowych do konta bankowego (w szczególności do bankowości internetowej), poczty elektronicznej oraz innych kanałów dostępu w przypadku, gdy hasła mogły składać się z danych, które zostały ujawnione w wyniku naruszenia;
- sprawdzenie swoich kont pod kątem podejrzanej aktywności;
- zachowanie ostrożności w przypadku niezamówionej korespondencji, która prosi o podanie danych osobowych lub odsyła do strony internetowej z prośbą o podanie danych osobowych;
- unikanie otwierania linków lub pobierania załączników z podejrzanych wiadomości e-mail.
- Podkreślamy, że dołożyliśmy najwyższych starań, aby zminimalizować ryzyko wystąpienia negatywnych skutków zaistniałego naruszenia. Podjęliśmy także działania techniczne, prawne i organizacyjne mające na celu wyeliminowanie podobnych zdarzeń w przyszłości.
- Naruszenie, którego dotyczy niniejsze zawiadomienie, dotyczyło danych osobowych przetwarzanych przez następujące spółki: Eiffage DOD Poland sp. z o.o. z siedzibą w Warszawie, Eiffage Projekt 1 sp. z o.o. z siedzibą w Warszawie, Eiffage Inwestycja Poznań sp. z o.o. z siedzibą w Warszawie, Eiffage Galeria S.A. z siedzibą w Warszawie, Quadrat Postępu sp. z o.o. z siedzibą w Warszawie, Eiffage Immobilier Polska sp. z o.o. z siedzibą w Warszawie, Eiffage Polska Budownictwo S.A z siedzibą w Warszawie, Eiffage Polska Koleje sp. z o.o. z siedzibą w Warszawie, Eiffage Polska Serwis sp. z o.o. z siedzibą w Warszawie, Eiffage Construction SAS z siedzibą w Vélizy-Villacoublay (Francja).
- W celu zabezpieczenia się przed potencjalnymi negatywnymi skutkami zaistniałego naruszenia i nieuprawnionego wykorzystania Państwa danych, rekomendujemy podjęcie następujących działań: