Urząd Ochrony Danych Osobowych informuje, że utratę poufności zgłosiła firma X K. P. prowadząca działalność gospodarczą związaną z oceną ryzyka i szacowaniem strat oraz m.in. usługami brokerów ubezpieczeniowych. To ona zgromadziła dane 800 byłych i obecnych klientów i była ich administratorem. W grudniu 2020 r. doszło do utraty poufności tych danych w zakresie: imion, nazwisk, dat urodzenia, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, numerów telefonów oraz dane dotyczące zdrowia. Były one zawarte w polisach wystawionych przez różne towarzystwa ubezpieczeniowe w okresie od maja 2015 r. do listopada 2020 r. Do wycieku doszło wskutek zawirusowania komputerów w X K. P., które było efektem ataku hakera.
Czytaj więcej
Konta mailowe adwokatów oraz okręgowych rad adwokackich są bezpieczne - zapewnia Naczelna Rada Ad...
Administrator powierzył przetwarzanie danych klientów firmie Y M.H. zajmującej się kompleksową obsługą informatyczną. Choć na komputerach zainstalowane były programy antywirusowe, a informatycy Y M.H. podjęli działania od razu po stwierdzeniu ataku, nie udało się zapobiec wyciekowi danych. Tego samego dnia ktoś upublicznił je w internecie.
"Administrator korzystający z usług podmiotów przetwarzających powinien upewnić się, czy podmioty te zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą." - przypomina UODO w komunikacie.
Zaznacza, że firma X K. P. źle zweryfikowała kompetencje Y M.H. jako podmiotu przetwarzającego dane. Weryfikacja polegała jedynie na przeprowadzeniu rozmowy, a świadczone przez Y M.H. usługi nie wzbudziły zastrzeżeń administratora.
