Jak wynika z komunikatu Urzędu Ochrony Danych Osobowych, informację o zdarzeniu przesłał do organu nadzorczego "podmiot trzeci". Wskazywała na utratę przez administratora tj. ukaraną spółkę, dokumentacji koncesyjnej prowadzonej w formie elektronicznej, która powinna zawierać dane osobowe pracowników ochrony, a także osób fizycznych będących stronami umów cywilnoprawnych na usługę ochrony.
Na wezwania z UODO do udzielenie wyjaśnień administrator przyznał, że w wyniku ataku ransomware przeprowadzonego w celu osiągniecia korzyści majątkowej doszło do zablokowania dostępu do danych osobowych pracowników i współpracowników spółki. Administrator nie umiał rozszyfrować danych zaszyfrowanych w wyniku ataku, więc przyjął, że najkorzystniej będzie wstrzymać się od ingerowania w system. Spółka korzystała więc ze sporządzonej w formie papierowej kopii utraconych danych.
Czytaj więcej
Przygotujmy własną, szczegółową dokumentację naruszenia i opiszmy w niej to, co się stało.
W wyniku zdarzenia spółka utraciła dostęp do danych pracowników i współpracowników: nazwisk, imion, dat urodzenia, numerów rachunków bankowych, adresów zamieszkania lub pobytu, numerów ewidencyjnych PESEL, adresów e-mail, danych dotyczących zarobków, numerów telefonów oraz numerów dowodów osobistych.
Mimo to spółka nie zgłosiła naruszenia ochrony danych osobowych do organu nadzorczego, gdyż w jej ocenie "zdarzenie nie stanowiło incydentu, mającego znamiona naruszenia ochrony danych osobowych w rozumieniu RODO", ponieważ nie doszło do wycieku, czyli transferu danych poza firmowy serwer.