STREFA KLIENTA STREFA PARTNERA POLEĆ KLIENTA

Oferta:

Cenniki:

Publiczny komunikat o naruszeniu ochrony danych osobowych

16 stycznia 2025

 

Publiczny komunikat o naruszeniu ochrony danych osobowych

Sporządzony w trybie art. 34 RODO

Szanowni Państwo,

Informujemy, że w dniu 10 stycznia 2025 roku Novatek Green Energy sp. z o.o. (dalej: „NGE” lub „Administrator”) padła ofiarą cyberataku, w wyniku którego dane znajdujące się na serwerach NGE, w tym dane osobowe, zostały zaszyfrowane. W rezultacie tego zdarzenia NGE utraciła dostęp do ww. danych oraz kontrolę nad nimi. Istnieje również ryzyko, że dane te mogły zostać przejęte przez osoby nieuprawnione – atakujący mógł wykraść pliki zawierające dane osobowe. Istnieje zatem ryzyko,  że nastąpiło również naruszenie poufności danych.

Obecnie trwa analiza okoliczności zdarzenia w celu ustalenia przyczyn incydentu oraz dokładnego zakresu naruszenia ochrony danych osobowych, jak również możliwości odzyskania zaszyfrowanych danych.

I. Charakter naruszenia ochrony danych osobowych

W wyniku incydentu doszło do:

  1. Utraty dostępności danych osobowych: Wszystkie dane przechowywane na serwerach NGE zostały zaszyfrowane, co oznacza, że Administrator od dnia 10 stycznia 2025 r. utracił dostęp do tych danych. Na dzień sporządzenia niniejszego komunikatu nie jest wiadome, czy dostęp do danych może zostać odzyskany.
  2. Ryzyka naruszenia poufności danych: Ze względu na charakter incydentu, nie można wykluczyć, że dane osobowe zostały skopiowane i są obecnie w posiadaniu nieuprawnionych osób trzecich.
  3. Naruszenia integralności danych: Istnieje możliwość, że dane zostały zmodyfikowane lub usunięte przez atakującego.
  4. Naruszenie dostępności danych: Nie jest możliwe wykorzystanie danych na żądanie, w założonym czasie, przez osobę do tego uprawnioną.

II. Kategorie danych osobowych

Incydent dotyczy danych osobowych przetwarzanych w ramach naszej działalności, w tym:

  1. Byłych i obecnych pracowników oraz osób współpracujących z NGE na podstawie umów cywilnoprawnych:
    • Dane identyfikacyjne (w szczególności: imię, nazwisko, numer PESEL, adres zamieszkania)
    • Dane kontaktowe (w szczególności: telefon, e-mail).
    • Dane dotyczące zatrudnienia (w szczególności: stanowisko, wynagrodzenie, umowy, dane bankowe, dane członków rodziny).
  2. Byłych i obecnych kontrahentów:
    • Dane identyfikacyjne i kontaktowe (w szczególności: imię, nazwisko, adres, telefon, e-mail).
    • Informacje dotyczące współpracy (w szczególności: umowy, faktury, dane bankowe).
  3. Byłych i obecnych klientów:
    • Dane identyfikacyjne (w szczególności: imię, nazwisko, numer PESEL, nr dokumentu tożsamości  adres zamieszkania) i kontaktowe (telefon, e-mail).
    • Szczegóły dotyczące zamówień i płatności.

III. Możliwe konsekwencje dla osób, których dane dotyczą

Zidentyfikowano następujące potencjalne skutki naruszenia ochrony danych:

  • Ryzyko kradzieży tożsamości. .
  • Możliwość wykorzystania danych do podszywania się pod osoby fizyczne.
  • Potencjalne wykorzystanie danych do wysyłania fałszywych wiadomości e-mail i SMS 
  • Naruszenie prywatności i ryzyko ujawnienia poufnych informacji, w szczególności dotyczących danych finansowych i danych wrażliwych.
  • Ograniczenie możliwości korzystania z praw z art. 15 – 22 RODO

IV. Działania podjęte przez Administratora danych osobowych

W reakcji na incydent podjęliśmy następujące kroki:

  1. Uruchomienie wewnętrznych procedur reagowania na incydenty bezpieczeństwa informacji.
  2. Zgłoszenie zdarzenia Policji i CSiRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) .
  3. Powiadomienie Prezesa Urzędu Ochrony Danych Osobowych o naruszeniu ochrony danych osobowych.
  4. Powołanie zespołu specjalistów w celu analizy zdarzenia i zabezpieczenia danych przed dalszymi naruszeniami.
  5. Komunikacja z osobami, których dane mogą być objęte incydentem, w tym publikacja niniejszego komunikatu oraz udostępnienie możliwości uzyskania dodatkowych informacji.

V. Rekomendacje dla osób, których dane mogą być objęte incydentem

W celu ograniczenia potencjalnych skutków naruszenia zalecamy:

  1. Zastrzeżenie numeru PESEL w rejestrze prowadzonym przez Ministerstwo Cyfryzacji (za pośrednictwem aplikacji mObywatel). Zastrzeżenie PESEL pozwala na zabezpieczenie się przed wykorzystaniem danych osobowych do zaciągania zobowiązań finansowych lub innych oszustw. Więcej informacji o procedurze można znaleźć na stronie internetowej Ministerstwa Cyfryzacji.
  2. Zmianę haseł do usług elektronicznych, w szczególności poczty e-mail.
  3. Zachowanie szczególnej ostrożności przy odbieraniu wiadomości e-mail, SMS lub połączeń telefonicznych od nieznanych nadawców.
  4. Rozważenie założenia konta w systemach informacji kredytowej w celu monitorowania prób zaciągania zobowiązań finansowych.
  5. W przypadku podejrzenia kradzieży tożsamości – niezwłoczne zgłoszenie tego faktu Policji.

VI. Kontakt w sprawie incydentu

W przypadku pytań lub wątpliwości związanych z zaistniałym incydentem prosimy o kontakt na podany adres e-mailkontakt@novatek.pl

Przepraszamy za wszelkie niedogodności, które mogą wyniknąć z zaistniałego zdarzenia, i zapewniamy, że podejmujemy wszelkie możliwe działania w celu ochrony Państwa danych. O dalszych krokach i ewentualnych nowych informacjach będziemy informować w kolejnych komunikatach.

Novatek Green Energy sp. z o.o.

 

Powrót »

 

 

KONTAKT DLA MEDIÓW