Obowiązek informacyjny rodo

KOMPAS FORSAFE 2021/11

Kraj:

Bułgaria

Data wydania decyzji:

28.08.2019 r.

Podmiot kontrolowany:

National Revenue Agency

Wysokość kary (EUR):

2.600.000

Podstawa prawna naruszenia

Art. 32 RODO.

Niewystarczające środki techniczne i organizacyjne zapewniające bezpieczeństwo informacji.

 

Przyczyna naruszenia

Naruszenie danych w National Revenue Agency (NRA) zostało ujawnione 15 lipca 2019 roku, kiedy osoba odpowiedzialna za atak wysłała e-mail do głównych bułgarskich mediów, opisując zakres ataku.

 

Opis wydarzeń

  1. 15 lipca 2019: NRA dowiedziała się o naruszeniu ochrony danych osobowych łącznie 6 074 140 osób, w tym 4 104 786 żyjących osób, zarówno obywateli bułgarskich, jak i obcokrajowców oraz 1 959 598 osób zmarłych.
  2. 16 lipca 2019: NRA zgłosiła naruszenie do bułgarskiego organu nadzorczego a następnego dnia do Prokuratury Miasta Sofia.
  3. 17 lipca 2019: NRA zleciła audyt swoich systemów informatycznych przez niezależną organizację zewnętrzną i stworzyła aplikację umożliwiającą obywatelom sprawdzenie, czy ich dane zostały naruszone.
  4. 22 sierpnia 2019: Bułgarski organ nadzorczy wydał nakaz podjęcia odpowiednich środków technicznych i organizacyjnych w celu ochrony danych osobowych.
  5. 28 sierpnia 2019: Bułgarski organ nadzorczy nałożył na NRA karę administracyjną za naruszenie przepisów o ochronie danych osobowych.
  6. 16 września 2019: Złożono skargę do Sądu Administracyjnego Miasta Sofia przeciwko NRA za szkody niematerialne spowodowane naruszeniem obowiązków wynikających z przepisów o ochronie danych osobowych.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wzmocnienie zabezpieczeń technicznych i organizacyjnych: Wdrożenie zaawansowanych środków ochrony danych, uwzględniając charakter i objętość przechowywanych informacji.
  2. Regularne audyty bezpieczeństwa: Przeprowadzanie regularnych audytów systemów informatycznych przez podmioty zewnętrzne.
  3. Szkolenia dla pracowników: Zwiększenie świadomości i wiedzy pracowników na temat ochrony danych osobowych i procedur bezpieczeństwa.
  4. Szybka reakcja na incydenty: Ustanowienie procedur szybkiego reagowania na incydenty naruszenia danych, aby minimalizować potencjalne szkody.
  5. Komunikacja: Zapewnienie przejrzystej i szybkiej komunikacji w przypadku naruszenia danych, w celu podjęcia odpowiednich krów ochronnych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO