Obowiązek informacyjny rodo

KOMPAS FORSAFE 2023/21

Kraj:

Norwegia

Data wydania decyzji:

08.03.2023 r.

Podmiot kontrolowany:

Argon Medical Devices

Wysokość kary (EUR):

220.000

Podstawa prawna naruszenia

Art. 33 ust. 1 RODO.

Niewystarczające wypełnienie obowiązków powiadamiania o naruszeniu danych.

 

Przyczyna naruszenia

Naruszenie dotyczyło incydentu cyberbezpieczeństwa, który miał miejsce w firmie Argon Medical Devices, Inc. w okresie od 21 maja do 14 czerwca 2021 roku. Incydent ten polegał na nieautoryzowanym dostępie do konta pocztowego wiceprezesa ds. zasobów ludzkich w USA, co doprowadziło do ujawnienia danych osobowych wszystkich europejskich pracowników firmy, w tym jednego pracownika z Norwegii. Firma Argon zgłosiła naruszenie do norweskiego organu nadzorczego (Datatilsynet) 67 dni po tym, jak dowiedziała się o naruszeniu, co przekroczyło termin 72 godzin na zgłoszenie naruszenia.

 

Opis wydarzeń

  1. Incydent: Między 21 maja a 14 czerwca 2021 roku doszło do nieautoryzowanego dostępu do konta pocztowego wiceprezesa ds. zasobów ludzkich w USA. Haker uzyskał dostęp do arkusza kalkulacyjnego zawierającego dane osobowe pracowników europejskich, w tym informacje o wynagrodzeniach i świadczeniach.
  2. Odkrycie: 14 czerwca 2021 roku zespół IT firmy Argon został poinformowany o brakujących e-mailach w skrzynce pocztowej wiceprezesa. Po dalszym dochodzeniu ustalono, że doszło do naruszenia bezpieczeństwa.
  3. Działania naprawcze: Firma Argon podjęła działania naprawcze, w tym zgłoszenie incydentu do lokalnej jednostki FBI ds. cyberprzestępczości w USA 15 czerwca 2021 roku.
  4. Śledztwo: Wewnętrzne śledztwo firmy Argon, zakończone 19 lipca 2021 roku, ujawniło, że dane osobowe pracowników europejskich zostały naruszone.
  5. Zgłoszenie naruszenia: Firma Argon zgłosiła naruszenie do Datatilsynet 24 września 2021 roku, co oznaczało opóźnienie o 67 dni od momentu, gdy firma dowiedziała się o naruszeniu.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Poprawa procedur: Zaleca się wprowadzenie bardziej rygorystycznych procedur i polityk dotyczących zarządzania incydentami bezpieczeństwa, aby zapewnić szybsze wykrywanie i zgłaszanie naruszeń danych osobowych.
  2. Szkolenia: Wskazane jest przeprowadzenie regularnych szkoleń dla pracowników na temat bezpieczeństwa informacji i procedur zgłaszania incydentów.
  3. Wzmocnienie zabezpieczeń: Należy zainwestować w zaawansowane technologie zabezpieczeń, aby zapobiegać przyszłym naruszeniom i minimalizować ryzyko nieautoryzowanego dostępu do danych.
  4. Współpraca z ekspertami: Zaleca się współpracę z zewnętrznymi ekspertami ds. cyberbezpieczeństwa w celu przeprowadzenia audytów i oceny skuteczności wdrożonych środków ochrony danych.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO