Obowiązek informacyjny rodo

KOMPAS FORSAFE 2023/6

Kraj:

Irlandia

Data wydania decyzji:

22.12.2022 r.

Podmiot kontrolowany:

VIEC Limited

Wysokość kary (EUR):

100.000

Podstawa prawna naruszenia

Art. 5 ust. 1 lit. f), art. 32 ust. 1 RODO.

Nieprzestrzeganie ogólnych zasad przetwarzania danych.

 

Przyczyna naruszenia

Naruszenie danych osobowych w Virtue Integrated Elder Care Ltd. (VIEC) było wynikiem ataku phishingowego, który doprowadził do nieautoryzowanego dostępu do konta e-mail jednego z menedżerów. Atakujący uzyskali dostęp do danych osobowych i szczególnej kategorii, takich jak dane zdrowotne i biometryczne, poprzez przekierowanie e-maili na zewnętrzne konto Gmail.

 

Opis wydarzeń

  1. Zgłoszenie problemu: 15 sierpnia 2020 roku użytkownik zgłosił problem z wysyłaniem e-maili do działu IT VIEC.
  2. Odkrycie naruszenia: 19 sierpnia 2020 roku VIEC zgłosiło naruszenie danych osobowych do irlandzkiego organu nadzorczego (DPC). Stwierdzono, że konto e-mail menedżera domu opieki zdrowotnej zostało zaatakowane, a e-maile były przekierowywane na zewnętrzne konto Gmail.
  3. Analiza naruszenia: Ortus, dostawca usług bezpieczeństwa, ustalił, że przyczyną naruszenia było przechwycenie danych logowania użytkownika na fałszywej stronie internetowej, prawdopodobnie poprzez e-mail phishingowy.
  4. Skala naruszenia: Naruszenie dotyczyło 213 osób, w tym 129 mieszkańców, których dane zdrowotne zostały ujawnione, oraz 12 mieszkańców, których dane biometryczne zostały naruszone.
  5. Działania naprawcze: VIEC podjęło działania naprawcze, takie jak resetowanie haseł, usunięcie reguł przekierowywania e-maili oraz przeprowadzenie skanów antywirusowych i antymalware.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie silniejszych środków technicznych i organizacyjnych: Zaleca się wdrożenie wieloskładnikowego uwierzytelniania, zarządzania dostępem warunkowym oraz polityki zarządzania urządzeniami mobilnymi.
  2. Regularne szkolenia i podnoszenie świadomości: Zaleca się regularne szkolenia pracowników w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym świadomości phishingowej.
  3. Monitorowanie i audyt: Zaleca się regularne testowanie, ocenianie i audytowanie skuteczności wdrożonych środków technicznych i organizacyjnych.
  4. Polityka ochrony danych: Zaleca się aktualizację polityk ochrony danych, aby uwzględniały one najnowsze przepisy i najlepsze praktyki w zakresie bezpieczeństwa informacji.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. 1 Maja 31/33. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO