Incydent w BNP Paribas GSC
Incydent w BNW Paribas GSC – jak informuje portal niebezpiecznik.pl w swojej publikacji z dnia 23 lutego 2024r., miało miejsce zdarzenie, które z uwagi na swój, nazwijmy to uniwersalny charakter, stanowi o powadze zagadnienia.
BNP Paribas Group Service Center ...
Informujemy, za niebezpiecznik.pl, iż BNP Paribas Group Service Center, jest spółkę grupy BNP Paribas. Spółką, która świadczy m.in. usługę wynajmu długoterminowego urządzeń – innymi słowy nie chodzi o Bank BNP Paribas.
Na czym polegało zdarzenie ...
Wyjaśnienia w sprawie ...
Jak czytamy w publikacji niebezpiecznik.pl
cyt.: „(…)Przedmiotem zawiadomienia do PUODO było naruszenie ochrony danych osobowych polegające na potencjalnym dostępie byłego pracownika BNP Paribas GSC S.A. do danych osobowych innych pracowników BNP Paribas GSC S.A. w wyniku opóźnienia w odwołaniu pełnomocnictwa w ZUS dla tego byłego pracownika BNP Paribas GSC S.A., co skutkowało pozostawieniem aktywnego dostępu do danych w PUE-ZUS, co do których pracownik wcześniej miał dostęp na mocy upoważnienia. Spółka nie ma podstaw by twierdzić, że doszło do jakiegokolwiek wycieku danych osobowych pracowników BNP Paribas GSC S.A., ani by były pracownik faktycznie miał dostęp do tych danych (…) Nie zauważono żadnych niepokojących sytuacji mogących świadczyć o tym, że dane pracowników mogły zostać wykorzystane.”
Definicja naruszenia ochrony danych osobowych ...
Jak czytamy w cytowanym fragmencie powyżej, „Spółka nie ma podstaw by twierdzić, że doszło do jakiegokolwiek wycieku danych osobowych pracowników BNP Paribas GSC S.A.” słusznie jednak podejmuje działania zmierzające do zawiadomienia UODO o wystąpieniu zdarzenia.
Naruszenie ochrony danych osobowych ...
„Żeby zatem ustalić, czy zdarzenie jest naruszeniem ochrony danych osobowych, zdefiniowanym w art. 4 pkt 12 RODO, należy zadać trzy pytania. Wskazuję je poniżej.
Pytanie pierwsze
Czy zdarzenie miało charakter
– przypadkowy lub
– niezgodny z prawem?
Jeżeli zdarzenie miało charakter przypadkowy lub niezgodny z prawem, to należy zadać pytanie kolejne. Jeżeli zdarzenie nie miało takiego charakteru, to zdarzenie nie było naruszeniem ochrony danych osobowych, więc zadawanie pytań kolejnych jest bezcelowe.
Pytanie drugie
Czy zdarzenie polegało na:
– zniszczeniu danych osobowych lub
– utraceniu danych osobowych, lub
– zmodyfikowaniu danych osobowych, lub
– nieuprawnionym ujawnieniu danych osobowych, lub
– nieuprawnionym dostępie do danych osobowych?
Czy zdarzenie zagrażało (prowadziło do):
– zniszczeniem danych osobowych lub
– utraceniem danych osobowych, lub
– zmodyfikowaniem danych osobowych, lub
– nieuprawnionym ujawnieniem danych osobowych, lub
– nieuprawnionym dostępem do danych osobowych?
Jeżeli zdarzenie polegało na jednym z wymienionych w tym zestawieniu zjawisk (w tym zjawisk o charakterze zagrożenia), to należy zadać pytanie kolejne. Jeżeli zdarzenie nie polegało na żadnym z tych zjawisk, to zdarzenie nie było naruszeniem ochrony danych osobowych, więc zadawanie pytań pozostałych jest bezcelowe.
Pytanie trzecie
Czy zdarzenie dotyczyło danych osobowych:
– przesyłanych lub
– przechowywanych, lub
– przetwarzanych inaczej niż przez przesyłanie lub przechowywanie?”
Warto powiedzieć sprawdzam ...
Sytuacja, w jakiej znalazł się ww. administrator danych osobowych, niestety może okazać si, iż nie jest sytuacją odosobnioną. Rzeczą oczywistą i naturalną jest to, że osoby uprawnione do poszczególnych dostępów do danych zmieniają się w organizacjach. Naturalne także jest to, że zakresy tych dostępów ulegają zmienia, np. w związku z awansem, czy po prostu zmianą stanowiska przez pracownika. Każdy podkreślam, każdy administrator danych osobowych powinien oprócz świadomości tego stanu rzeczy potrafić odpowiednio reagować na zachodzące zmiany. W praktyce oznacza to, iż powinien na bieżąco nie tylko monitorować adekwatność przyznawanych przez siebie uprawnień dostępowych, ale również na bieżąco reagować i dokonywać ich adekwatnych zmian.
Procedura do wygaszania uprawnień pracowników czeklista sprawdzająca
Materiały źródłowe ...
Potrzebujesz wsparcia oddzwonimy ...
Administratorem Danych Osobowych (ADO) Pana/Pani danych jest: Przedsiębiorstwo Wielobranżowe Aleksandra Kubik ul. Obrońców Westerplatte 13 lok 37, 42–200 Częstochowa, NIP: 9491984104, REGON: 368912262. Można się z nami kontaktować w następujący sposób: listownie: Aleksandra Kubik PW ul. Obrońców Westerplatte 13 lok 37, 42–200 Częstochowa, za pomocą adresu e–mail: kamil@informatyka–serwis.pl, telefonicznie: 606 126 875.
Pani/Pana dane wysłane za pomocą formularza kontaktowego przetwarzać będziemy w celu prowadzenia z korespondencji telefonicznej i odpowiedzi na ewentualne pytania, na podstawie art. 6 ust. 1 lit. f) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [dalej RODO] tj. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Podanie przez Panią/Pana danych osobowych jest dobrowolne aczkolwiek niezbędne do zrealizowania kontaktu telefonicznego i udzielenia odpowiedzi na ewentualne pytania. Brak ich podania skutkuje brakiem możliwości zrealizowania powyższego.
Pani/Pana dane osobowe będą udostępniane uprawnionym na podstawie przepisów prawa podmiotom
i organom publicznym oraz podmiotom, z którymi ADO zawarł umowy powierzenia przetwarzania danych osobowych w szczególności: zewnętrzny podmiot usług IT, zewnętrzny hostingodawca.
Pani/Pana dane przetwarzać będziemy,dopóki istnieć będzie potrzeba kontaktu, jak również w celu archiwizacji korespondencji do czasu istnienia tej potrzeby po naszej stronie, nie dłużej niż 15 lat z upływem na koniec roku kalendarzowego w którym wypada usunięcie danych lub też do czasu realizacji wniesionego przez Ciebie sprzeciwu lub żądania usunięcia danych.
Ma Pani/Pan prawo do: żądania od ADO dostępu do danych osobowych Pani/Pana dotyczących, żądania od ADO sprostowania danych osobowych Pani/Pana dotyczących, żądania od ADO usunięcia danych osobowych Pani/Pana dotyczących, w sytuacji, gdy przetwarzanie danych nie następuje w celu wywiązania się z obowiązku wynikającego z przepisu prawa, żądania od ADO ograniczenia przetwarzania danych osobowych Pani/Pana dotyczących,wniesienia sprzeciwu wobec przetwarzania danych osobowych Pani/Pana dotyczących, żądania od ADO przeniesienia danych osobowych Pani/Pana dotyczących, cofnięcia zgody w dowolnym momencie bez konsekwencji dla przetwarzania, którego dokonano przed jej cofnięciem, jeśli dane zbierane są na podstawie zgody – zakres każdego z tych praw oraz sytuacje, z których można z nich skorzystać, wynikają z przepisów RODO.
Z praw tych może Pan/Pani skorzystać składając wniosek u Administratora. Ma Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy RODO. Pani/Pana dane nie będą podlegały zautomatyzowanemu podejmowaniu decyzji, w tym o profilowaniu.