Incydent w BNP Paribas GSC
Incydent w BNW Paribas GSC – jak informuje portal niebezpiecznik.pl w swojej publikacji z dnia 23 lutego 2024r., miało miejsce zdarzenie, które z uwagi na swój, nazwijmy to uniwersalny charakter, stanowi o powadze zagadnienia.
BNP Paribas Group Service Center ...
Informujemy, za niebezpiecznik.pl, iż BNP Paribas Group Service Center, jest spółkę grupy BNP Paribas. Spółką, która świadczy m.in. usługę wynajmu długoterminowego urządzeń – innymi słowy nie chodzi o Bank BNP Paribas.
Na czym polegało zdarzenie ...
Wyjaśnienia w sprawie ...
Jak czytamy w publikacji niebezpiecznik.pl
cyt.: „(…)Przedmiotem zawiadomienia do PUODO było naruszenie ochrony danych osobowych polegające na potencjalnym dostępie byłego pracownika BNP Paribas GSC S.A. do danych osobowych innych pracowników BNP Paribas GSC S.A. w wyniku opóźnienia w odwołaniu pełnomocnictwa w ZUS dla tego byłego pracownika BNP Paribas GSC S.A., co skutkowało pozostawieniem aktywnego dostępu do danych w PUE-ZUS, co do których pracownik wcześniej miał dostęp na mocy upoważnienia. Spółka nie ma podstaw by twierdzić, że doszło do jakiegokolwiek wycieku danych osobowych pracowników BNP Paribas GSC S.A., ani by były pracownik faktycznie miał dostęp do tych danych (…) Nie zauważono żadnych niepokojących sytuacji mogących świadczyć o tym, że dane pracowników mogły zostać wykorzystane.”
Definicja naruszenia ochrony danych osobowych ...
Jak czytamy w cytowanym fragmencie powyżej, „Spółka nie ma podstaw by twierdzić, że doszło do jakiegokolwiek wycieku danych osobowych pracowników BNP Paribas GSC S.A.” słusznie jednak podejmuje działania zmierzające do zawiadomienia UODO o wystąpieniu zdarzenia.
Naruszenie ochrony danych osobowych ...
„Żeby zatem ustalić, czy zdarzenie jest naruszeniem ochrony danych osobowych, zdefiniowanym w art. 4 pkt 12 RODO, należy zadać trzy pytania. Wskazuję je poniżej.
Pytanie pierwsze
Czy zdarzenie miało charakter
– przypadkowy lub
– niezgodny z prawem?
Jeżeli zdarzenie miało charakter przypadkowy lub niezgodny z prawem, to należy zadać pytanie kolejne. Jeżeli zdarzenie nie miało takiego charakteru, to zdarzenie nie było naruszeniem ochrony danych osobowych, więc zadawanie pytań kolejnych jest bezcelowe.
Pytanie drugie
Czy zdarzenie polegało na:
– zniszczeniu danych osobowych lub
– utraceniu danych osobowych, lub
– zmodyfikowaniu danych osobowych, lub
– nieuprawnionym ujawnieniu danych osobowych, lub
– nieuprawnionym dostępie do danych osobowych?
Czy zdarzenie zagrażało (prowadziło do):
– zniszczeniem danych osobowych lub
– utraceniem danych osobowych, lub
– zmodyfikowaniem danych osobowych, lub
– nieuprawnionym ujawnieniem danych osobowych, lub
– nieuprawnionym dostępem do danych osobowych?
Jeżeli zdarzenie polegało na jednym z wymienionych w tym zestawieniu zjawisk (w tym zjawisk o charakterze zagrożenia), to należy zadać pytanie kolejne. Jeżeli zdarzenie nie polegało na żadnym z tych zjawisk, to zdarzenie nie było naruszeniem ochrony danych osobowych, więc zadawanie pytań pozostałych jest bezcelowe.
Pytanie trzecie
Czy zdarzenie dotyczyło danych osobowych:
– przesyłanych lub
– przechowywanych, lub
– przetwarzanych inaczej niż przez przesyłanie lub przechowywanie?”
Warto powiedzieć sprawdzam ...
Sytuacja, w jakiej znalazł się ww. administrator danych osobowych, niestety może okazać si, iż nie jest sytuacją odosobnioną. Rzeczą oczywistą i naturalną jest to, że osoby uprawnione do poszczególnych dostępów do danych zmieniają się w organizacjach. Naturalne także jest to, że zakresy tych dostępów ulegają zmienia, np. w związku z awansem, czy po prostu zmianą stanowiska przez pracownika. Każdy podkreślam, każdy administrator danych osobowych powinien oprócz świadomości tego stanu rzeczy potrafić odpowiednio reagować na zachodzące zmiany. W praktyce oznacza to, iż powinien na bieżąco nie tylko monitorować adekwatność przyznawanych przez siebie uprawnień dostępowych, ale również na bieżąco reagować i dokonywać ich adekwatnych zmian.
Procedura do wygaszania uprawnień pracowników czeklista sprawdzająca
Materiały źródłowe ...
Potrzebujesz wsparcia oddzwonimy ...
Zgodnie z art. 13 RODO Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1) [dalej „RODO”] informuje się co następuje. Administratorem Danych Osobowych [dalej ADO] jest: Przedsiębiorstwo Wielobranżowe Aleksandra Kubik ul. Obrońców Westerplatte 13 lok 37, 42-200 Częstochowa, NIP: 9491984104, REGON: 368912262, Adres kontaktowy email: biuro@prostetorodo.pl Numer telefonu kontaktowego: 694494240.
Pana/Pani dane osobowe udostępnione za pośrednictwem „Formularza na stronie WWW” przetwarzane będą w celu: przesyłania informacji handlowych dotyczących produktów, usług, promocji i wydarzeń związanych z działalnością ADO, w tym marketingu bezpośredniego, na podstawie art. 6 ust. 1 lit. a) RODO w związku z art. 398 Ustawy z dnia 12 lipca 2024 r. Prawo komunikacji elektronicznej [Dz.U. z 2024r., poz. 1221] adekwatnie do dokonanego wyboru za pośrednictwem rozmów telefonicznych lub wiadomości SMS/MMS, korespondencji elektronicznej, ewentualnego dochodzenia roszczeń i obrony przed ewentualnymi roszczeniami, na podstawie art. 6 ust. 1 lit. f) RODO –przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez ADO. Podanie przez Pana/Panią danych osobowych Pana/Pani dotyczących jest dobrowolne, aczkolwiek ich nie podanie skutkuje brakiem możliwości realizacji celów przetwarzania, o jakich mowa w niniejszym dokumencie.
Pani/Pana dane osobowe będą udostępniane uprawnionym na podstawie przepisów prawa podmiotom i organom publicznym adekwatnie do charakteru sprawy w szczególności: zewnętrznej kancelarii prawnej oraz podmiotom, z którymi ADO zawarł umowy powierzenia przetwarzania danych osobowych, które są podmiotami działającymi na zlecenie i w jego imieniu, w szczególności są nimi: podmiot zewnętrzny świadczący usług IT, podmiot zewnętrzny świadczący usługi hostingowe. Pani/Pana dane przetwarzać będziemy, dopóki istnieć będzie potrzeba realizacji celu, w jakim zostały pozyskane, z zastrzeżeniem jednak, iż w przypadku kiedy przetwarzanie danych realizowane jest na podstawie art. 6 ust. 1 lit a) RODO ma Pani/Pan prawo w dowolnym momencie wycofać wyrażoną zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. W celu wycofania zgody prosimy o przesłanie emial: biuro @ prostetorodo.pl można także stosowne oświadczenie przekazać na adres siedziby ADO.
Ma Pani/Pan prawo do: żądania od ADO dostępu do danych osobowych Pani/Pana dotyczących, żądania od ADO sprostowania danych osobowych Pani/Pana dotyczących, żądania od ADO usunięcia danych osobowych Pani/Pana dotyczących, żądania od ADO ograniczenia przetwarzania danych osobowych Pani/Pana dotyczących, wniesienia sprzeciwu wobec przetwarzania danych osobowych Pani/Pana dotyczących, żądania od ADO przeniesienia danych osobowych Pani/Pana dotyczących, cofnięcia zgody w dowolnym momencie bez konsekwencji dla przetwarzania, którego dokonano przed jej cofnięciem, jeśli dane zbierane są na podstawie zgody. Zakres każdego z tych praw oraz sytuacje, z których można z nich skorzystać, wynikają z przepisów RODO. Z praw tych może Pan/Pani skorzystać składając wniosek u ADO. Ma Pani/Pan prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, gdy uzna Pani/Pan, iż przetwarzanie danych osobowych Pani/Pana dotyczących narusza przepisy RODO. W związku z przetwarzaniem Pani/Pana danych nie będzie Pani/Pan podlegać decyzjom, które opierać się będą wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu. Pani/Pana dane nie są przekazywane poza Europejski Obszar Gospodarczy.