Od: Aleeko.pl (komunikat_rodo@aleeko.pl) Szanowni Klienci, Prosimy o zapoznanie się z informacją na temat ataku hakerów na nasze serwery, który miał miejsce 20 września br. KOMUNIKAT WS. NARUSZENIA OCHRONY DANYCH OSOBOWYCH I. Co się stało? W dniu 20 września 2020 r., spółka Bio Polska sp. z o.o., z siedzibą w Andrespolu (dalej „Spółka”) prowadząca sklep internetowy aleeko.pl, padła ofiarą ataku hakerskiego na swoje serwery w zakresie, który umożliwiał dostęp do następujących danych: nazwa podmiotu, adres podmiotu, NIP podmiotu, REGON podmiotu, Pesel, imię i nazwisko osób kontaktowych, numer telefonu, adres e-mail oraz informacje nt. transakcji. Spółka cały czas bada, czy pozostałe dane Spółki nie zostały zaatakowane. Spółka podejmuje wszelkie starania mające na celu zminimalizowanie skutków zdarzenia ( zawiadomiono organy ścigania oraz poinformowano UODO ) i ryzyka wystąpienia podobnych zdarzeń w przyszłości, jak też przywrócenia normalnego funkcjonowania przedsiębiorstwa, w tym możliwości realizacji zamówień. II. Jakie mogą być konsekwencje naruszenia ochrony danych osobowych? Następstwem naruszenia Pana/i danych osobowych może być w szczególności: podszycie się pod Pana/Pana z wykorzystaniem pozyskanych danych osobowych - Pani/Pana dane osobowe mogą zostać wykorzystane przez osoby trzecie do ukrycia swojej tożsamości podjęcie przez osoby trzecie mogą próby próbę uzyskania na Pani/Pana szkodę, pożyczek w instytucjach pozabankowych np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości; podjęcie przez osoby trzecie próby uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskanie wglądu do danych o Pani/Pana stanie zdrowia, ponieważ czasem dostęp do systemów rejestracji pacjenta można uzyskać, potwierdzając swoją tożsamość za pomocą numeru PESEL; wykorzystanie Pani/Pana danych osobowych np. do oddania głosu w głosowaniu nad środkami budżetu obywatelskiego tym samym skorzystanie z Pani/Pana praw obywatelskich; wykorzystanie Pani/Pana danych osobowych przez osobę trzecią do próby wyłudzenia ubezpieczenia; podjęcie próby zawarcia na Pani/Pana szkodę umów cywilno-prawnych przez osoby trzecie; III. Jakie środki podjęła Spółka w celu zaradzenia naruszeniu ochrony danych osobowych? Środki podjęte przez Spółkę: • dostęp do każdego z naszych programów jest zabezpieczony silnym hasłem, • w Spółce stosowany jest firewall, • kopia zapasowa danych wykonywana jest codziennie, • komputery chronione są programem antywirusowym, który jest regularnie aktualizowany, • korzystamy wyłącznie z legalnego oprogramowania, które na bieżąco aktualizujemy, • regularnie wykonujemy przeglądy kontrolne, serwis sprzętu, urządzeń i oprogramowania, • w związku z zaistniałym zdarzeniem, zablokowaliśmy nieuprawniony dostęp do naszych serwerów, • podjęliśmy również działania mające na celu odzyskanie dostępu do Pana/i danych osobowych (przy pomocy zapisanej kopii zapasowej – backupu danych na serwerze), • naruszenie ochrony danych zgłosiliśmy Prezesowi UODO, • zdarzenie zgłosiliśmy również organom ścigania. Środki planowane przez Spółkę: • zamierzamy wdrożyć procedury mające na celu zapewnienie jeszcze wyższego poziomu bezpieczeństwa informatycznego, weryfikujemy systemy dostępu i uwierzytelniania oraz poziom skuteczności wdrożonych zabezpieczeń pod kątem znanych podatności we wdrożonym oprogramowaniu, zamierzamy wprowadzić monitorowanie aktywności użytkowników IV. Co może Pan/i zrobić? W celu zminimalizowania ewentualnych negatywnych skutków naruszenia zalecamy, aby Pan/i: • zachował/a ostrożność w sytuacji odbierania połączeń telefonicznych od nieznanych numerów telefonów, • ignorował/a nieoczekiwane wiadomości e-mail lub SMS, w szczególności od nieznanych nadawców oraz nie otwierał/a nieznanych załączników, • nie używał/a linków do stron internetowych otrzymanych od nieznanych nadawców w wiadomościach e-mail lub SMS-ach, • zachował/a ostrożność przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu, • założył/a konto w systemie informacji kredytowej lub gospodarczej w celu dodatkowego zabezpieczenia swoich danych przed nieuprawnionym wykorzystaniem. Jeśli dowie się Pan/i o wykorzystaniu Pana/i danych przez osobę nieuprawnioną, prosimy o jak najszybsze przekazanie nam tej informacji. V. Gdzie może Pan/i uzyskać więcej informacji? Jeżeli ma Pan/i jakiekolwiek pytania lub chciałby/aby nam Pan/i przekazać dodatkowe informacje w związku z zaistniałym zdarzeniem, prosimy o kontakt z działającym z ramienia Spółki Panem Maciejem Głowackim pod adresem mailowym: komunikat_rodo@aleeko.pl VI. Informacje dodatkowe Spółka dokłada najwyższej staranności, aby Pana/i dane osobowe były przetwarzane w sposób gwarantujący ich bezpieczeństwo. Podjęliśmy starania, aby skutki naruszenia były dla Pana/i jak najmniej odczuwalne. Podjęliśmy również czynności minimalizujące ryzyko wystąpienia podobnych zdarzeń w przyszłości. Zapewniamy, że przedmiotowe zdarzenie miało charakter incydentalny i nie wynikało z jakichkolwiek zaniedbań po stronie Spółki.