Na podstawie:
- art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – dalej RODO) i
- art. 174a ust. 3 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne oraz Rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej
Zawiadamiam o zaistnieniu Naruszenia Ochrony Danych Osobowych
Nazwa dostawcy
Virgin Mobile Polska Sp. z o.o.
02-724 Warszawa
Ul. Wołodyjowskiego 42 (dalej "Virgin Mobile")
Imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, w którym można uzyskać więcej informacji
ok@virginmobile.pl – Centrum Miłej Obsługi Klienta
*222 darmowy numer z sieci Virgin
799555222 (opłata wg cenników operatorów)
iodo@virginmobile.pl – p. Barbara Pióro, Inspektor Ochrony Danych Osobowych VMP
Data zdarzenia
Do zdarzenia naruszenia ochrony danych osobowych doszło w dniach 18- 22 grudnia 2019
Opis naruszenia (streszczenie zdarzenia, w wyniku którego doszło do naruszenia danych osobowych)
Virgin Mobile w dniu 22 grudnia został poinformowany przez podmiot przetwarzający, że dane są w posiadaniu nieupoważnionej strony trzeciej. W wyniku zamierzonego, umyślnego ataku, doszło do nieuprawnionego pobrania z systemów operatora Państwa danych osobowych.
Okoliczności naruszenia danych osobowych
Naruszenie polegało na dostępie do danych z wniosków rejestracyjnych klientów prepaid przez nieuprawnione wykorzystanie aplikacji dostępnej w punktach partnerskich Virgin Mobile Polska sp z o.o.
Charakter naruszenia ochrony danych osobowych i treść danych osobowych
Naruszenie poufności danych, wskutek nieuprawnionego uzyskania dostępu do danych osobowych. Treść danych osobowych:
- imię i nazwisko lub nazwa firmy
- numer telefonu
- numer PESEL/NIP lub numer dokumentu potwierdzającego tożsamość (np. numer i seria dowodu osobistego lub numer i seria paszportu)
Opis możliwych (prawdopodobnych) konsekwencji naruszenia ochrony danych osobowych
Naruszenie może skutkować próbą posłużenia się ujawnionymi danymi osobowymi (może dojść do kradzieży tożsamości) jak również możliwością otrzymywania informacji handlowych lub marketingowych bez zgody adresata ( tzw „spam”). Utrata kontroli nad przetwarzaniem własnych danych osobowych a w konsekwencji ograniczenie możliwości realizowania praw z art. 15-22 RODO. W chwili obecnej nie mają Państwo możliwości uzyskania informacji co do osoby, która weszła w posiadanie jej danych, a tym samym nie ma możliwości realizacji swoich praw w zakresie uzyskania informacji np. przez kogo i w jakim celu będą przetwarzane jej dane. W konsekwencji nie może wnieść sprzeciwu wobec dalszego ich przetwarzania przez osoby które w nieuprawniony sposób weszły w posiadanie Państwa danych .
Opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu ochrony danych osobowych, w tym ewentualne środki w celu zminimalizowania ewentualnych negatywnych skutków naruszenia
Virgin Mobile Polska niezwłocznie po wykryciu ataku podjęła działania mające na celu zabezpieczenie danych abonentów przed dalszymi atakami. Spółka złoży również zawiadomienie o podejrzeniu popełnienia przestępstwa do organów ścigania. Spółka wzmocniła również procedury uniemożliwiające wykorzystanie Państwa danych abonentów, które zostały nielegalnie pozyskane (wprowadzenie dodatkowych/ ponadstandardowych środków weryfikacji tożsamości), do składania w Państwa imieniu dyspozycji dotyczących umów o świadczenie usług telekomunikacyjnych. Usługa, która posłużyła naruszeniu została wyłączona i pozostanie wyłączona do momentu wprowadzenia odpowiednich zabezpieczeń. Do momentu wprowadzenia nowych procedur, przy wymianie Państwa kart SIM, będzie dokonywana dodatkowa weryfikacja Państwa tożsamości. Prosimy zachować ostrożność przy podawaniu danych osobowych, jeśli nie mają pewności Państwo, kto o nie występuje, ponieważ może być to próba wyłudzenia innych danych.