Na podstawie:
- art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – dalej RODO) i
- art. 174a ust. 3 ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne oraz Rozporządzenia Komisji (UE) Nr 611/2013 z dnia 24 czerwca 2013 r. w sprawie środków mających zastosowanie przy powiadamianiu o przypadkach naruszenia danych osobowych, na mocy dyrektywy 2002/58/WE Parlamentu Europejskiego i Rady o prywatności i łączności elektronicznej
oraz zgodnie z zaleceniami Prezesa Urzędu Ochrony Danych Osobowych przekazanymi 15 stycznia 2020 r. w odniesieniu do naruszenia ochrony danych z dnia 18 - 22 grudnia 2019 r.
zawiadamiam o zaistnieniu naruszenia ochrony danych osobowych
Nazwa dostawcy
Virgin Mobile Polska Sp. z o.o.
02-724 Warszawa
Ul. Wołodyjowskiego 42 (dalej "Virgin Mobile")
Imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, w którym można uzyskać więcej informacji
ok@virginmobile.pl – Centrum Miłej Obsługi Klienta
*222 darmowy numer z sieci Virgin
799555222 (opłata wg cenników operatorów)
iodo@virginmobile.pl – p. Barbara Pióro, Inspektor Ochrony Danych Osobowych Virgin Mobile
Data zdarzenia
Do naruszenia ochrony danych osobowych doszło w dniach 18 - 22 grudnia 2019 r.
Opis naruszenia (streszczenie zdarzenia, w wyniku którego doszło do naruszenia danych osobowych)
Virgin Mobile w dniu 22 grudnia został poinformowany przez podmiot przetwarzający, że dane są w posiadaniu nieupoważnionej strony trzeciej. W wyniku zamierzonego, umyślnego ataku, doszło do nieuprawnionego pobrania z systemów operatora Państwa danych osobowych.
Okoliczności naruszenia danych osobowych
Naruszenie polegało na wykorzystaniu jednego z interfejsów aplikacji służącej do generowania wydruku potwierdzenia rejestracji klientów prepaid w założeniu przeznaczonego dla stacjonarnych punktów partnerskich Virgin Mobile.
Charakter naruszenia ochrony danych osobowych i treść danych osobowych
Naruszenie poufności danych, wskutek nieuprawnionego uzyskania dostępu do danych osobowych. Treść danych osobowych:
- imię i nazwisko lub nazwa firmy
- numer telefonu
- numer PESEL/NIP lub numer dokumentu potwierdzającego tożsamość (np. numer i seria dowodu osobistego lub numer i seria paszportu)
Opis możliwych (prawdopodobnych) konsekwencji naruszenia ochrony danych osobowych
Zgodnie z zaleceniem organu ochrony danych osobowych informujemy, że z uwagi na zakres danych, których dotyczy naruszenie, istnieje prawdopodobieństwo wystąpienia negatywnych dla Państwa skutków, poprzez nieuprawnione wykorzystanie Państwa danych osobowych w celu m.in.:
- uzyskania przez osoby trzecie, na Państwa szkodę, kredytów w instytucjach pozabankowych, ze względu na fakt, że wiele takich instytucji umożliwia uzyskanie kredytu lub pożyczki w łatwy i szybki sposób, np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości;
- uzyskania dostępu do korzystania z przysługujących Państwu świadczeń opieki zdrowotnej oraz do danych o Państwa stanie zdrowia, z uwagi na fakt, że często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie, potwierdzając tożsamość za pomocą numeru PESEL;
- korzystania z Państwa praw obywatelskich, np. do głosowania nad środkami z budżetu obywatelskiego. W takiej sytuacji nie mielibyście Państwo możliwości skorzystania z przysługującego Państwu prawa do głosowania;
- wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować negatywne dla Państwa konsekwencje w postaci problemów związanych z próbą przypisania Państwu odpowiedzialności za dokonanie takiego oszustwa;
- zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych (Virgin Mobile przypomina, że rejestracja wymaga osobistego okazania dowodu tożsamości);
- zawarcia umowy o świadczenie usług, np. telewizji kablowej, telefonu, Internetu, a następnie zaprzestanie opłacania rachunków i spowodowania negatywnych dla Państwa konsekwencji w postaci zadłużenia (Virgin Mobile przypomina, że zawarcie umowy wymaga osobistego okazania dowodu tożsamości).
Oprócz wskazanych powyżej konsekwencji mogących wiązać się z tzw. kradzieżą tożsamości, naruszenie może skutkować również prawdopodobieństwem otrzymywania informacji handlowych lub marketingowych bez zgody adresata (tzw. „spam”). Utrata kontroli nad przetwarzaniem własnych danych osobowych może spowodować ograniczenie możliwości realizowania praw z art. 15-22 RODO. W chwili obecnej nie mają Państwo możliwości uzyskania informacji co do osoby, która weszła w posiadanie jej danych, a tym samym nie ma możliwości realizacji swoich praw w zakresie uzyskania informacji np. przez kogo i w jakim celu będą przetwarzane Państwa dane. W konsekwencji uniemożliwione może być wniesienie sprzeciwu wobec dalszego ich przetwarzania przez osoby, które w nieuprawniony sposób weszły w posiadanie Państwa danych.
Opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu ochrony danych osobowych, w tym ewentualne środki w celu zminimalizowania ewentualnych negatywnych skutków naruszenia
Virgin Mobile niezwłocznie po wykryciu ataku podjęła działania mające na celu zabezpieczenie danych abonentów przed dalszymi atakami. Spółka złożyła również zawiadomienie o podejrzeniu popełnienia przestępstwa do organów ścigania. Spółka wzmocniła również procedury uniemożliwiające wykorzystanie Państwa danych abonenckich, które zostały nielegalnie pozyskane (wprowadzenie dodatkowych/ ponadstandardowych środków weryfikacji tożsamości), do składania w Państwa imieniu dyspozycji dotyczących umów o świadczenie usług telekomunikacyjnych. Usługa, która posłużyła naruszeniu została wyłączona i pozostanie wyłączona do momentu wprowadzenia odpowiednich zabezpieczeń. Do momentu wprowadzenia nowych procedur, przy wymianie Państwa kart SIM, będzie dokonywana dodatkowa weryfikacja Państwa tożsamości.
W celu zabezpieczenia Państwa danych osobowych przed ich niewłaściwym wykorzystaniem, mogą podjąć Państwo następujące działania:
- założyć konto w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej. Niektóre takie systemy umożliwiają uruchomienie cyklicznych alertów wybranym kanałem komunikacji (np. sms, e-mail), informujących o zapytaniach o historię kredytową kierowanych przez podmioty finansowe;
- zastrzec dokument tożsamości i wymienić go;
- zgłosić fakt naruszenia właściwym organom w celu zapobieżenia tzw. kradzieży tożsamości.
Virgin Mobile przypomina o konieczności zachowania ostrożności przy podawaniu danych osobowych, zwłaszcza za pośrednictwem Internetu czy telefonu, w szczególności, jeśli nie mają pewności Państwo, kto o nie występuje. Może być to próba wyłudzenia innych Państwa danych.