УВЕДОМЛЕНИЕ ОТНОСНО НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ

УВЕДОМЛЕНИЕ ОТНОСНО НАРУШЕНИЕ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ

съгласно чл. 34, § 1 от Регламент (ЕС) 2016/679 на Европейския Парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на директива 95/46/ЕО (Общ регламент относно защитата на данните или накратко ОРЗД)

от

ЗАД „ДаллБогг: Живот и Здраве” АД, ЕИК: 200299615, със седалище и адрес на управление: гр. София, п.к. 1172, р-н „Изгрев”, ж.к. „Дианабад”, бул. „Д-р Г. М. Димитров”, № 1, представлявано от Изпълнителните директори Росен Младенов и Бисер Иванов

УВАЖАЕМИ КЛИЕНТИ,

С настоящото на основание чл. 34, §1 от Регламент (ЕС) 2016/679 Ви уведомяваме относно нарушение на сигурността на личните данни, обработвани от ЗАД „ДаллБогг: Живот и Здраве” АД

  1. Описание на нарушението

ЗАД „ДаллБогг: Живот и Здраве” АД е застрахователно дружество, вписано в публичния регистър на Комисията за финансов надзор. С цел информационно управление на своята дейност  дружеството обработва значим обем лични данни. В периода от март 2021 до март 2022г. дружеството е било обект на злонамерена хакерска атака, при която вероятно е  засегната сигурността на част от личните данни, обработвани в информационната система за брокери  и агенти и нерегламентирано е получен достъп до значим брой документи съдържащи лични данни по смисъла на GDPR, включително достъп до справки по текущи застрахователни полици на крайни клиенти, чийто обем все още не може да бъде точно установен. Според обработващия лични данни нарушението се изразява в нарушение на поверителността на данните, настъпило в резултат на нерегламентирания достъп до информационната система за брокери и агенти на дружеството. По все още неизяснен начин са компрометирани потребителско име и парола на един или няколко служители с високи права на достъп в информационната система за брокери и агенти на дружеството както и един или няколко потребителски имена и пароли на пощенски кутии в пощенския сървър на ДаллБогг. Пробивът вероятно е осъществен в периода от месец март 2021 до месец март 2022г. За докладвания от нас инцидент узнахме на 28.03.2023г.

  1. Категории и приблизителен брой на засегнатите субекти на данни. Категории и приблизително количество на засегнатите записи на лични данни

2.1. От нарушението са засегнати следните категории субекти на данни:  клиенти и служители.

2.2. Засегнатите записи на лични данни на клиенти могат да включват: три имена, ЕГН, адрес, телефонен номер, обект на застрахователния договор, а когато обектът е МПС: марка, модел и регистрационен номер на МПС, номер на талон, дата на производство на МПС и дата на първата му регистрация.

2.3. Данните за точния брой на засегнатите от нарушението лица и приблизителният брой засегнати записи на лични данни към момента на публикуване на настоящето уведомление не е известен.

  1. Лице за контакт

Николай Зайнелов – длъжностно лице за защита на данните

тел. за контакт:02 960 3768

Електронна поща:[email protected]

  1. Описание на евентуалните последици от нарушението на сигурността на личните данни

Евентуалните последици от нарушението на сигурността на личните данни следва да бъдат установени. Те могат да се изразяват в риск от нарушаване на правата и свободите на субектите на данни, който би могъл да доведе до материални или нематериални вреди за тях (напр. нарушаване на поверителността на личните данни и тяхното публично оповестяване или предоставяне на трети недобросъвестни лица и др.).

  1. Описание на предприетите мерки за справяне с нарушението на сигурността на личните данни, включително по целесъобразност мерки за намаляване на евентуалните неблагоприятни последици

Към настоящия момент са предприети следните технически и организационни мерки:

  • Променени са паролите на всички служители на ДаллБогг в уеб приложението и служебните им имейл адреси;
  • Разработва се функционалност за двуфакторна автентикация за потребителите на уеб приложението;
  • Взети са допълнителни технически мерки за повишаване сигурността на обработваните лични данни от служителите на ДаллБогг;
  • За инцидента е сигнализирана Главна дирекция „Борба с организираната престъпност“, която предстои да извършва разследване по случая;
  • Дружеството е инициирало вътрешна проверка по случая;
  • Комисия за защита на личните данни е уведомена за нарушението.

 

Съгласно предварителното ни заключение, нивото на риска за правата и свободите на засегнатите лица от предполагаемото нарушение на сигурността на личните данни не е високо. Оценката е извършена на база естеството, обхвата, контекста, целите на обработването, както и множество други фактори в съответствие с Насоките относно оценката на въздействието върху защитата на данни (ОВЗД) и определяне дали съществува вероятност обработването „да породи висок риск“ за целите на Регламент 2016/679.

Публикуваме настоящото уведомление за Ваше сведение и оставаме в готовност своевременно да Ви информираме за свързаните с предполагаемото нарушение обстоятелства.