Szanowni Państwo,

działając w imieniu Administratora danych osobowych, tj. MAKRO Cash and Carry Polska S.A. (dalej jako: „Makro” lub „my”) uprzejmie informujemy, że w dniu 15 września 2025 r. stwierdziliśmy naruszenie ochrony danych osobowych dotyczące części naszych Klientów.

Zdarzenie miało miejsce w ramach procesu weryfikacji wiarygodności kredytowej, w którym wykorzystywany był system RiskRadar, umożliwiający dostęp do Krajowego Rejestru Długów. Proces ten służył weryfikacji Klientów korzystających z naszych usług w związku z przyznaniem limitów kredytowych, w celu zapewnienia prawidłowej oceny ryzyka i bezpieczeństwa transakcji.

W wyniku zdarzenia, w bazie RiskRadar ujawnione zostały dane Klientów Makro, prowadzących jednoosobowe działalności gospodarcze, obejmujące numery NIP. W wyniku dokonanej weryfikacji pozyskaliśmy zwrotnie informacje dotyczące firmy, kategorii klienta, wyniku oceny wiarygodności, zadłużeniu w KRD oraz wartości należności brutto na dzień importu bazy danych.

Dokonana przez nas ocena skutków naruszenia ochrony danych osobowych pozwoliła zidentyfikować możliwe konsekwencje dla osób, których dane zostały ujawnione. Mogą one obejmować utratę kontroli nad własnymi danymi osobowymi, ograniczenie możliwości realizowania praw, w tym praw przysługujących na podstawie art. 15–22 RODO, a także pozyskanie przez Spółkę informacji dotyczących sytuacji finansowej oraz oceny zdolności kredytowej Klientów objętych weryfikacją.

Pragniemy wyraźnie podkreślić, że dane te nie były w żaden sposób wykorzystywane przez nas do podejmowania decyzji wobec Klientów. Natychmiast po stwierdzeniu naruszenia podjęliśmy szereg działań mających na celu ograniczenie jego skutków oraz zapewnienie pełnego bezpieczeństwa przetwarzania danych. Wdrożyliśmy szereg rozwiązań wewnętrznych w ramach istniejących procesów przetwarzania danych, aby zminimalizować ryzyko ponownego wystąpienia podobnego zdarzenia w przyszłości. Ponadto, podjęliśmy środki mające na celu ograniczenie negatywnych skutków wobec Klientów objętych niniejszym naruszeniem - w szczególności wydaliśmy wiążące polecenie usunięcia danych osobowych do partnera przetwarzającego, który potwierdził ich trwałe usunięcie w dniu 20 sierpnia 2025 r. Jednocześnie zweryfikowaliśmy nasze zasoby i zapewniliśmy trwałe usunięcie wszelkich kopii danych znajdujących się w systemach wewnętrznych, gwarantując tym samym pełne zabezpieczenie informacji należących do naszych Klientów.

Wierzymy, że dzięki podjętym działaniom ryzyko negatywnych skutków dla osób, objętych naruszeniem zostało znacząco zminimalizowane. Spółka nieustannie monitoruje procesy przetwarzania danych osobowych oraz wdraża rozwiązania organizacyjne i techniczne mające na celu zapewnienie ich bezpieczeństwa, zgodnie z obowiązującymi przepisami RODO. Weryfikujemy wewnętrzne procedury celem ich ciągłego doskonalenia, a pracowników obejmujemy szkoleniami z zakresu ochrony danych osobowych, aby regularnie przypominać o zasadach prawidłowego postępowania z informacjami poufnymi, w tym danymi osobowymi naszych Klientów.

Zapewniamy, że ochrona Państwa danych jest dla nas priorytetem, a nasze działania mają na celu zarówno minimalizację ryzyka, jak i zapewnienie pełnej transparentności wobec osób, których dane dotyczą.

W przypadku wszelkich pytań lub potrzeby uzyskania dodatkowych informacji dotyczących przetwarzania danych osobowych, mogą Państwo kontaktować się bezpośrednio z wyznaczonym Inspektorem Ochrony Danych:

Joanna Górko

E-mail: ochrona.danych@makro.pl