Zawiadomienie
Gdańsk, 22.12.2025 r.
"WML" B.WASILEWSKI P. LASSOTA
Ł.MICHALUK SPÓŁKA CYWILNA
UL.DŁUGA 84/85
80-831 GDAŃSK
Szanowna Pani / Szanowny Panie,
Działając jako administrator danych osobowych, informujemy o naruszeniu
ochrony
danych osobowych, do którego doszło w wyniku ataku hakerskiego na system
informatyczny dostawcy oprogramowania rezerwacyjnego, z którego
korzystał nasz
obiekt. Zdarzenie to dotknęło jednocześnie większą liczbę hoteli w Polsce,
korzystających z tego samego systemu.
W związku z charakterem naruszenia oraz zakresem danych przetwarzanych w
systemie, administrator uznał, że w odniesieniu do części osób, których dane
dotyczą, zdarzenie to może powodować wysokie ryzyko naruszenia praw lub
wolności osób fizycznych, co skutkuje przekazaniem niniejszego zawiadomienia
zgodnie z art. 34 rozporządzenia Parlamentu Europejskiego i Rady (UE)
2016/679
(RODO).
1. Na czym polegało naruszenie
W dniu 16 grudnia 2025 r. KajWare sp. z o.o. dostawca KWHotel systemu
rezerwacyjnego dla wielu hoteli w Polsce, w tym również dla nas, padł
ofiarą ataku
hakerskiego. Wstępne ustalenia wskazują, że osoby nieuprawnione mogły
uzyskać
dostęp do bazy danych, w której przechowywane są szczegóły Państwa
rezerwacji w
naszym obiekcie.
Na obecnym etapie nie potwierdzono, aby doszło do pobrania lub
ujawnienia danych
osobowych. Jednocześnie, ze względu na charakter zdarzenia, brak
kompletnych i
wiarygodnych logów systemowych oraz możliwość ingerencji osób
nieuprawnionych
w środowisko serwerowe, nie jest możliwe jednoznaczne wykluczenie dostępu do
treści danych ani ich skopiowania. Z tych względów uznaliśmy, że
zdarzenie może
powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, co
skutkuje obowiązkiem przekazania niniejszego zawiadomienia.
2. Jakie dane mogły być objęte naruszeniem
Naruszenie mogło dotyczyć danych osobowych przetwarzanych w systemie
rezerwacyjnym, w szczególności:
− imienia i nazwiska,
− danych kontaktowych (adres e-mail, numer telefonu),
− informacji dotyczących rezerwacji (daty pobytu, kwoty rezerwacji),
− danych zawartych na dokumentach księgowych (np. fakturach),
− numeru dokumentu tożsamości,
Nie były przetwarzane dane szczególnej kategorii w rozumieniu art. 9
RODO ani
dane, o których mowa w art. 10 RODO.
3. Możliwe konsekwencje naruszenia
W przypadku uzyskania dostępu do danych przez osoby nieuprawnione możliwe
konsekwencje mogą obejmować:
− próby phishingowe lub inne formy podszywania się pod nasz obiekt lub jego
pracowników,
− próby wyłudzenia płatności lub danych,
− potencjalne straty finansowe lub inne szkody niemajątkowe.
Na dzień przekazania niniejszego zawiadomienia nie posiadamy potwierdzonych
informacji o wystąpieniu takich skutków, jednak informujemy o nich w celu
umożliwienia Państwu podjęcia działań ostrożnościowych.
Pozyskanie numer dokumentu tożsamości w połączeniu z Państwa danymi
adresowymi stwarza ryzyko:
1. Wyrabiania tzw. "dokumentów kolekcjonerskich" na Państwa dane.
2. Podszywania się pod Państwa w usługach, które weryfikują tożsamość na
podstawie numeru dokumentu.
3. Bardzo wiarygodnych prób oszustw telefonicznych (podszywanie się pod
banki/urzędy).
4. Jakie działania zostały podjęte
Po uzyskaniu informacji o naruszeniu:
1. podjęliśmy współpracę z dostawcą systemu w celu zabezpieczenia
środowiska IT i wyjaśnienia okoliczności zdarzenia,
2. dostawca systemu wdrożył dodatkowe środki bezpieczeństwa technicznego,
3. dokonaliśmy zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych
Osobowych,
4. uruchomiliśmy dedykowany adres e-mail oraz numer telefonu do obsługi
zapytań związanych z niniejszym zdarzeniem,
5. monitorujemy informacje o ewentualnych próbach nadużyć,
6. o naruszeniu zostały poinformowane Policja oraz CERT.
5. Zalecenia dotyczące bezpieczeństwa
Jeżeli zauważą Państwo, że ktoś próbuje wykorzystać Państwa dane w sposób
nieuprawniony, prosimy o zachowanie szczególnej ostrożności oraz kontakt
z nami
lub – w razie potrzeby – z właściwymi organami, np. Policją.
Prosimy zwracać uwagę na wiadomości e-mail, SMS lub komunikaty przesyłane
przez komunikatory internetowe (np. WhatsApp), w których nadawca
podszywa się
pod nasz hotel lub jego pracowników. W szczególności mogą to być wiadomości
zawierające:
− prośby o dokonanie płatności za pobyt,
− informacje o rzekomych zaległościach lub zmianach rezerwacji,
− linki prowadzące do formularzy lub stron, na których proszeni są Państwo o
podanie danych.
Na takie wiadomości nie należy odpowiadać, nie należy klikać w linki ani
otwierać
załączników. Każdą wątpliwą korespondencję prosimy w pierwszej kolejności
zweryfikować bezpośrednio z nami, korzystając z danych kontaktowych
wskazanych
w niniejszym zawiadomieniu.
Prosimy również zachować ostrożność w przypadku otrzymania korespondencji
papierowej, w szczególności:
− wezwań do zapłaty,
− potwierdzeń zawarcia umów,
− informacji o rezerwacjach lub usługach, z których Państwo nie korzystali.
W takich sytuacjach zalecamy weryfikację treści pisma u nadawcy, a w razie
podejrzenia oszustwa – zgłoszenie sprawy odpowiednim organom.
W przypadku wiadomości e-mail warto zwracać uwagę na:
− nietypowe lub podejrzane załączniki,
− linki prowadzące do nieznanych stron,
− prośby o podanie dodatkowych danych lub potwierdzenie tożsamości.
Tego rodzaju wiadomości mogą mieć na celu wyłudzenie danych lub instalację
złośliwego oprogramowania. Zalecamy korzystanie z aktualnego oprogramowania
zabezpieczającego oraz zachowanie ostrożności przy otwieraniu wiadomości od
nieznanych nadawców.
W związku ujawnieniem numeru dokumentu tożsamości jeśli zadzwoni do Państwa
osoba podająca się za pracownika banku lub innej instytucji i w celu
"weryfikacji"
poda Państwa numer dowodu prosimy zachować czujność. Oszuści mogą
wykorzystać te dane, aby wzbudzić Państwa zaufanie i wyłudzić pieniądze.
Informujemy jednocześnie, że:
− nie wysyłamy wiadomości z prośbą o dokonanie wpłat lub dopłat,
− nie przesyłamy linków do formularzy ani stron płatności,
− nie prosimy o podanie danych kart płatniczych ani danych dostępowych.
6. Kontakt z administratorem danych
W przypadku pytań lub wątpliwości związanych z niniejszym zawiadomieniem
prosimy o kontakt:
info@wmlsc.pl
Zapewniamy, że ochrona danych osobowych jest dla nas priorytetem. Na bieżąco
monitorujemy sytuację i w przypadku uzyskania nowych istotnych informacji
przekażemy je niezwłocznie.
Z wyrazami szacunku
Bogdan Wasilewski
Paweł Lassota
Łukasz Michaluk
Gdańsk, 22.12.2025 r.
"WML" B.WASILEWSKI P. LASSOTA
Ł.MICHALUK SPÓŁKA CYWILNA
UL.DŁUGA 84/85
80-831 GDAŃSK
Dear Madam / Dear Sir,
Acting as the personal data controller, we hereby inform you of a
personal data
protection breach that occurred as a result of a hacker attack on the IT
system of the
reservation software provider used by our facility. This incident
simultaneously
affected a larger number of hotels in Poland using the same system.
Due to the nature of the breach and the scope of data processed in the
system, the
controller has determined that, with regard to some of the data
subjects, this incident
may result in a high risk to the rights or freedoms of natural persons.
Consequently,
this notification is being provided in accordance with Article 34 of
Regulation (EU)
2016/679 of the European Parliament and of the Council (GDPR).
1. Nature of the breach
On 16 December 2025, KajWare sp. z o.o., the provider of the KWHotel
reservation
system used by many hotels in Poland, including our facility, became the
victim of a
hacker attack. Preliminary findings indicate that unauthorised persons
may have
gained access to a database in which details of your reservation at our
property are
stored.
At the current stage, it has not been confirmed that personal data were
downloaded
or disclosed. However, due to the nature of the incident, the lack of
complete and
reliable system logs, and the possibility of interference by
unauthorized persons with
the server environment, it is not possible to unequivocally rule out
access to the
content of the data or their copying. For these reasons, we have
determined that the
incident may result in a high risk to the rights or freedoms of natural
persons, which
gives rise to the obligation to provide this notification.
2. Categories of personal data potentially affected by the breach
The breach may have concerned personal data processed in the reservation
system,
in particular:
– first and last name,
– contact details (e-mail address, telephone number),
– reservation information (dates of stay, reservation amount),
– data contained in accounting documents (e.g. invoices),
– identity document number.
No special categories of personal data within the meaning of Article 9
GDPR, nor
personal data referred to in Article 10 GDPR, were processed.
3. Possible consequences of the breach
In the event that unauthorized persons gain access to the data, possible
consequences may include:
– phishing attempts or other forms of impersonation of our facility or
its employees,
– attempts to fraudulently obtain payments or data,
– potential financial losses or other non-material damage.
As of the date of this notification, we do not have confirmed
information that such
consequences have occurred; however, we are informing you of these
potential risks
to enable you to take appropriate precautionary measures.
Obtaining an identity document number in combination with your address data
creates a risk of:
1. Issuance of so-called “collector’s documents” using your personal data.
2. Impersonation of you in services that verify identity based on a document
number.
3. Highly credible attempts at telephone fraud (impersonation of banks or
public authorities).
4. Measures taken
After becoming aware of the breach:
1. we initiated cooperation with the system provider in order to secure
the IT
environment and clarify the circumstances of the incident,
2. the system provider implemented additional technical security measures,
3. we reported the personal data breach to the President of the Personal
Data Protection Office,
4. we launched a dedicated e-mail address and telephone number to handle
inquiries related to this incident,
5. we are monitoring information on any potential attempts at abuse,
6. the Police and the national CERT were informed of the breach.
5. Security recommendations
If you notice that someone is attempting to use your personal data in an
unauthorized
manner, please exercise particular caution and contact us or—if
necessary—the
competent authorities, such as the Police.
Please pay close attention to e-mails, SMS messages, or communications
sent via
instant messaging applications (e.g. WhatsApp) in which the sender
impersonates
our hotel or its employees. In particular, such messages may contain:
– requests for payment for your stay,
– information about alleged outstanding amounts or changes to your
reservation,
– links leading to forms or websites where you are asked to provide
personal data.
You should not reply to such messages, click on any links, or open
attachments. Any
suspicious correspondence should first be verified directly with us
using the contact
details provided in this notification.
Please also exercise caution if you receive paper correspondence, in
particular:
– payment demands,
– confirmations of contracts being concluded,
– information about reservations or services that you have not used.
In such cases, we recommend verifying the content of the letter directly
with the
sender and, if fraud is suspected, reporting the matter to the
appropriate authorities.
In the case of e-mail messages, it is advisable to pay attention to:
– unusual or suspicious attachments,
– links leading to unknown websites,
– requests to provide additional data or to confirm your identity.
Such messages may be intended to obtain data fraudulently or to install
malicious
software. We recommend using up-to-date security software and exercising
caution
when opening messages from unknown senders.
In connection with the disclosure of an identity document number, if you
receive a
phone call from a person claiming to be an employee of a bank or another
institution
and, for the purpose of “verification,” they provide your ID document
number, please
remain vigilant. Fraudsters may use such data to gain your trust and
fraudulently
obtain money.
We would also like to inform you that we:
– do not send messages requesting payments or additional charges,
– do not send links to forms or payment pages,
– do not ask for payment card details or access credentials.
6. Contact with the data controller
If you have any questions or concerns related to this notification,
please contact us
at:
info@wmlsc.pl
We assure you that the protection of personal data is a priority for us.
We are
continuously monitoring the situation and, should we obtain any new material
information, we will provide it to you without delay.
Yours sincerely,
Bogdan Wasilewski
Paweł Lassota
Łukasz Michaluk
Promocje
Wkrótce
