RODO

Naruszenie ochrony

danych osobowych

INFORMACJE O NARUSZENIU OCHRONY DANYCH OSOBOWYCH

Drodzy Goście,

informujemy, że miał miejsce atak hakerski na system rezerwacyjny, dostarczony przez zewnętrznego dostawcę.

Przepraszamy za zaistniałą sytuację i związane z nią niedogodności. Ochrona danych osobowych jest dla nas priorytetem, dlatego podjęliśmy niezbędne działania, aby zapobiec podobnym sytuacjom w przyszłości.

Co się stało?

Dostawca systemu rezerwacyjnego w dniu 10.12.2025 r. wykrył atak hakerski na serwer, na którym były przechowywane m.in. Państwa dane osobowe z przyjętych rezerwacji, tj.:

- Imię i nazwisko,

- Nazwa firmy (jeżeli została podana),

- Numer telefonu (jeżeli został podany),

- Adres e-mail (jeżeli został podany),

- Informacje nt. rezerwacji, tj. data pobytu, liczba osób, informacja o rozliczeniu, kwota rezerwacji, numer pokoju,

- Dane naszego hotelu,

- Adres (jeżeli dokument księgowy wystawiono w formie elektronicznej)

- Dane na fakturze oraz paragonie.

Nie otrzymaliśmy ani od dostawcy, ani od osób odpowiedzialnych za atak, informacji, które potwierdzałyby, że dane wszystkich naszych Gości zostały pobrane z zaatakowanego serwera. Do tej pory potwierdziliśmy cztery przypadki nieuprawnionego dostępu do danych. Z uwagi jednak na samą taką możliwość uznaliśmy, że doszło do naruszenia poufności.

Jaki zostały podjęte działania w celu ochrony Państwa danych osobowych?

- 10.12.2025 r. Dostawca całkowicie wyłączył zaatakowany serwer po wcześniejszym zabezpieczeniu środowiska i danych.

- Dostawca przeniósł bazę danych na nową infrastrukturę, którą odpowiednio zabezpieczył, aby zapobiec podobnym sytuacjom w przyszłości.

- Dostawca przeprowadził weryfikację kont wszystkich użytkowników systemu rezerwacyjnego, aby mieć pewność, że atakujący nie mają dostępu do baz danych.

- Dostawca dokonał skanu zawartości dysków serwera pod katem wykrycia ewentualnych innych nieautoryzowanych działań.

- O ataku została poinformowana Policja, CERT Polska, a także Prezes Urzędy Ochrony Danych Osobowych.

- Na naszej stronie www zamieściliśmy komunikat o tym, że ktoś się pod nas podszywa na WhatsApp.

Jakie mogą wyniknąć dla Państwa konsekwencje z naruszenia?

W związku z tym istnieje ryzyko, że Państwa dane osobowe mogą zostać wykorzystane przez osoby nieuprawnione, na przykład poprzez:

- wysyłanie wiadomości na WhatsApp, w której ktoś podszywa się pod nasz hotel i żąda potwierdzenia lub zweryfikowania rezerwacji,

- nakłanianie do zapłaty nieistniejących płatności,

- próby wyłudzenia dodatkowych danych osobowych, które pierwotnie nie były objęte naruszeniem w celu zaciągania w Państwa imieniu zobowiązań, np. przez dokonywanie zakupów w Internecie, wyłudzanie kredytów, czy też pożyczek,

- zakładanie na Państwa dane osobowe konta internetowego (np. w serwisach społecznościowych, poczty elektronicznej),

- wypożyczanie na Państwa dane określonych przedmiotów, a następnie ich kradzieży przez osoby trzecie,

- wysyłanie wiadomości spam np. w postaci niezamówionych ofert.

Jak mogą Państwo się chronić?

W przypadku podejrzenia wykorzystania Państwa danych osobowych w sposób nieuprawniony, prosimy o kontakt z odpowiednimi organami państwowymi, np. Policją.

Prosimy zwracać uwagę na wszelką korespondencję kierowaną do Państwa przez osoby, które podają się za przedstawicieli naszego hotelu – prosimy tego typu sytuacje wyjaśniać z nami na bieżąco pisząc na adres recepcja@folgagryfice.pl lub dzwoniąc pod numer: +48 531 790 144. W szczególności prosimy zwracać uwagę na ewentualne próby wyłudzeń poprzez podszywanie się pod nas oraz powoływanie na dane
z rezerwacji, wysyłane drogą e-mail lub komunikatorami internetowymi (np. WhatsApp) – gdzie jesteście Państwo proszeni o uregulowanie należności za pobyt w naszym hotelu lub podanie danych osobowych klikając w linki znajdujące się w treści wiadomości. Nie należy odpowiadać na tego typu wiadomości ani klikać w linki. Będziemy wdzięczni za przekazanie treści wiadomości podszywających się pod nas na adres: rodo@folgagryfice.pl.

Prosimy również zwracać uwagę na ewentualną korespondencję przekazywaną drogą papierową
i dokładnie zapoznawać się z ich treścią, ponieważ mogą to być na przykład potwierdzenia zawarcia określonej umowy (której sam(a) Pani/Pan nigdy nie zawierał(a) lub fałszywe wezwania do zapłaty z tytułu dokonanych rezerwacji w naszym obiekcie. Wszelkie tego typu zdarzenia należy niezwłocznie weryfikować bezpośrednio z podmiotami, które są stroną zawartych umów, a w wątpliwych przypadkach zgłaszać na Policję. Przypominamy również, że w przypadku umów konsumenckich zawieranych na odległość zazwyczaj w takim przypadku przysługuje prawo odstąpienia od umowy w terminie 14 dni bez ponoszenia żadnych konsekwencji.

Z kolei w przypadku otrzymania zawiadomienia drogą elektroniczną (mailową) o podobnym charakterze, jak wskazany powyżej, należy zwracać szczególną uwagę na:

- podejrzane załączniki w wiadomościach mailowych – załączniki nie powinny być przesyłane w postaci archiwum typu ZIP lub RAR,

- podejrzane linki znajdujące się w treści wiadomości,

- prośby podania swoich dodatkowych danych osobowych (np. w celu potwierdzenia swojej tożsamości).

Tego typu maile mogą zawierać złośliwe oprogramowanie (np. wirusy, trojany), a także służyć do prób wyłudzenia kolejnych danych osobowych, np. numerów kont bankowych, numerów kart kredytowych czy też danych wykorzystywanych do logowania (np. loginy i hasła). Z tego też względu zalecamy szczególną ostrożność przy otwieraniu tego typu wiadomości. Zalecamy również korzystanie z oprogramowania antywirusowego z zawsze aktualną bazą sygnatur wirusów.

Prosimy również zwrócić uwagę na hasła dostępu jakich używają Państwo w Internecie (np. dla kont społecznościowych, kont e-mail, portali, bankowości elektronicznej). Hasła te nie powinny zawierać w swojej składni łatwych do odgadnięcia wyrazów lub ich części, w szczególności bazujących na Państwa danych osobowych (np. imion, nazwisk, daty urodzenia, numeru PESEL, serii i numeru dokumentu tożsamości, numeru telefonu).

W przypadku podejrzenia wykorzystania Państwa danych w sposób nieuprawniony istnieje także możliwość:

a) sprawdzenia swojej historii kredytowej w Biurze Informacji Kredytowej – jest to instytucja gromadząca i przetwarzająca dane o wszystkich pożyczkach zaciąganych w bankach i SKOK-ach. W BIKu wskazane są informacje o kredytach spłacanych terminowo i zaległościach płatniczych. Szczegółowe informacje opisane są pod następującym linkiem: https://www.bik.pl/

b) sprawdzenie swoich danych w Krajowym Rejestrze Długów – KRD umożliwia monitorowanie rejestru zapytań dotyczących wniosku o kredyt. Szczegółowe informacje opisane są pod następującym linkiem: https://krd.pl/

Gdzie można uzyskać więcej informacji?

Jeżeli mają Państwo jakiekolwiek pytania lub wątpliwości w związku z opisanym naruszeniem, prosimy pisać na adres rodo@folgagryfice.pl.

Z poważaniem

Zespół Folga Gryfice

English version below

NOTIFICATION OF PERSONAL DATA BREACH

Dear Guests,

We inform that there was a cyberattack on the reservation system provided by an external supplier.

We apologize for the situation and any inconvenience caused. The protection of personal data is a priority for us, which is why we have taken the necessary measures to prevent similar situations in the future. Below you will find detailed information, which we ask you to read carefully.

What happened?

On December 10, 2025, the reservation system provider detected a cyberattack on the server where your personal data from your accepted reservation was stored, including:

- First and last name,

- Company name (if provided),

- Phone number (if provided),

- Email address (if provided),

- Reservation details, i.e. stay dates, number of guests, billing information, reservation amount, room number,

- Our hotel’s details,

- Address (if the accounting document is issued in electronic form),

- Details included on the invoice and receipt.

We have not received any information from the provider or from those responsible for the attack that would confirm that the data of all our guests was downloaded from the attacked server. To date, we have confirmed four cases of unauthorized access to data. However, since there was a possibility that unauthorized persons could access the data, we have concluded that the confidentiality of all our guests' personal data has been breached.

What measures have been taken to protect your personal data?

- On December 10, 2025, the provider completely shut down the attacked server after securing the environment and data.

- The provider moved the database to a new infrastructure, which it secured appropriately to prevent similar situations in the future.

- The provider verified the accounts of all users of the reservation system to ensure that the attackers did not have access to the databases.

- The provider scanned the contents of the server storage to detect any other unauthorized activities.

- The police, CERT Polska, and the President of the Personal Data Protection Office were informed about the attack.

- We posted a statement on our website stating that someone was impersonating us on WhatsApp.

What are the possible consequences of the breach for you?

As a result, there is a risk that your personal data may be used by unauthorized persons, for example by:

- sending messages on WhatsApp in which someone impersonates our hotel and requests confirmation or verification of a reservation,

- misleading you to make non-existent payments,

- attempting to obtain additional personal data that was not originally affected by the breach to incur liabilities on your behalf, e.g., by making purchases on the Internet, obtaining credit or loans,

- creating an online account using your personal data (e.g., on social media or email services),

- renting items using your data and then having them stolen by third parties,

- sending spam messages, e.g., in the form of unsolicited offers.

How can you protect yourself?

If you suspect that your personal data is being used in an unauthorized manner, please contact the relevant state authorities, e.g., the police.

Please pay attention to any correspondence sent to you by persons claiming to be representatives of our hotel – please clarify such situations with us on an ongoing basis by writing to recepcja@folgagryfice.pl or calling +48 531 790 144. Please be aware of possible attempts to defraud you by impersonating us and referring to reservation details sent by email or instant messaging (e.g., WhatsApp) – where you are asked to pay for your stay at our hotel or provide personal data by clicking on links in the message. Do not respond to such messages or click on the links. We would be grateful if you could forward the content of messages impersonating us to: rodo@folgagryfice.pl.

Please also pay attention to any correspondence sent by post and read it carefully, as it may contain, for example, confirmations of specific agreements (which you have never entered) or false requests for payment made at our facility. Any such incidents should be immediately verified directly with the entities that are parties to the contracts, and in doubtful cases, reported to the police. We would also like to remind you that in the case of consumer contracts concluded at a distance, you usually have the right to withdraw from the contract within 14 days without any consequences.

In turn, if you receive an electronic (e-mail) notification similar to the one described above, you should pay particular attention to:

- suspicious attachments in emails – attachments should not be sent in the form of ZIP or RAR files,

- suspicious links in the body of the message,

- requests to provide additional personal data (e.g., to confirm your identity).

These types of emails may contain malware (e.g., viruses, Trojan files) and may also be used to attempt to obtain further personal data, such as bank account numbers, credit card numbers, or login details (e.g., usernames and passwords). For this reason, we recommend that you exercise caution when opening such messages. We also recommend using antimalware software with an up-to-date malware signature database.

Please also pay attention to the passwords you use on the Internet (e.g., for social media accounts, email accounts, websites, and online banking). These passwords should not contain words or parts of words that are easy to guess, especially those based on your personal data (e.g., first names, last names, date of birth, PESEL or social security number, ID series, and phone numbers).

If you suspect that your data has been used in an unauthorized manner, you can also:

a. check your credit history at the Credit Information Bureau (BIK; Biuro Informacji Kredytowej) – this is an institution that collects and processes data on all loans taken out at banks and credit unions. BIK provides information on loans repaid on time and payment of arrears. Detailed information is available at the following link: https://www.bik.pl/

b. check your data in the National Debt Register (Krajowy Rejestr Długów) – KRD allows you to monitor the register of inquiries regarding loan applications. Detailed information is available at the following link: https://krd.pl/

Where can I find more information?

If you have any questions or concerns regarding the described violation, please write to rodo@folgagryfice.pl.

Sincerely,

The Folga Gryfice Team