Zawiadomienie o potencjalnym naruszeniu ochrony danych osobowych

Rybie, dnia 14 marca 2026 r.

Szanowna Pani,
Szanowny Panie,

Bloom Group Sp. z o.o. z siedzibą w Rybiu (05-090), ul. Środkowa 33 (dalej jako „Administrator" lub „Bloom Hotel"), dopełniając swoich obowiązków jako administrator danych w rozumieniu art. 4 ust. 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), niniejszym informuje, że zostało wykryte potencjalne naruszenie ochrony danych osobowych, które mogło dotyczyć Pani/Pana danych osobowych. W związku z tym prosimy o dokładne zapoznanie się z treścią poniższego komunikatu.

Opis charakteru potencjalnego naruszenia

W dniu 11 grudnia 2025 r. pracownicy naszego dostawcy usług IT zawiadomili nas, że prawdopodobnie doszło do włamania na jeden z serwerów, na którym znajdowała się baza z danymi naszych Klientów. W bazie tej znajdowały się także Pani/Pana dane z przyjętych rezerwacji. Dotychczasowa weryfikacja zdarzenia nie wykazała, aby atakujący uzyskali bezpośredni dostęp do bazy danych, nie ma również pewności, że Pani/Pana dane zostały pobrane – na ten moment nie można jednak wykluczyć takiej ewentualności.

Zakres kategorii danych osobowych, jakie potencjalnie mogły zostać objęte incydentem bezpieczeństwa:

  • dane naszego obiektu,
  • daty rezerwacji i kwoty rezerwacji,
  • dane naszych Gości hotelowych podane bezpośrednio w rezerwacji (np. imię, nazwisko, adres e-mail, numer telefonu lub inne dane, które Państwo wprowadzili w rezerwacji),
  • wystawione dokumenty księgowe (faktury, paragony).

Na chwilę obecną nie potwierdzamy, że do Pani/Pana danych osobowych uzyskali dostęp przestępcy, jednakże w celu dochowania należytej staranności oraz przeciwdziałania ewentualnym skutkom stwierdzonego incydentu bezpieczeństwa informujemy o podjętych działaniach, a także możliwych negatywnych dla Pani/Pana skutkach incydentu.

Opis możliwych konsekwencji potencjalnego naruszenia ochrony danych osobowych

Kierując się daleko idącą ostrożnością, informujemy o potencjalnych następstwach w sytuacji, gdyby stwierdzono, że doszło do pobrania Pani/Pana danych osobowych przez przestępców.
O ewentualnym potwierdzeniu się tych okoliczności będziemy informować Panią/Pana w odrębnym komunikacie (na chwilę obecną według naszej wiedzy taka okoliczność nie wystąpiła).

W przypadku potwierdzenia takiego zdarzenia, potencjalnym następstwem ewentualnego naruszenia może być wykorzystanie przez osoby trzecie Pani/Pana danych m.in. w celu uzyskania korzyści majątkowej Pani/Pana kosztem. Wykorzystane dane osobowe mogą potencjalnie służyć nakłonieniu Pani/Pana do zapłaty nieistniejących płatności lub wyłudzenia dodatkowych danych, co w konsekwencji mogłoby skutkować zaciągnięciem zobowiązań (np. zakupów w Internecie, wyłudzania kredytów lub pożyczek w instytucjach pozabankowych). Potencjalnie ujawnione dane mogą także posłużyć do zakładania kont internetowych (np. w serwisach społecznościowych, poczty elektronicznej) na Pani/Pana dane lub wypożyczania przedmiotów, a następnie ich kradzieży przez osoby trzecie.

Proponowane działania w celu przeciwdziałania skutkom potencjalnego naruszenia

W przypadku podejrzenia nieuprawnionego wykorzystania Pani/Pana danych osobowych prosimy o kontakt z odpowiednimi organami państwowymi, np. Policją.

Prosimy zwracać uwagę na wszelką korespondencję kierowaną do Pani/Pana przez osoby, które podają się za przedstawicieli naszego hotelu. W szczególności prosimy zwracać uwagę na ewentualne próby wyłudzeń poprzez podszywanie się pod naszą tożsamość oraz powoływanie na dane z rezerwacji, wysyłane drogą e-mail lub komunikatorami internetowymi (np. WhatsApp) – gdzie są Państwo proszeni o uregulowanie należności za pobyt w naszym hotelu lub podanie danych osobowych poprzez klikanie w linki znajdujące się w treści wiadomości. Nie należy odpowiadać na tego typu wiadomości ani klikać w linki.

Prosimy również zwracać uwagę na ewentualną korespondencję papierową – mogą to być np. potwierdzenia zawarcia umowy (której nigdy Pani/Pan nie zawierał/a) lub fałszywe wezwania do zapłaty. Wszelkie tego typu zdarzenia należy niezwłocznie weryfikować bezpośrednio z podmiotami będącymi stroną zawartych umów, a w wątpliwych przypadkach zgłaszać na Policję. Przypominamy, że w przypadku umów konsumenckich zawieranych na odległość przysługuje prawo odstąpienia od umowy w terminie 14 dni bez żadnych konsekwencji.

W przypadku otrzymania podejrzanej wiadomości e-mail prosimy zwracać uwagę na:

  • podejrzane załączniki – nie powinny być przesyłane w postaci archiwum ZIP lub RAR,
  • podejrzane linki w treści wiadomości,
  • prośby o podanie dodatkowych danych osobowych (np. w celu potwierdzenia tożsamości).

Tego typu wiadomości mogą zawierać złośliwe oprogramowanie (wirusy, trojany) lub służyć do wyłudzenia danych (numerów kont, kart kredytowych, loginów i haseł). Zalecamy szczególną ostrożność oraz korzystanie z aktualnego oprogramowania antywirusowego.

Prosimy również zwrócić uwagę na hasła używane w Internecie (konta społecznościowe, e-mail, bankowość elektroniczna). Hasła nie powinny zawierać łatwych do odgadnięcia danych osobowych (imion, nazwisk, daty urodzenia, numeru PESEL, serii i numeru dokumentu tożsamości, numeru telefonu).

W przypadku podejrzenia nieuprawnionego wykorzystania danych istnieje również możliwość:

  1. sprawdzenia historii kredytowej w Biurze Informacji Kredytowej (BIK) – instytucja gromadząca dane o pożyczkach zaciąganych w bankach i SKOK-ach, informacje o kredytach spłacanych terminowo i zaległościach płatniczych.
    Szczegóły: www.bik.pl
  2. sprawdzenia danych w Krajowym Rejestrze Długów (KRD) – umożliwia monitorowanie rejestru zapytań dotyczących wniosku o kredyt.
    Szczegóły: krd.pl

Ze względu na szczegółowy charakter niniejszego zawiadomienia prosimy nie ujawniać jego treści osobom niezaufanym, gdyż może to ułatwić nieuprawnione działania wobec Pani/Pana danych.

Opis zastosowanych środków bezpieczeństwa

Niezwłocznie po ujawnieniu opisanego incydentu, wspólnie z naszym dostawcą usług IT, podjęliśmy działania mające na celu jak najszybsze przeciwdziałanie jego skutkom, w szczególności:

  • uruchomiliśmy wewnętrzną procedurę reagowania na potencjalne naruszenia ochrony danych osobowych,
  • wyłączyliśmy zasoby IT objęte atakiem i zastąpiliśmy je nowymi, dodatkowo zabezpieczonymi,
  • przeprowadziliśmy weryfikację kont użytkowników, aby upewnić się, że atakujący nie mają już dostępu do naszych baz danych,
  • wdrożyliśmy obowiązkowe uwierzytelnienie dwuskładnikowe (2FA),
  • przeprowadziliśmy migrację danych do nowej, w pełni zaszyfrowanej infrastruktury serwerowej.

O zaistniałym zdarzeniu zostały poinformowane właściwe organy: Policja (Centralne Biuro Zwalczania Cyberprzestępczości), CERT Polska oraz Prezes Urzędu Ochrony Danych Osobowych (PUODO).

Kontakt z Administratorem danych

W przypadku dodatkowych pytań jesteśmy do Pani/Pana dyspozycji. Na bieżąco monitorujemy sytuację i w przypadku nowych ustaleń będziemy je Państwu przekazywać.

Kontakt:
e-mail: biuro@bloomhotel.pl
Inspektor Ochrony Danych: Waldemar Jankowski, kontakt@noclegi-raszyn.pl

Z wyrazami szacunku,

Zarząd Bloom Hotel
Bloom Group Sp. z o.o.
ul. Środkowa 33, 05-090 Rybie
NIP: 5342645820 | KRS: 0000938912