Chopin Boutique

21.12.2025 r.

Na podstawie art. 34 ust. 3 lit. b, c, d RODO 1 z przykrością informujemy, że w okresie od dnia 8 grudnia do dnia 12 grudnia 2025 r. miało miejsce naruszenie ochrony danych osobowych gromadzonych w serwerach zewnętrznej firmy świadczącej na naszą rzecz usługi rezerwacyjne, których administratorem jest Jarosław Chołodecki – Chopin Boutique. Korzystamy, jako Chopin Boutique, z usług zewnętrznej, profesjinalnej firmy świadczczącej usługi rezerwacyjne (zgodnie z zawartą umową powierzenia przetwarzania danych osobowych). Podmiot ten świadczy tego typu usługi dla znacznej części branży hotelowej w Polsce i nie jesteśmy w tej sytuacji odosobnionym podmiotem. W dniu 12 grudnia 2025 r. zewnętrzny podmiot przetwarzający przekazał nam informację o możliwym ataku na ich serwery. Z przekazanych informacji wynikało, że możliwy był nieuprawniony dostęp do danych klientów. Z uzyskanych od naszego partnera informacji w wyniku tego zdarzenia doszło do nieuprawnionego ujawnienia danych osobowych obejmujących:  dane gości hotelowych (zawierające podane w rezerwacji: imię, nazwisko, adres email, numer telefonu) 2 ,  daty rezerwacji i kwoty rezerwacji,  dane do wystawioncyh dokumentów księgowych (faktury) takie jak nazwa firmy, adres numer NIP. W związku ze zidentyfikowanym naruszeniem i ryzkiem możliwości dalszego potencjalnego naruszania ochrony danych osobowych podjeliśmy wszystkie przepisane prawem czynności w tym, 12 grudnia 2025 r. zgłosilśmy incydent cyberbezpieczeństwa i poinformowaliśmy niezwłocznie Prezesowi Urzędu Ochrony Danych Osobowych. Pragniemy podkreślić, że za wyciek danych odpowiada w całości firma zewnętrzna posiadająca profesjonalne zasoby i środki do ochrony swoich serwerów i zgromadzonych tam danych. Dostawca przekazał nam, że natychmiast po stwierdzonym incydencie bezpieczeństwa uruchomił wewnętrzną procedurę reagowania na potencjalne naruszenia 1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 4.05.2016, str. 1, z późn. zm.). 2 W zależności od dokonanej rezerwacji – nie musi ona zawierać np. numeru telefonu. ochrony danych osobowych. O zaistniałym zdarzeniu został poinformowany Inspektor Ochrony Danych, a także podjęto niezbędne środki bezpieczeństwa w obszarze IT – całkowite wyłączenie zaatakowanego serwera i odseparowanie go od sieci publicznej, wymuszenie zmiany haseł dostępowych. Potencjalnymi konsekwencjami dla osób, których dane mogły zostać naruszone przedmiotowym zdarzeniem, może być nieuprawnione wykorzystanie danych osobowych w następujący sposób: a. możliwość umieszczenia danych osobowych w nielegalnych bazach danych oferowanych przez internet;  próby wyłudzenia usług (np. telekomunikacyjnych), ubezpieczeń lub zawarcia innych umów;  próby wyłudzenia danych osobowych lub środków finansowych poprzez podszywanie się pod zaufane instytucje (phishing: telefon, e-mail, SMS);  próby uzyskania nieuprawnionych informacji o sytuacji majątkowej lub podejmowanie prób uzyskania dostępu do kont i usług powiązanych z danymi kontaktowymi;  próby zakładania kont internetowych na cudze dane (np. w serwisach społecznościowych) lub wykorzystywanie ich do dalszych nadużyć;  próby wykorzystania danych w celu kradzieży tożsamości lub podszywania się (np. podanie cudzych danych jako własnych);  otrzymywanie niezamówionych informacji handlowych (spam, niechciane połączenia telefoniczne) w wyniku nieuprawnionego użycia danych kontaktowych;  próby zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych;  ryzyko wystąpienia ukierunkowanych ataków socjotechnicznych, oszustw. Zalecane działania ochronne Dla własnego bezpieczeństwa zalecamy podjęcie kroków prewencyjnych: 1. Wzmożona ostrożność: Prosimy o szczególną czujność wobec podejrzanych wiadomości e-mail, SMS lub telefonów, w których nadawcy proszą o podanie dodatkowych danych lub wykonanie przelewów. 2. Weryfikacja bezpieczeństwa danych: Zachęcamy do korzystania z rządowego serwisu https://bezpiecznedane.gov.pl (aktywny link: Bezpieczne dane), stworzonego przez Ministerstwo Cyfryzacji i NASK. Narzędzie to pozwala sprawdzić, czy Państwa dane znalazły się w jakimkolwiek ujawnionym w sieci wycieku, co pomaga zachować kontrolę nad cyfrowym bezpieczeństwem. 3. W przypadku stwierdzenia tzw. ‘kradzieży tożsamości’ (tj. wykorzystania danych przez osobę nieuprawnioną np. poprzez „podszycie się”), zalecamy zgłoszenie faktu naruszenia ochrony danych właściwym organom ścigania w celu zapobieżeniu przestępczego działania; 4. Informujemy o możliwości skorzystania ze środków ochrony dóbr osobistych, wskazanych w przepisach zarówno Kodeksu cywilnego, jak i Kodeksu postępowania cywilnego, w szczególności środki ochrony z art. 24 kc oraz 730 kpc. Ewentualne pytania dotyczące zdarzenia w zakresie danych osobowych można kierować do Marleny Paszkiewicz, pod adresem e-mail: info@bbwarsaw.com za pod nr telefonu tel: +48228294801 lub listownie na adres siedziby: ul. Smolna 14, 00-375 Warszawa. Chcemy podkreślić, że do incydentu doszło w sposób zupełnie od nas niezależny. Od chwili w której zostaliśmy poinformowani o zdarzeniu dokładamy wszelkich starań, aby zapewnić bezpieczeństwo danych osobowych w ramach realizowanych procesów przetwarzania u naszego partnera. Jednocześnie wyrażamy głębokie ubolewanie z powodu zaistniałej sytuacji i przepraszamy za wszelkie niedogodności. Jarosław Chołodecki – Chopin Boutique NOTICE OF A PERSONAL DATA BREACH 21 December 2025 Pursuant to Article 34(3)(b), (c), and (d) of the GDPR, we regret to inform you that between 8 December and 12 December 2025, a personal data breach occurred involving data stored on the servers of an external company providing booking/reservation services to us. The controller of this data is Jarosław Chołodecki – Chopin Boutique. As Chopin Boutique, we use the services of an external professional provider of reservation/booking services (under a concluded personal data processing agreement). This provider delivers such services to a significant part of the hotel industry in Poland, and we are not the only entity affected. On 12 December 2025, the external processor informed us of a possible attack on its servers. According to the information received, unauthorised access to customer data may have occurred. Based on the information obtained from our partner, the incident resulted in the unauthorised disclosure of personal data, including:  hotel guests’ data provided in the reservation: first name, last name, e- mail address, telephone number;  reservation dates and reservation amounts;  data used for issuing accounting documents (invoices), such as: company name, address, VAT number (NIP). In connection with the identified breach and the risk of further potential infringements of personal data protection, we carried out all legally required actions, including reporting the cybersecurity incident on 12 December 2025 and immediately notifying the President of the Personal Data Protection Office (UODO). We would like to emphasise that responsibility for the data leak lies entirely with the external company, which has professional resources and measures to protect its servers and the data stored there. The provider informed us that immediately after identifying the security incident, it launched its internal procedure for responding to potential personal data breaches. The Data Protection Officer was informed, and the necessary IT security measures were taken, including a complete shutdown of the attacked server, its isolation from the public network, and the enforcement of password changes. Potential consequences for individuals whose data may have been affected by this incident may include unauthorised use of personal data in the following ways:  inclusion of personal data in illegal databases offered online;  attempts to fraudulently obtain services (e.g., telecommunications), insurance, or to conclude other contracts;  attempts to obtain personal data or money by impersonating trusted institutions (phishing via phone, e-mail, SMS);  attempts to obtain unauthorised information about financial circumstances or to access accounts and services linked to contact details;  attempts to create online accounts using someone else’s data (e.g., on social media) or using such accounts for further abuse;  attempts to use data for identity theft or impersonation (e.g., providing another person’s data as one’s own);  receiving unsolicited commercial communications (spam, unwanted phone calls) due to unauthorised use of contact details;  attempts to register a pre-paid SIM card, which may be used for criminal purposes;  risk of targeted social engineering attacks and fraud. Recommended protective measures For your own safety, we recommend taking the following preventive steps: 1. Increased vigilance: Please be especially cautious about suspicious e- mails, SMS messages, or phone calls where the sender requests additional data or asks you to make transfers/payments. 2. Verify your data security: We encourage you to use the government service https://bezpiecznedane.gov.pl (“Bezpieczne dane”), created by the Ministry of Digital Affairs and NASK. The tool allows you to check whether your data appears in any data leaks disclosed online, helping you maintain control over your digital security. 3. If you detect so-called “identity theft” (i.e., the use of your data by an unauthorised person, e.g., by impersonation), we recommend reporting the personal data breach to the relevant law enforcement authorities to prevent criminal activity. 4. We inform you that you may use measures to protect personal rights under the provisions of both the Civil Code and the Code of Civil Procedure, in particular the remedies provided for in Article 24 of the Civil Code and Article 730 of the Polish Code of Civil Procedure. Any questions regarding this incident in the scope of personal data may be addressed to Marlena Paszkiewicz by e-mail at info@bbwarsaw.com, by phone at +48 22 829 48 01, or by post to our registered office address: ul. Smolna 14, 00-375 Warsaw, Poland. We want to emphasise that the incident occurred entirely beyond our control. From the moment we were informed, we have been making every effort to ensure the security of personal data within the processing carried out by our partner. At the same time, we express our deep regret for the situation and apologise for any inconvenience caused. Jarosław Chołodecki – Chopin Boutique