Aktualności firmowe

Ważny komunikat Zarządu PUH „CHEMIROL“ sp. z o.o. dotyczący naruszenia bezpieczeństwa danych osobowych

Mogilno, 18 grudnia 2025 r.

Zarząd spółki Przedsiębiorstwo Usługowo-Handlowe „CHEMIROL“ sp. z o.o. z siedzibą w Mogilnie, ul. Przemysłowa 3, 88-300 Mogilno[1], (dalej: Spółka), na podstawie art. 34 w zw. z art. 33 ust. 3 lit. b, c i d rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO)[2], informuje, że w dniu 26 listopada 2025 r. Spółka stwierdziła wystąpienie ataku cybernetycznego na swoją infrastrukturę informatyczną.

Analiza ataku przeprowadzona z udziałem zewnętrznych ekspertów wykazała, że w jego wyniku doszło do nieuprawnionego dostępu do danych osobowych obecnych i byłych Klientów, Kontrahentów, Pracowników i Współpracowników Spółki. Doszło również do nieuprawnionego pobrania danych z serwerów. Analiza przeprowadzona przez Spółkę prowadzi do wniosku, iż atak mógł dotyczyć również danych wyżej wymienionych kategorii osób. Z uwagi na fakt, że nie posiadamy aktualnych danych kontaktowych do wszystkich osób, których ten atak może dotyczyć, niniejszym komunikatem publicznym wypełniamy obowiązek informacyjny wynikający z art. 34 RODO.

Jakie dane są zagrożone?

Naruszenie poufności może dotyczyć następujących kategorii danych:

  • imię i nazwisko,
  • adres zamieszkania,
  • numer PESEL,
  • data urodzenia,
  • numer telefonu,
  • adres e-mail,
  • numer rachunku bankowego,
  • dane dotyczące zarobków,
  • imiona rodziców,
  • nazwisko rodowe matki,
  • seria i numer dowodu osobistego,
  • nazwa użytkownika.

Działając z najwyższą starannością, informujemy o możliwie najszerszym zakresie kategorii danych osobowych, które mogły zostać objęte naruszeniem. Jednocześnie informujemy, że w odniesieniu do konkretnych osób zakres ich danych osobowych, który mógł ulec naruszeniu, może być mniejszy.

Podjęte działania

Niezwłocznie po wykryciu zagrożenia podjęliśmy działania mające na celu zabezpieczenie systemów i zablokowanie ataku. O incydencie powiadomiliśmy Prezesa Urzędu Ochrony Danych Osobowych oraz właściwe organy ścigania. Wdrożyliśmy również dodatkowe procedury bezpieczeństwa, aby zapobiec podobnym zdarzeniom w przyszłości.

Możliwe konsekwencje dla osób, których dane dotyczą

Zgodnie z wymogami prawa, informujemy o potencjalnych ryzykach związanych z wyciekiem tego typu danych. Istnieje możliwość, że osoby nieuprawnione będą próbowały wykorzystać te dane do celów przestępczych lub innych nieuprawnionych działań, między innymi takich jak:

  • próby uzyskania kredytów lub pożyczek;
  • próby wyłudzenia usług (np. telekomunikacyjnych), ubezpieczeń lub zawarcia innych umów;
  • możliwość uzyskania dostępu do świadczeń opieki zdrowotnej (np. rejestracja na podstawie PESEL);
  • możliwość korzystania z praw obywatelskich w imieniu osoby poszkodowanej (np. głosowanie w budżecie obywatelskim);
  • próby wyłudzenia danych osobowych lub środków finansowych poprzez podszywanie się pod zaufane instytucje (phishing: telefon, e-mail, SMS);
  • próby uzyskania nieuprawnionych informacji o sytuacji majątkowej lub podejmowanie prób uzyskania dostępu do kont i usług powiązanych z danymi kontaktowymi;
  • próby zakładania kont internetowych na cudze dane (np. w serwisach społecznościowych) lub wykorzystywanie ich do dalszych nadużyć;
  • próby wykorzystania danych w celu kradzieży tożsamości lub podszywania się (np. podanie cudzych danych jako własnych);
  • otrzymywanie niezamówionych informacji handlowych (spam, niechciane połączenia telefoniczne) w wyniku nieuprawnionego użycia danych kontaktowych;
  • próby zarejestrowania przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych;
  • ryzyko uzyskania dostępu do świadczeń w ZUS, KRUS lub NFZ;
  • ryzyko wystąpienia ukierunkowanych ataków socjotechnicznych, oszustw metodą “na wnuczka” czy “na policjanta”.

Zalecane działania ochronne

Dla własnego bezpieczeństwa zalecamy podjęcie kroków prewencyjnych:

  1. Zastrzeżenie numeru PESEL: Jest to najskuteczniejsza metoda ochrony przed wyłudzeniem kredytu. Można to zrobić bezpłatnie i natychmiastowo w rządowej aplikacji mObywatel, na stronie mobywatel.gov.pl lub w dowolnym urzędzie gminy (szczegółowe informacje o sposobie zastrzeżenia numeru PESEL dostępne są na stronie internetowej: https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie)
  2. Monitorowanie aktywności kredytowej: Warto skorzystać z usług biur informacji gospodarczej (np. Alerty BIK), aby otrzymywać powiadomienia o próbach użycia danych. (np. https://www.bik.pl/klienci-indywidualni)
  3. Wzmożona ostrożność: Prosimy o szczególną czujność wobec podejrzanych wiadomości e-mail, SMS lub telefonów, w których nadawcy proszą o podanie dodatkowych danych lub wykonanie przelewów.
  4. Weryfikacja bezpieczeństwa danych: Zachęcamy do korzystania z rządowego serwisu https://bezpiecznedane.gov.pl (aktywny link: Bezpieczne dane), stworzonego przez Ministerstwo Cyfryzacji i NASK. Narzędzie to pozwala sprawdzić, czy Państwa dane znalazły się w jakimkolwiek ujawnionym w sieci wycieku, co pomaga zachować kontrolę nad cyfrowym bezpieczeństwem.
  5. W przypadku stwierdzenia tzw. ‘kradzieży tożsamości’ (tj. wykorzystania danych przez osobę nieuprawnioną np. poprzez „podszycie się”), zalecamy niezwłoczne zgłoszenie tego faktu właściwym organom – Policji lub Prokuraturze w celu zapobieżenia przestępczym działaniom.
  6. Informujemy o możliwości skorzystania ze środków ochrony dóbr osobistych, wskazanych w przepisach zarówno Kodeksu cywilnego, jak i Kodeksu postępowania cywilnego, w szczególności środki ochrony z art. 24 kc oraz 730 kpc.

Jeśli mają Państwo jakiekolwiek pytania dotyczące ataku, uprzejmie prosimy o kontakt z dedykowaną Infolinią pod numerem telefonu: 723 683 302.

Spółka wyznaczyła Inspektora Ochrony Danych, w związku z powyższym w razie pytań lub jeśli chcą Państwo przekazać dodatkowe informacje związane z naruszeniem, możliwym jest również kontakt z IOD – p. Patrykiem Jabłońskim:

elektronicznie – na adres e-mail: iod@chemirol.com

lub pocztą tradycyjną na adres:
PUH Chemirol, Inspektor Ochrony Danych,
ul. Przemysłowa 3,
88-300 Mogilno.

Wyrażamy głębokie ubolewanie z powodu zaistniałej sytuacji i przepraszamy za wszelkie niedogodności oraz stres, jaki może ona wywołać.

 

[1] Spółka wpisana do rejestru przedsiębiorców krajowego rejestru sądowego przez Sąd Rejonowy w Bydgoszczy – XIII Wydział KRS pod numerem 39784, posiadająca numer NIP 5571589655, o kapitale zakładowym w wysokości 9.500.000 zł w całości wpłaconym.

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO)

 

Zarząd Przedsiębiorstwa Usługowo-Handlowego „CHEMIROL“ sp. z o.o.

Najczęściej zadawane pytania

Co się stało?

W dniu 26 listopada 2025 r. stwierdziliśmy atak cybernetyczny na naszą infrastrukturę IT, który mógł skutkować nieuprawnionym dostępem do danych osobowych oraz ich pobraniem z naszych serwerów.

Dlaczego informujecie mnie dopiero teraz?

Informujemy, ponieważ mamy obowiązek przekazać taką informację osobom, których dane mogły zostać objęte incydentem, a nie zawsze dysponujemy aktualnymi danymi kontaktowymi pozwalającymi dotrzeć do każdej osoby indywidualnie. Do czasu zakończenia analizy nie mieliśmy rzetelnych informacji o skali i skutkach ataku.

Czy ten incydent może dotyczyć również mnie?

Może dotyczyć m.in. obecnych i byłych Klientów, Kontrahentów, Pracowników oraz Współpracowników. Jeśli jest Pan/Pani w jednej z tych grup, ryzyko może Pana/Pani dotyczyć.

Czy macie pewność, że moje dane wyciekły?

Nie w każdym przypadku możemy to potwierdzić indywidualnie. Wiemy, że doszło do nieuprawnionego dostępu i pobrania danych, natomiast incydent mógł dotyczyć danych różnych osób w różnym zakresie.

Jakie moje dane mogły zostać objęte incydentem?

Potencjalnie mogły to być m.in.: imię i nazwisko, adres, PESEL, data urodzenia, numer telefonu, adres e-mail, numer rachunku bankowego, dane o zarobkach, imiona rodziców, nazwisko rodowe matki, seria i numer dowodu osobistego oraz nazwa użytkownika.

Czy na pewno chodzi o pełny zakres tych danych w moim przypadku?

Nie mamy takiej wiedzy. Podaliśmy możliwie szeroki katalog kategorii danych, natomiast w odniesieniu do konkretnej osoby zakres mógł być węższy.

Co realnie grozi mi w związku z takim incydentem?

W praktyce ryzyka obejmują m.in. próby wyłudzeń (kredyty/pożyczki, usługi, ubezpieczenia), podszywanie się pod Pana/Panią w kontaktach (telefon/SMS/e-mail), zakładanie kont na cudze dane oraz ukierunkowane oszustwa socjotechniczne.

Jakie działania podjęliście po wykryciu ataku?

Zabezpieczyliśmy systemy i podjęliśmy działania mające na celu zablokowanie ataku, zgłosiliśmy sprawę do Prezesa UODO oraz do właściwych organów ścigania, a także wdrożyliśmy dodatkowe procedury zwiększające bezpieczeństwo na przyszłość. Wydaliśmy także oficjalny publiczny komunikat który szczegółowo opisuje jakie działania może Pan/Pani podjąć, aby chronić swoje dane.

Co powinienem/powinnam zrobić teraz, żeby ograniczyć ryzyko?

Rekomendujemy przede wszystkim zastrzeżenie numeru PESEL oraz zachowanie wzmożonej ostrożności wobec nietypowych próśb o dane, kody, potwierdzenia lub przelewy.

Jak mogę zastrzec PESEL?

Może Pan/Pani zrobić to nieodpłatnie i od ręki m.in. w aplikacji mObywatel, przez serwis mobywatel.gov.pl lub w urzędzie gminy (dostępna jest także instrukcja na gov.pl).

Czy warto włączyć alerty/monitoring pod kątem prób wyłudzeń?

Tak. Warto rozważyć monitorowanie aktywności kredytowej, np. poprzez alerty w usługach biur informacji gospodarczej (przykładem jest Alert BIK).

Czy mogę sprawdzić, czy moje dane pojawiły się w znanych wyciekach?

Może Pan/Pani skorzystać z narzędzia bezpiecznedane.gov.pl (aktywny link: Bezpieczne dane), które służy do bezpłatnego sprawdzenia, czy dane znalazły się w ujawnionych wyciekach.

Co mam zrobić, jeśli podejrzewam kradzież tożsamości albo wykorzystanie moich danych?

Rekomendujemy niezwłoczne zgłoszenie sprawy odpowiednim organom – Policji lub Prokuraturze – aby umożliwić podjęcie działań w związku z potencjalnym przestępstwem.

Gdzie mogę uzyskać dodatkowe informacje i wsparcie?

Uruchomiliśmy dedykowaną infolinię pod numerem: 723 683 302.

Czy mogę skontaktować się z Inspektorem Ochrony Danych?

Tak. Może Pan/Pani skontaktować się z naszym Inspektorem Ochrony Danych pod adresem e-mail: iod@chemirol.com lub korespondencyjnie na adres: PUH Chemirol Sp. z o.o. ul. Przemysłowa 3, 88-300 Mogilno.

Czy mogę podjąć kroki prawne w związku z naruszeniem?

Tak, w przypadku nieuprawnionego wykorzystania Twoich danych możesz skorzystać ze środków ochrony przewidzianych w przepisach, w tym z ochrony dóbr osobistych (wskazywane są m.in. art. 24 k.c. oraz art. 730 k.p.c.).

Zobacz też

Ze środków ochrony roślin należy korzystać z zachowaniem bezpieczeństwa. Przed każdym użyciem przeczytaj informacje zamieszczone w etykiecie i informacje dotyczące produktu. Zwróć uwagę na zwroty wskazujące rodzaj zagrożenia oraz przestrzegaj środków bezpieczeństwa zamieszczonych w etykiecie.