Szanowni Państwo,
Digiprint sp. z o.o. oraz Digiprint PL sp. z o.o. sp.k. z siedzibą w Warszawie przy ul. Annopol 4A (03-236 Warszawa) jako administrator danych osobowych z przykrością informują w trybie art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) o możliwości naruszenia ochrony danych osobowych.
Niniejszy komunikat kierujemy do wiadomości opinii publicznej w celu zachowania najwyższych standardów transparentnej komunikacji oraz zapewnienia, że nasze firmy nie tylko zrealizowały wszelkie działania informacyjne wymagane prawem (zgłoszenie naruszenia do Prezesa Urzędu Ochrony Danych Osobowych, bieżąca otwarta współpraca z CERT Polska oraz z Centralnym Biurem Zwalczania Cyberprzestępczości), lecz także realizują obowiązek informacyjny bezpośrednio wobec osób, których dane mogły zostać objęte incydentem, do jakiego doszło w nocy z 21 na 22 kwietnia 2026 roku.
Zdajemy sobie sprawę, że taka sytuacja może być dla wspomnianych powyżej osób trudna oraz rodzić zaniepokojenie i potencjalne zagrożenia. Jednocześnie pragniemy zapewnić, że natychmiast po powzięciu informacji o możliwym naruszeniu ochrony danych osobowych podjęliśmy działania technologiczne i komunikacyjne mające na celu minimalizację negatywnych skutków zdarzenia, przeciwdziałanie naruszeniu oraz wzmocnienia ochrony administrowanych przez nas danych osobowych. Na bieżąco analizujemy sytuację oraz dokładamy wszelkich starań, aby incydent taki nie powtórzył się w przyszłości.
Mając powyższe na uwadze, pragniemy serdecznie przeprosić za wszelkie niedogodności spowodowane zaistniałą sytuacją. Bezpieczeństwo powierzonych nam danych było, jest i będzie dla nas zawsze najwyższym priorytetem. Podjęliśmy wszelkie możliwe działania mające na celu zwiększenie bezpieczeństwa osób, których dane osobowe mogły zostać narażone.
Poniżej przekazujemy najważniejsze informacje dotyczące incydentu w zakresie:
Opisu charakteru naruszenia ochrony danych osobowych (co się wydarzyło i jak do tego doszło?)
Zakresu podmiotowego i przedmiotowego narażonych danych osobowych (czyje i jakie dane mogły zostać objęte incydentem?)
Analizy zastosowanych przez nas środków zaradczych (co i dlaczego zrobiliśmy w związku z incydentem aby ograniczyć spowodowane nim szkody?)
Analizy możliwych konsekwencji dla osób, których dane osobowe mogły zostać narażone (jakie mogą być tego konsekwencje i jak można im przeciwdziałać?)
Prezentacji możliwych środków zaradczych (gdzie mogą uzyskać dodatkowe informacje na temat incydentu? co mogą zrobić aby zabezpieczyć swoje interesy?)
Opis charakteru naruszenia ochrony danych osobowych
Na czym polegało naruszenie? Mogło dojść do pobrania danych z zasobów sieciowych, do których miały dostęp osoby pracujące na serwerze pulpitów.
W jaki sposób cyberprzestępcy dostali się do danych? Do ataku zostało wykorzystane złośliwe oprogramowanie typu ransomware.
W jaki sposób działali cyberprzestępcy? Najprawdopodobniej po zainfekowaniu jednego z serwerów cyberprzestępcy przejęli część danych użytkowników oraz zaszyfrowali pozostałe serwery.
Kiedy wykryto podejrzaną aktywność? Zaszyfrowanie dysków oraz wyłączenie serwerów miało miejsce najprawdopodobniej po godzinie 23:00 w dniu 21 kwietnia 2026 roku, analizę nieprawidłowości i przeciwdziałanie im rozpoczęliśmy we wczesnych godzinach porannych w dniu 22 kwietnia 2026 roku.
Wedle najbardziej aktualnych ustaleń nie doszło do trwałego zablokowania dostępu do danych (wszystkie zostały odtworzone z backupów stworzonych na kilka chwil przed atakiem). W wyniku ataku doszło do zakłócenia funkcjonowania kluczowych dla naszych firm systemów (poczta elektroniczna, system ERP, strona internetowa), do których dostęp został już odblokowany.
Zakres podmiotowy i przedmiotowy narażonych danych osobowych
Wedle najbardziej aktualnych ustaleń szacujemy, że osoby nieuprawnione mogły uzyskać dostęp do około 48 GB danych.
Szacujemy, że w przeważającej większości mogły zostać narażone dane naszych klientów, partnerów i dostawców - w tym katalogu dominują dane dostępne również w publicznych rejestrach i bazach danych, jednakże nie jesteśmy w stanie na tym etapie wykluczyć, że osoby nieuprawnione uzyskały również dostęp do wąskiego katalogu danych osobowych.
Dodatkowo osoby nieuprawnione mogły uzyskać dostęp do danych osobowych byłych i obecnych pracowników naszych firm i wedle najbardziej aktualnych analiz tę grupę osób traktujemy jako najbardziej narażoną na ewentualne konsekwencje ataku. Według naszej najlepszej wiedzy jest to jedyny katalog danych, który mógł zawierać numery PESEL.
Analiza zastosowanych przez nas środków zaradczych
Niezwłocznie po wykryciu nieprawidłowości przystąpiliśmy do reinstalacji całego środowiska. Systemy nadal są instalowane, wprowadzane są nowe konta i hasła. Instalowane jest oprogramowanie antywirusowe z EDR, planowane jest wdrożenie systemu SOC.
Działając zgodnie z wymogami prawa oraz najlepszymi praktykami rynkowymi niezwłocznie powiadomiliśmy CERT i Centralne Biuro Zwalczania Cyberprzestępczości (22 kwietnia 2026 roku), katalog osób wytypowanych wstępnie jako szczególnie narażone na ewentualne konsekwencje ataku (23 kwietnia 2026 roku) oraz Prezesa Urzędu Ochrony Danych Osobowych (24 kwietnia 2026 roku).
Analiza możliwych konsekwencji dla osób, których dane mogły zostać narażone
W związku z charakterem incydentu oraz zakresem narażonych danych osobowych, które mogły zostać nim objęte, istnieje prawdopodobieństwo naruszenia praw i wolności osób, których dotyczą narażone dane. Istotą tego ryzyka jest możliwość nieuprawnionego wykorzystania narażonych danych osobowych, która w najgorszym wypadku może spowodować:
Utratę lub ograniczenie kontroli nad prywatnością (ujawnienie danych osobom nieuprawnionym i/lub ich dalsze publiczne rozpowszechnianie, brak wiedzy kto i w jakim celu wykorzystuje dane, naruszenie prywatności) - ocena stopnia ryzyka: średnie;
Kradzież tożsamości (wykorzystanie danych do działań niezgodnych z prawem, zakładanie profili internetowych lub rejestrowanie usług z użyciem danych, podszywanie się przy wykorzystaniu danych, przejęcie tożsamości) - ocena stopnia ryzyka: średnie;
Ryzyka finansowe i prawne (zaciąganie zobowiązań finansowych, zawieranie umów cywilnoprawnych, wyłudzenie korzyści majątkowych, wykorzystanie danych do celów gospodarczych) - ocena stopnia ryzyka: niewielkie;
Ryzyka związane z danymi zawodowymi (wykorzystanie informacji dotyczących zatrudnienia i wynagrodzenia, naruszenie reputacji lub dobrego imienia) - ocena stopnia ryzyka: niewielkie;
Ryzyka związane z usługami publicznymi (nieuprawnione wykorzystanie danych w systemach publicznych lub medycznych, uzyskanie informacji o stanie zdrowia) - ocena stopnia ryzyka: niewielkie;
Ryzyka operacyjne i długoterminowe (próby oszustw z wykorzystaniem danych, próby przejęcia dostępu do kont i profili, utrudnienia w korzystaniu z usług publicznych, otrzymywanie niezamówionych informacji, próby nieuprawnionego pozyskania dodatkowych informacji, dalsze wykorzystywanie danych przez osoby trzecie) - ocena stopnia ryzyka: niewielkie.
Prezentacja możliwych środków zaradczych dla osób, których dane osobowe mogły zostać narażone
W związku z wystąpieniem incydentu zalecamy daleko idącą ostrożność oraz wzmożoną czujność we wszystkich sprawach związanych z udostępnianiem oraz wykorzystaniem danych osobowych, a także rekomendujemy rozważenie podjęcia poniższych działań, które mogą pozwolić na ograniczenie potencjalnych negatywnych skutków incydentu:
Ochrona numeru PESEL (zastrzeżenie numeru PESEL w aplikacji mObywatel, monitorowanie historii zapytań o numer PESEL, monitorowanie aktywności kredytowej i uruchomienie alertów dotyczących wykorzystania numeru PESEL w systemach informacji kredytowej i gospodarczej),
Zabezpieczenie dostępu do kont i usług (zmiana haseł, włączenie uwierzytelnienia wieloskładnikowego, weryfikacja ewentualnego udostępnienia danych w portalu https://bezpiecznedane.gov.pl),
Ostrożność w kontaktach i komunikacji z osobami trzecimi (zachowanie czujności wobec podejrzanych prób kontaktu drogą elektroniczną,
Reagowanie na zagrożenia i nieprawidłowości (niepozostawianie bez reakcji podejrzanych zachowań komunikacyjnych, informowanie właściwych organów ścigania w przypadku podejrzenia wykorzystania danych, kontakt z właściwą instytucją w przypadku stwierdzenia podejrzanych działań z wykorzystaniem danych osobowych),
Możliwości prawne i formalne (prawo dochodzenia roszczeń na drodze cywilnej w przypadku naruszenia prywatności, możliwość składania skarg do organów administracji publicznej, np. Prezesa Urzędu Ochrony Danych Osobowych),
Inne środki ostrożności (zachowanie ostrożności przy publikowaniu informacji o sobie w Internecie, zachowanie szczególnej ostrożności w przypadku próby weryfikacji danych osobowych przez osoby trzecie).
Zwracamy się z uprzejmą prośbą o powiadomienie naszych firm w przypadku stwierdzenia wykorzystania danych osobowych narażonych w ramach wspomnianego incydentu przez osoby lub podmioty nieuprawnione, a także zgłoszenie tego faktu innym właściwym instytucjom. Do dyspozycji pozostaje nasz Inspektor Ochrony Danych Krzysztof Książek (Annopol 4A, 03-236 Warszawa, iod@digiprint.pl, +48 509 954 188).
Wszelkie dalsze komunikaty w sprawie incydentu oraz związanych z nim ustaleniami publikować będziemy na naszej stronie internetowej pod adresem https://www.digiprint.pl/rodo.
Raz jeszcze przepraszamy za jakiekolwiek niedogodności spowodowane zaistniałą sytuacją oraz zapewniamy, że dokładamy wszelkich starań, aby podobne zdarzenia nie wystąpiły w przyszłości.