Naruszenie ochrony danych osobowych 16.04.2026 r.

Szanowni Państwo,

Baker Tilly Gajda Legal spółka komandytowa  zs. w Poznaniu, ul. Młyńska 12, 61-730 Poznań (Administrator), w trybie art. 34 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO) z przykrością informuje o naruszeniu ochrony danych osobowych.

Zawiadomienie kierujemy do wspólników spółek oraz członków organów tych spółek, a także pracowników i byłych pracowników zatrudnionych u klientów Baker Tilly Gajda Legal sp.k. 

W dniu 16 kwietnia 2026 r. doszło do ataku na infrastrukturę informatyczną spółki. Atak, którego padliśmy ofiarą, to atak typu phishing (osoba nieuprawniona zalogowała się do systemu przy użyciu prawidłowych danych dostępowych (loginu i hasła), które zostały wcześniej przejęte w wyniku działania złośliwego oprogramowania na urządzeniu użytkownika. 

W tym samym dniu, niezwłocznie po wykryciu incydentu natychmiast podjęliśmy działania, aby zatrzymać nieuprawniony dostęp, zabezpieczyć systemy i ograniczyć skutki zdarzenia: dokonaliśmy zablokowania konta użytkownika, zmieniliśmy hasła do konta, wykonaliśmy skanowanie antywirusowe oraz przegląd komputera i aplikacji, usunęliśmy wgrany plik. 

W wyniku przeprowadzonej analizy nie stwierdzono zawirusowania pliku. Plik przekierowywał na zewnętrzną witrynę, na której użytkownicy byli proszeni o podanie swoich danych logowania.

W trakcie incydentu mogło dojść do naruszenia poufności - nieuprawnionego dostępu do danych osobowych. Analiza logów wykazała, że nieuprawniony podmiot miał dostęp do części zawartości skrzynki e-mail jednego użytkownika. 

Nie mamy dowodu, aby należące do nas informacje, w tym dane osobowe poza ww., zostały ujawnione osobom nieuprawnionym, niemniej analiza naruszenia wykazała, że poprzez nieautoryzowane logowanie w dniu 16 kwietnia 2026 r. hakerzy mogli potencjalnie uzyskać dostęp do zasobów:

1) zawierającego dane  wspólników i członków organów spółek (naszych klientów i ich kontrahentów) – w zakresie:

-  imienia, nazwiska,

- numeru PESEL lub daty urodzenia, 

- funkcji w organie, 

- danych dotyczących wysokości wkładów wspólników w spółkach

- danych adresowych

- danych dotyczących numeru dokumentu tożsamości

2) zawierającego dane obecnych lub byłych pracowników  naszych klientów - w zakresie:

- imienia, nazwiska

- numeru PESEL

- danych kontaktowych

- danych dotyczących stosunku pracy

- danych finansowych

O zdarzeniu bezzwłocznie poinformowaliśmy Prezesa Urzędu Ochrony Danych Osobowych oraz CERT.

Z uwagi na charakter incydentu oraz zakres danych, które mogły zostać nim objęte, istnieje wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą. W szczególności ryzyko to wynika z możliwości nieuprawnionego wykorzystania danych identyfikacyjnych (imię i nazwisko, numer PESEL, funkcja w organie/zajmowane stanowisko) oraz danych finansowych (danych dotyczących wysokości wkładów wspólników w spółkach/dane dotyczące wynagrodzenia). 

Potencjalne negatywne konsekwencje mogą obejmować:

• utratę kontroli nad danymi, w tym kradzież tożsamości osoby, podszywanie się przy wykorzystaniu danych identyfikacyjnych (np. imię i nazwisko, PESEL),
• oszustwa lub inne czyny niedozwolone z wykorzystaniem danych osoby, 
• zaciąganie zobowiązań finansowych bez Państwa wiedzy (kredyty, pożyczki, zakupy ratalne np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości) lub otwieranie rachunków rozliczeniowych przeznaczonych do wykorzystania w działalności przestępczej,
• zawieranie bez Państwa wiedzy umów cywilnoprawnych (np. usługi telekomunikacyjne, abonamenty),
• uzyskanie dostępu do informacji o osobie, w tym informacji o sytuacji finansowej, o stanie zdrowia (np. w systemach rejestracji pacjenta lub bazach NFZ)
• wyłudzenia świadczeń (np. finansowych, socjalnych), odszkodowań lub innych korzyści majątkowych,
• wykorzystanie danych do ukrycia przez osoby trzecie swojej tożsamości, np. przy otrzymywaniu mandatu. 
• próby przejęcia dostępu do kont lub nieuprawnione wykorzystanie danych w systemach publicznych  (urzędowych, sądowych), finansowych (bankowych) lub medycznych (np. z użyciem numeru PESEL),

W celu zapobieżenia podobnym sytuacjom przeprowadzimy dodatkowe szkolenia przypominające dot. bezpiecznej pracy i zagrożeń oraz dokończymy rozpoczęte wdrożenie MDM (mobile device management).

Do chwili obecnej nie otrzymaliśmy żadnych sygnałów, że dotyczące Państwa dane osobowe zostały gdzieś upublicznione lub są wykorzystywane przez niepowołane osoby. 

Prosimy jednak o  zachowanie szczególnej czujności oraz podjęcie któregoś (lub nawet kilku) z poniższych działań, ponieważ mogą one znacząco zredukować ryzyko nieuprawnionego wykorzystania Państwa danych osobowych:  

• zachowanie ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem internetu czy telefonu, aby uniknąć np. ataku phishingowego, którego celem może być wyłudzenie dodatkowych danych czy uzyskanie danych dostępowych do internetowych systemów bankowych bądź innych usług, z których Państwo korzystacie, 
• zastrzeżenie numeru PESEL – to jedno z najskuteczniejszych zabezpieczeń przed wykorzystaniem danych do zaciągania zobowiązań (np. kredytów, pożyczek); można to zrobić online (https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie), w aplikacji mObywatel lub w urzędzie,
• sprawdzenie historii zapytań dotyczących numeru PESEL - kto i kiedy go weryfikował (https://www.gov.pl/web/gov/sprawdz-kto-weryfikowal-czy-masz-zastrzezony-numer-pesel).
• Sprawdzenie, czy dane nie zostały udostępnione w Internecie na stronie https://bezpiecznedane.gov.pl.
• monitorowanie aktywności kredytowej poprzez założenie konta w dostępnych na rynku systemach informacji kredytowej lub gospodarczej w celu dodatkowego zabezpieczenia swoich danych przed nieuprawnionym wykorzystaniem (np. BIK, BIG - https://www.bik.pl/dla-ciebie/historia-kredytowa/raport-bik, KRD - https://konsument.krd.pl/#_ga=2.142247538.1961809930.1776976595-715450797.1776976595&_gac=1.15853186.1776976595.EAIaIQobChMIo6P00umElAMVe1RBAh3DlSbYEAAYASAAEgImc_D_BwE,    ERIF - https://erif.pl/konsumenci/sprawdz-siebie/)  oraz włączenie alertów o próbach wykorzystania danych,
• podawanie wyłącznie minimalnego zakresu danych niezbędnego do załatwienia danej sprawy 
• w przypadku zauważenia podejrzanych działań (np. próby zaciągnięcia zobowiązania, nieznane logowania, nieautoryzowane umowy) — niezwłoczny kontakt z właściwą instytucją (np. bankiem),
• w przypadku stwierdzenia lub podejrzenia popełnienia przestępstwa z użyciem Państwa danych - zgłoszenie sprawy organom ścigania 
• zgłoszenie faktu naruszenia danych właściwym organom w celu zapobieżenia tzw. kradzieży tożsamości, np.: https://www.gov.pl/web/gov/zglos-nieuprawnione-wykorzystanie-swoich-danych-osobowych-kradziez-tozsamosci--uniewaznij-dowod

Jeżeli dowiedzą się Państwo o wykorzystaniu Państwa danych przez osobę nieuprawnioną lub zauważą jakiekolwiek niepokojące sygnały, prosimy o przekazanie nam tej informacji oraz podjęcie odpowiednich działań. 

Jeżeli mają Państwo pytania dotyczące zdarzenia lub chcą uzyskać dodatkowe informacje w zakresie ochrony danych osobowych, prosimy o kontakt z Inspektorem Ochrony Danych TPA sp. z o.o. sp.k.:

Martyna Lipke – Gawronek
Inspektor Ochrony Danych 
Baker Tilly Gajda Legal Sp.k.
Ul. Młyńska 12, Poznań
e-mail: iodo@tpa-group.pl 

Dokładamy wszelkich starań, aby podobne zdarzenia nie miały miejsca w przyszłości. 

Przepraszamy za wszelkie niedogodności, jakie mogły powstać w związku z zaistniałą sytuacją. Zapewniamy, że przykładamy najwyższą wagę do bezpieczeństwa Państwa danych i podejmujemy wszelkie możliwe działania, aby skutecznie chronić je w przyszłości.

Z wyrazami szacunku 

Grzegorz Gajda

Baker Tilly Gajda Legal sp.k.