Aktualizacja z dnia 9 marca 2021 roku.
Szanowni Państwo,
Informujemy, że w celu doprecyzowania informacji o zakresie wycieku danych osobowych, klub Total Fitness w dniu dzisiejszym, przeprowadził wysyłkę wiadomości email, mających na celu uszczegółowienie tego zakresu. Wiadomości otrzymały wyłącznie osoby, w przypadku których doszło do ujawnienia danych takich jak numer PESEL, 4 cyfry numeru karty płatniczej, adres zamieszkania lub data urodzenia.
Jeżeli nie otrzymali Państwo w dniu dzisiejszym (9.03.2021) wiadomości email o tytule „Wyciek danych osobowych Total Fitness – doprecyzowanie zakresu”, oznacza to że w Państwa przypadku doszło do wycieku danych osobowych w zakresie:
1. Imię
2. Nazwisko
3. Numer telefonu
4. Adres email
5. Data ważności karnetu
6. Nazwa karnetu
7. Data podpisania umowy z klubem
W celu uzyskania aktualnych informacji, prosimy o śledzenie komunikatów na stronie.
———————————————————————————————————–
Aktualizacja z dnia 2 marca 2021 roku.
Informujemy, że skala ujawnionych danych jest znacznie mniejsza, niż pierwotnie zakładaliśmy. W wyniku ustalenia znacznego ograniczenia skali naruszenia bezpieczeństwa ochrony danych osobowych, pragniemy Państwa poinformować co następujące:
Administrator Danych Osobowych, spółka Nordic Investment sp. z o.o., operator sieci klubów Total Fitness z siedzibą przy Al. Bohaterów Września 9, 02-389 Warszawa, informuje o naruszeniu ochrony Pani/Pana danych osobowych, w związku z naruszeniem, ujawnionym w dniu 26 lutego 2021 roku.
Naruszenie ochrony danych osobowych nastąpiło na skutek nieuprawnionego naruszenia zasad dostępu do systemu informatycznego.
W trakcie analizy ustalono, że nieautoryzowany dostęp do danych miał miejsce w dniach 16.02.2021 do 26.02.2021, po czym został on ujawniony i zablokowany.
W związku z powyższym, może nastąpić nieuprawnione wykorzystanie danych osobowych, osób będących aktualnymi lub byłymi klientami sieci klubów Total Fitness.
Doszło do ujawnienia następujących danych osobowych:
1) imię
2) nazwisko
3) numer telefonu
4) adres zamieszkania (w przypadku 6 osób)
5) adres e-mail
6) data urodzenia (w przypadku 6 osób)
7) numer PESEL (w przypadku 6 osób)
8) płeć (w przypadku 6 osób)
9) data ważności karnetu od, do
10) nazwa karnetu
11) data podpisania umowy z klubem
12) 4 ostatnie cyfry karty płatniczej oraz termin jej ważności (w przypadku 97 osób)
Osoby, w których przypadku doszło do ujawnienia 4 ostatnich cyfr ważności karty płatniczej oraz daty jej ważności, zostały poinformowane o tym fakcie osobnym specjalnym komunikatem. Jeżeli nie otrzymali Państwo takiej informacji, oznacza to, że wyciek w Państwa przypadku nie obejmuje danych karty płatniczej.
Informujemy również, że nie doszło do wycieku danych biometrycznych.
Skutki ujawnienia danych osobowych, mogą Państwo zminimalizować m.in. poprzez:
1) niepodawanie danych kart płatniczych i kredytowych przez telefon komórkowy -zwłaszcza numeru karty i 3-cyfrowego kodu CVC znajdującego się na odwrocie karty;
2) zachowanie czujności w przypadku rozmowy z osobą z nieznanego numeru telefonu lub adresu e-mail, zwłaszcza w przypadku gdy są Państwo proszeni o podanie danych „weryfikacyjnych”;
3) monitorowanie BIK (https://www.bik.pl/klienci-indywidualni);
4) zastrzeżenie karty płatniczej w banku, w przypadku gdy doszło do telefonicznego wyłudzenia danych karty.
Możliwymi konsekwencjami naruszenia ochrony danych osobowych jest nieuprawnione wykorzystanie danych osobowych m.in. w celu:
1) uzyskania dostępu do świadczeń opieki zdrowotnej, posługując się numerem PESEL przy rejestracji;
2) wyłudzenia ubezpieczenia lub środków z ubezpieczenia co może spowodować negatywne konsekwencje w postaci problemów związanych z próbą przypisania odpowiedzialności za dokonanie takiego czynu;
3) rejestracji kart telefonicznych typu pre-paid;
4) zawarcia umów na zakup usług np. Internetu czy telefonu komórkowego;
5) korzystania z praw obywatelskich osób, których dane naruszono, np. do głosowania nad środkami budżetu obywatelskiego.
Administrator Danych Osobowych dokonał zgłoszenia incydentu do odpowiednich służb, w tym Policji i Urzędu Ochrony Danych Osobowych. W celu natychmiastowego zatrzymania eskalacji ujawnienia, Administrator dokonał odpowiednich blokad dostępu do systemu, w którym przetwarzane były Państwa dane osobowe oraz zabezpieczył materiały dowodowe.
W celu uniknięcia podobnych naruszeń danych w najbliższym czasie, Administrator wprowadzi m.in. dodatkowe metody kontroli dostępu do systemów służących przetwarzaniu danych osobowych oraz dodatkowe sposoby uwierzytelniania i ograniczenia dostępu.
Jednocześnie przepraszamy Państwa za niedogodności, z jakimi mogą spotkać się Państwo w związku z przedmiotową sytuacją.
——————————————————-
Administrator Danych Osobowych, spółka Nordic Investment sp. z o.o., operator sieci klubów Total Fitness z siedzibą przy Al. Bohaterów Września 9, 02-389 Warszawa, informuje o naruszeniu ochrony Pani/Pana danych osobowych, w związku z naruszeniem, do którego doszło w dniu 26 lutego 2021 roku.
W związku z powyższym, może nastąpić nieuprawnione wykorzystanie danych osobowych, osób będących aktualnymi lub byłymi klientami sieci klubów Total Fitness. Doszło do ujawnienia następujących danych osobowych: imię i nazwisko, numer telefonu, adres zamieszkania, adres e-mail, data urodzenia, numer PESEL, płeć, numer karty członkowskiej, 4 ostatnie cyfry karty płatniczej oraz termin jej ważności.
Osoby, w których przypadku doszło do ujawnienia 4 ostatnich cyfr ważności karty płatniczej oraz daty jej ważności, zostały poinformowane o tym fakcie indywidualnie. Jeżeli nie otrzymali Państwo takiej informacji, oznacza to, że wyciek w Państwa przypadku nie obejmuje danych karty płatniczej.
Informujemy również, że nie doszło do wycieku danych biometrycznych.
Możliwymi konsekwencjami naruszenia ochrony danych osobowych jest nieuprawnione wykorzystanie danych osobowych m.in. w celu:
• próby uzyskania przez osoby trzecie kredytów w instytucjach bankowych i poza bankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy sposób;
• uzyskania dostępu do świadczeń opieki zdrowotnej, posługując się numerem PESEL przy rejestracji;
• wyłudzenia ubezpieczenia lub środków z ubezpieczenia co może spowodować negatywne konsekwencje w postaci problemów związanych z próbą przypisania odpowiedzialności za dokonanie takiego czynu;
• rejestracji kart telefonicznych typu pre-paid;
• zawarcia umów na zakup usług np. Internetu czy telefonu komórkowego;
• korzystania z praw obywatelskich osób, których dane naruszono, np. do głosowania nad środkami budżetu obywatelskiego.
Skutki ujawnienia danych osobowych, mogą Państwo zminimalizować m.in. poprzez:
• niepodawanie danych kart płatniczych i kredytowych przez telefon komórkowy -zwłaszcza numeru karty i 3-cyfrowego kodu CVC znajdującego się na odwrocie karty;
• zachowanie czujności w przypadku rozmowy z osobą z nieznanego numeru telefonu lub adresu e-mail, zwłaszcza w przypadku gdy są Państwo proszeni o podanie danych „weryfikacyjnych”;
• monitorowanie BIK (https://www.bik.pl/klienci-indywidualni);
• zastrzeżenie karty płatniczej w banku, w przypadku gdy doszło do telefonicznego wyłudzenia danych karty.
Administrator Danych Osobowych dokona zgłoszenia incydentu do odpowiednich służb, w tym Policji i Urzędu Ochrony Danych Osobowych. W celu natychmiastowego zatrzymania eskalacji ujawnienia, Administrator dokonał odpowiednich blokad dostępu do systemu, w którym przetwarzane były Państwa dane osobowe oraz zabezpieczył materiały dowodowe.
W celu uniknięcia podobnych naruszeń danych w najbliższym czasie, Administrator wprowadzi m.in. dodatkowe metody kontroli dostępu do systemów służących przetwarzaniu danych osobowych oraz dodatkowe sposoby uwierzytelniania.
Jednocześnie przepraszamy Państwa za niedogodności, z jakimi mogą spotkać się Państwo w związku z przedmiotową sytuacją. W celu uzyskania dodatkowych informacji, prosimy o kontakt na adres e-mail: ochronadanych@totalfitness.com.pl