Komunikat dotyczący naruszenia ochrony danych osobowych (logi pocztowe)

 

Data publikacji: [02.01.2026]
Ostatnia aktualizacja: [02.01.2026]

Informujemy o incydencie bezpieczeństwa dotyczącym przetwarzania danych osobowych w ramach usługi hostingu poczty elektronicznej, realizowanej przez zewnętrznego dostawcę.

Co się wydarzyło?

W dniu 29 grudnia 2025 r. wykryto nieprawidłowość w konfiguracji jednego z serwerów, na którym gromadzone były dzienniki systemowe (logi) związane z obsługą przychodzącej poczty elektronicznej. Logi były przechowywane w wewnętrznym systemie analitycznym Elasticsearch, wykorzystywanym do zapewnienia poprawnego działania usługi oraz świadczenia wsparcia technicznego.

W wyniku nieprawidłowej konfiguracji zapory sieciowej, w okresie od 24 grudnia 2025 r. godz. 08:00 do 28 grudnia 2025 r. godz. 13:00 możliwy był nieuprawniony dostęp do tych logów.

 

Jakie dane mogły zostać ujawnione?

Incydent dotyczy metadanych związanych z wiadomościami przychodzącymi na skrzynek e-mail na wszystkie adresy w domenie @pdr-eko.pl, w okresie od 13.12.2024 r. do 23.05.2025 r. Zakres metadanych obejmował:

• adres e-mail nadawcy wiadomości,
• adres e-mail odbiorcy wiadomości,
• datę i godzinę wysyłki,
• tytuł wiadomości.

Nie były widoczne treści wiadomości, załączniki ani hasła do kont pocztowych.

Czy doszło do wykorzystania danych?

Na moment publikacji komunikatu nie posiadamy przesłanek, które wskazywałyby na pobranie i wykorzystanie metadanych przez osoby nieuprawnione. Zdarzenie ma jednak charakter naruszenia poufności, ponieważ istniała możliwość nieuprawnionego dostępu do logów w wskazanym okresie.

Jakie działania zostały podjęte?

Po wykryciu incydentu:

• niezwłocznie zabezpieczono serwer i wyeliminowano możliwość odczytania logów w sposób nieuprawniony,
• przeprowadzono analizę zdarzenia i wdrożono dodatkowe środki bezpieczeństwa, aby zminimalizować ryzyko podobnych sytuacji w przyszłości,
• prowadzimy dalsze czynności weryfikacyjne oraz pozyskujemy od dostawcy hostingu szczegółowe informacje techniczne dotyczące okoliczności i zakresu zdarzenia.

Możliwe skutki dla osób, których dane dotyczą
W związku z tym, że zdarzenie dotyczyło metadanych wiadomości e-mail (w tym adresów e-mail oraz tytułów wiadomości), potencjalnie może to skutkować:

• zwiększonym ryzykiem otrzymywania wiadomości phishingowych lub prób wyłudzeń, w których nadawca będzie nawiązywał do realnej korespondencji (np. tytułu wiadomości, daty wysyłki lub relacji nadawca–odbiorca),
• wzrostem liczby niechcianych wiadomości (spam) kierowanych na adres e-mail,
• ujawnieniem informacji o relacjach komunikacyjnych (kto z kim korespondował i kiedy),
• w pojedynczych przypadkach — jeśli tytuł wiadomości zawierał dane sugerujące charakter sprawy — ryzykiem ujawnienia informacji o prywatnym kontekście korespondencji.

Na dzień publikacji komunikatu nie posiadamy przesłanek wskazujących na pobranie i wykorzystanie danych przez osoby nieuprawnione, jednak informujemy o zdarzeniu prewencyjnie i zalecamy zachowanie ostrożności.

 

Co powinni Państwo zrobić?

Nie ma potrzeby zmiany haseł do kont e-mail, ponieważ hasła, treści wiadomości i załączniki nie były objęte incydentem.

Zalecamy jednak zachowanie standardowej ostrożności wobec wiadomości e-mail, w szczególności:

• ostrożne podejście do wiadomości, które proszą o podanie danych, wykonanie przelewu lub kliknięcie w link,
• weryfikowanie nietypowych próśb innym kanałem kontaktu (np. telefonicznie),
• zwracanie uwagi na literówki w adresach nadawcy i podejrzane załączniki.

Kontakt

Jeżeli mają Państwo pytania dotyczące tego zdarzenia, prosimy o kontakt:

• Polkowicka Dolina Recyklingu sp. z o.o. u. Działkowa 18; 57-100 Polkowice
• e-mail: pdr@pdr-eko.pl
• Inspektor Ochrony Danych: iod@pdr-eko.pl lub telefon: 728-706-901; 667-941-610