Wyciek danych w firmie – co zrobić krok po kroku

Wyciek danych w firmie to nie tylko „incydent IT”. W praktyce to sytuacja, w której ktoś traci poufność, dostępność albo integralność danych osobowych — a Twoim zadaniem jest szybko ustalić fakty, ograniczyć skutki i podjąć decyzje w oparciu o ryzyko.

Ten materiał jest dla firm i organizacji, które wykryły (albo podejrzewają) naruszenie ochrony danych. Dostajesz tu praktyczny plan działania: jak rozpoznać naruszenie w rozumieniu RODO, jak liczyć 72 godziny „od stwierdzenia”, kiedy zgłaszać sprawę do UODO, kiedy informować osoby oraz jak dokumentować ocenę ryzyka i podjęte działania.

Jeśli jesteś na etapie zawiadamiania osób o wycieku: Zawiadomienie o wycieku danych (art. 34 RODO) Wróć do „Ochrona danych w firmie”

W skrócie — najważniejsze fakty

Naruszenie ochrony danych osobowych (RODO) to nie tylko wyciek do internetu. To każda sytuacja prowadząca do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia albo dostępu do danych.

72 godziny liczy się od momentu, gdy organizacja „stwierdzi” naruszenie (czyli ma wystarczającą pewność, że doszło do zdarzenia naruszającego dane), a nie od chwili, kiedy incydent faktycznie się zaczął.

Najważniejsza jest ocena ryzyka dla osób, których dane dotyczą. To ona przesądza, czy zgłaszać naruszenie do UODO (art. 33 RODO) i czy informować osoby (art. 34 RODO).

Nawet jeśli nie zgłaszasz incydentu, w praktyce musisz go udokumentować: co się stało, jaką podjąłeś analizę, jakie działania naprawcze wdrożyłeś i dlaczego uznałeś, że ryzyko jest niskie.

Najczęstsze pytania o wycieki danych i naruszenia ochrony danych (RODO)

1. Co jest „naruszeniem ochrony danych osobowych” w rozumieniu RODO?

RODO definiuje naruszenie jako zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmiany, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. W praktyce „wyciek” to tylko jedna z form — naruszeniem będzie też np. wysłanie maila do złego adresata, błędne uprawnienia w systemie, utrata laptopa, zablokowanie dostępu do danych przez ransomware albo przypadkowe usunięcie bazy.

2. Skąd mam wiedzieć, czy to już „naruszenie”, czy tylko podejrzenie incydentu?

Podejrzenie to moment, gdy masz sygnał (alert, zgłoszenie pracownika, logi), ale nie wiesz jeszcze, czy doszło do naruszenia danych osobowych. „Stwierdzenie naruszenia” następuje wtedy, gdy na podstawie ustaleń możesz rozsądnie potwierdzić, że doszło do zdarzenia dotyczącego danych osobowych (np. konkretny plik z danymi został pobrany, konto zostało przejęte, wiadomość z danymi trafiła do nieuprawnionego odbiorcy). Od tego momentu liczysz 72 godziny na zgłoszenie do UODO, jeśli zgłoszenie jest wymagane.

3. Kiedy trzeba zgłosić naruszenie do UODO?

Zgłaszasz naruszenie do UODO, gdy może ono powodować ryzyko naruszenia praw lub wolności osób fizycznych (art. 33 RODO). W praktyce: jeśli w grę wchodzą dane, które mogą prowadzić do szkody, kradzieży tożsamości, strat finansowych, dyskryminacji, ujawnienia tajemnicy lub naruszenia prywatności — zwykle jest co najmniej „ryzyko” i wtedy zgłoszenie jest zasadne.

4. Kiedy trzeba poinformować osoby, których dane wyciekły?

Osoby informujesz wtedy, gdy naruszenie może powodować wysokie ryzyko naruszenia ich praw lub wolności (art. 34 RODO). To wyższy próg niż przy samym zgłoszeniu do UODO. Przykładowo: wyciek danych logowania, numerów dokumentów, danych finansowych, danych zdrowotnych lub danych umożliwiających podszycie się pod osobę częściej będzie „wysokim ryzykiem”. Jeśli wdrożyłeś skuteczne zabezpieczenia (np. silne szyfrowanie) i dane są nieczytelne dla osób postronnych, obowiązek informowania może nie powstać.

5. Jak liczyć 72 godziny i co, jeśli nie zdążę?

72 godziny liczy się od stwierdzenia naruszenia, a nie od jego rozpoczęcia. Jeśli zgłaszasz po terminie, nadal masz obowiązek zgłosić — ale musisz uzasadnić opóźnienie (art. 33 ust. 1 RODO). W praktyce liczy się, czy organizacja działała „bez zbędnej zwłoki”: czy uruchomiła proces, zbierała fakty, ograniczała skutki, nie zamiatała sprawy pod dywan.

6. Co musi zawierać zgłoszenie naruszenia do UODO?

RODO wymaga m.in.: opisu charakteru naruszenia (kategorie i przybliżona liczba osób oraz rekordów danych), danych kontaktowych IOD lub punktu kontaktu, opisu możliwych konsekwencji oraz opisu środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu i ograniczenia negatywnych skutków (art. 33 ust. 3 RODO). Jeśli nie masz wszystkiego w 72 godziny, możesz dosłać informacje etapami (zgłoszenie uzupełniające).

7. Jak podejść do „oceny ryzyka” w praktyce (a nie na papierze)?

Ocena ryzyka to odpowiedź na pytanie: „co realnie może się stać osobom, których dane dotyczą?”. Zwykle analizujesz: (1) rodzaj danych (zwykłe vs. szczególne kategorie, dane logowania, dokumenty), (2) łatwość identyfikacji osoby, (3) skalę (ile osób, jak szeroko), (4) kto miał dostęp (przypadkowy odbiorca vs. cyberprzestępcy), (5) możliwe skutki (finanse, reputacja, prywatność, bezpieczeństwo), (6) środki minimalizujące (szyfrowanie, szybka zmiana haseł, blokady). Pomaga podejście punktowe, ale nie zastępuje zdroworozsądkowej analizy konsekwencji.

8. Czy istnieją „metody” lub narzędzia do wyceny ryzyka (np. ENISA)?

Tak. W praktyce firmy korzystają z podejścia opartego na ryzyku (risk-based approach) i wspierają się materiałami branżowymi, m.in. publikacjami ENISA dotyczącymi naruszeń i raportowania. Dobrą praktyką jest spójny, powtarzalny model: kategorie danych + skala + prawdopodobieństwo nadużycia + ciężar skutków + mitygacje. Ważne: metoda ma pomagać podejmować decyzje, a nie „wybielać” incydent.

9. Co zrobić najpierw: analizować czy „gasić pożar”?

Najpierw zabezpieczasz sytuację (containment), potem analizujesz. W praktyce: odcięcie nieuprawnionego dostępu, reset haseł, blokady kont, wyłączenie podatnego endpointu, odzyskanie kopii, zatrzymanie wysyłki błędnych maili, cofnięcie publicznych uprawnień do plików. Równolegle zbierasz dowody i fakty (logi, oś czasu, zakres danych), bo bez tego nie zrobisz rzetelnej oceny ryzyka.

10. Jak ustalić „zakres” naruszenia — co konkretnie powinienem rozpoznać?

Minimalny zestaw ustaleń to: (1) co się stało i kiedy, (2) jakie systemy i procesy dotknęło zdarzenie, (3) jakie kategorie danych mogły zostać naruszone, (4) ilu osób dotyczy incydent (szacunek), (5) czy dane były zaszyfrowane / pseudonimizowane, (6) czy istnieją przesłanki nieuprawnionego pobrania/ujawnienia, (7) jakie działania już podjąłeś i jakie planujesz. W wielu organizacjach buduje się to jako „oś czasu incydentu”.

11. Co, jeśli naruszenie wydarzyło się u podmiotu przetwarzającego (procesora)?

Jeśli jesteś administratorem danych, a naruszenie jest u procesora (np. hosting, software house, call center), procesor ma obowiązek zgłosić Ci naruszenie bez zbędnej zwłoki (art. 33 ust. 2 RODO). Ty — jako administrator — podejmujesz decyzję o zgłoszeniu do UODO i o informowaniu osób. Dobrą praktyką jest wymaganie od procesora: opisu faktów, zakresu danych, liczby osób, działań naprawczych oraz dowodów (logi, raport).

12. A co, jeśli ja jestem procesorem i „wyciekły dane mojego klienta”?

Jeżeli przetwarzasz dane w imieniu innego administratora, Twoim podstawowym obowiązkiem jest szybkie poinformowanie administratora o naruszeniu oraz przekazanie mu informacji potrzebnych do oceny ryzyka i ewentualnego zgłoszenia (art. 33 ust. 2 RODO). To administrator decyduje, czy zgłaszać do UODO i czy informować osoby. Ty możesz (i powinieneś) równolegle usuwać przyczynę, ograniczać skutki i dokumentować działania.

13. Czy „ransomware” zawsze oznacza naruszenie danych?

Często tak, ale nie zawsze w tym samym zakresie. Ransomware zwykle powoduje utratę dostępności (a to też naruszenie), a czasem dodatkowo kradzież danych (wyciek i ujawnienie). Kluczowe pytanie brzmi: czy są przesłanki, że dane zostały wyprowadzone? Analizuje się logi, ruch sieciowy, artefakty w systemie, komunikaty grup przestępczych. W razie niepewności ostrożna ocena ryzyka bywa bezpieczniejsza niż „założenie”, że nic nie wypłynęło.

14. Jakie są najczęstsze błędy firm po incydencie?

Najczęstsze problemy to: (1) opóźnianie reakcji i brak dowodów działań, (2) mylenie „incydentu IT” z naruszeniem danych, (3) brak oceny ryzyka albo ocena „na oko” bez uzasadnienia, (4) brak dokumentacji (rejestru naruszeń), (5) zgłoszenie bez kluczowych informacji i bez dosyłania uzupełnień, (6) brak działań minimalizujących skutki dla osób, (7) nadmiernie uspokajające komunikaty do osób mimo realnego ryzyka.

15. Czy konsekwencje muszą się faktycznie wydarzyć, żeby było „ryzyko”?

Nie. W praktyce i w orzecznictwie podkreśla się, że ryzyko ocenia się przez pryzmat możliwych konsekwencji — nie muszą się one zmaterializować. Kluczowe jest prawdopodobieństwo i ciężar potencjalnej szkody dla osoby. Dlatego nawet „brak dowodu nadużycia” nie zawsze oznacza „brak ryzyka”.

Co powinien zrobić administrator danych po wycieku — praktyczny plan dla firm

Zbierz fakty i zbuduj oś czasu (to podstawa każdej decyzji)

Zanim zdecydujesz o zgłoszeniu, musisz rozumieć zdarzenie. Ustal: co się stało, kiedy, jakie systemy dotknęło, jakie dane mogły zostać naruszone, ilu osób dotyczy incydent, czy dane były zabezpieczone (np. szyfrowanie), czy istnieją przesłanki skopiowania/ujawnienia. To jest fundament oceny ryzyka.

Podejście oparte na ryzyku: nie „czy boli firmę”, tylko „co grozi ludziom”

RODO każe patrzeć na ryzyko dla praw i wolności osób. Dla jednego incydentu ryzyko może być niskie (np. minimalne dane i szybkie odzyskanie kontroli), a dla innego wysokie (np. dane logowania, dokumenty, dane finansowe). Uzasadnij ocenę: dlaczego tak uważasz i jakie działania podjąłeś, by ryzyko obniżyć.

Jeśli naruszenie jest u procesora — dopilnuj informacji i działań naprawczych

Gdy incydent wydarza się u podmiotu przetwarzającego, procesor ma obowiązek poinformować administratora bez zbędnej zwłoki. W praktyce wymagaj konkretów: zakres, liczba osób, kategorie danych, działania naprawcze i dowody. Administrator podejmuje decyzję o zgłoszeniu do UODO i informowaniu osób — ale bez rzetelnych danych od procesora ta decyzja będzie „w ciemno”.

Dokumentuj decyzje — nawet gdy nie zgłaszasz do UODO

Wiele organizacji wpada w pułapkę: „skoro nie zgłaszamy, to nie ma tematu”. To błąd. Nawet gdy uznasz, że ryzyko jest niskie i zgłoszenie nie jest wymagane, powinieneś mieć dokument: co się stało, jakie dane, jaka ocena ryzyka, jakie mitygacje i dlaczego uznałeś, że nie zgłaszasz.

Formularz zgłoszenia naruszenia do UODO (biznes.gov.pl) Wytyczne EROD 9/2022: zgłaszanie naruszeń (oficjalny dokument) Jak zawiadomić osoby (art. 34 RODO) – wzór komunikatu Kto odpowiada za wyciek danych — firma czy pracownik? Czy PESEL to dane wrażliwe? RODO, ochrona i ryzyko Wróć do Bazy wiedzy

Wyciek danych w firmie — plan działania w 72 godziny

Krok 1. Zabezpiecz zdarzenie i zatrzymaj eskalację

Najpierw ogranicz skutki: odetnij nieuprawniony dostęp, zablokuj konta, resetuj hasła, wyłącz podatny komponent, cofnij publiczne uprawnienia do plików, przywróć kopie zapasowe. Równolegle zadbaj o zachowanie śladów (logi, oś czasu), żeby móc rzetelnie ustalić fakty.

Krok 2. Ustal, czy to „naruszenie danych osobowych” (RODO), a nie tylko incydent techniczny

Sprawdź, czy zdarzenie dotyczy danych osobowych i czy narusza poufność, integralność lub dostępność. Jeśli tak — traktuj to jako potencjalne naruszenie w rozumieniu RODO (art. 4 pkt 12) i uruchom procedurę naruszeniową.

Krok 3. Określ zakres: jakie dane, ilu osób, z jakich systemów i od kiedy

Zbierz minimalny pakiet faktów: kategorie danych, liczba osób (choćby szacunkowo), liczba rekordów, źródło i wektor zdarzenia, czy dane mogły zostać skopiowane/ujawnione, czy były zaszyfrowane / pseudonimizowane. Zbuduj krótką „oś czasu incydentu”.

Krok 4. Zrób ocenę ryzyka dla osób, których dane dotyczą

Oceń możliwe konsekwencje: kradzież tożsamości, straty finansowe, szkoda reputacyjna, ujawnienie tajemnicy, nadużycia. Uwzględnij czynniki: rodzaj danych, skala, kto uzyskał dostęp, możliwość identyfikacji osób oraz działania minimalizujące. To klucz do decyzji o zgłoszeniu (art. 33) i powiadomieniu osób (art. 34).

Krok 5. Policz 72 godziny „od stwierdzenia” i zdecyduj o zgłoszeniu do UODO

Jeżeli jest co najmniej ryzyko naruszenia praw lub wolności — zgłoś naruszenie do UODO bez zbędnej zwłoki, najpóźniej w 72 godziny od stwierdzenia. Jeśli nie masz pełnych informacji, zgłoś w terminie i dosyłaj uzupełnienia. Jeśli zgłaszasz po terminie — uzasadnij opóźnienie.

Krok 6. Sprawdź, czy musisz poinformować osoby i zaplanuj minimalizację skutków

Jeżeli ryzyko jest wysokie — przygotuj komunikat do osób: co się stało, jakie dane, jakie skutki, co mogą zrobić (np. zmiana haseł, czujność na phishing), jak się z Tobą skontaktować. Równolegle wdrażaj środki naprawcze i zapobiegawcze, żeby incydent się nie powtórzył.

Checklist: pierwsze 72 godziny po wycieku danych (RODO)

To praktyczna lista „do odhaczania” dla firm. Ułatwia zebrać fakty, ograniczyć skutki i podjąć decyzję o zgłoszeniu do UODO (art. 33 RODO) oraz ewentualnym powiadomieniu osób (art. 34 RODO). Jeśli nie masz wszystkich informacji od razu — działaj etapami i dokumentuj, co już ustaliłeś.

0–2 godziny: zatrzymaj eskalację i zabezpiecz dowody

Odizoluj źródło problemu (konto, endpoint, integracja, folder publiczny, API).
Zresetuj hasła / unieważnij tokeny / zablokuj dostęp, jeśli istnieje ryzyko przejęcia.
Wstrzymaj proces, który ujawnia dane (np. wysyłka maili, eksport, integracja z CRM).
Zabezpiecz logi i ślady (kto, kiedy, skąd się logował; pobrania plików; zapytania do bazy).
Ustal, kto po stronie firmy koordynuje incydent (IT, bezpieczeństwo, IOD, prawnik, zarząd).

2–8 godzin: ustal minimum faktów (bez tego nie ma oceny ryzyka)

Czy incydent dotyczy danych osobowych? Jakich kategorii?
Jakie systemy/procesy są objęte zdarzeniem (poczta, CRM, dysk, serwer, aplikacja)?
Ilu osób może dotyczyć naruszenie (szacunek + widełki)?
Czy dane były zaszyfrowane / pseudonimizowane? Czy mogły zostać odczytane?
Jaki był charakter naruszenia: poufność, integralność, dostępność (albo kilka naraz)?
Zbuduj oś czasu: pierwszy sygnał → stwierdzenie → działania → status.

8–24 godziny: ocena ryzyka „dla ludzi”, nie „dla firmy”

Jakie realne konsekwencje mogą spotkać osoby (phishing, podszycie, straty finansowe, ujawnienie tajemnic)?
Czy odbiorcą mógł być cyberprzestępca / nieznany podmiot (wyższe ryzyko) czy np. przypadkowy adresat (zależnie od reakcji)?
Jak łatwo można zidentyfikować osoby na podstawie ujawnionych danych?
Jakie działania minimalizujące już wdrożyłeś (reset haseł, blokady, szyfrowanie, cofnięcie dostępu)?
Czy ryzyko jest co najmniej „ryzykiem” (art. 33) albo „wysokim ryzykiem” (art. 34)? Uzasadnij na piśmie.

Do 72 godzin: decyzja o zgłoszeniu do UODO i przygotowanie materiałów

Jeśli jest ryzyko — zgłoś do UODO bez zbędnej zwłoki, najpóźniej w 72 godziny od stwierdzenia.
Przygotuj: opis naruszenia, kategorie danych, liczbę osób/rekordów (nawet szacunkowo), możliwe skutki, mitygacje.
Jeśli brakuje informacji — zgłoś „zawiadomienie wstępne” w terminie i dosyłaj uzupełnienia.
Jeśli przekroczyłeś 72 godziny — zgłoś i dołącz uzasadnienie opóźnienia.
Jeżeli incydent jest u procesora: zbierz od niego raport, logi i opis działań naprawczych.

Równolegle: działania naprawcze i zapobiegawcze

Usuń przyczynę (błąd konfiguracji, podatność, nieprawidłowe uprawnienia, brak MFA).
Wprowadź środki bezpieczeństwa (MFA, segmentacja, DLP, ograniczenia eksportu, zasada najmniejszych uprawnień).
Ustal, czy trzeba zmienić procedury (np. wysyłka masowa, autouzupełnianie, szkolenia, kontrola dostępu).
Sprawdź, czy incydent dotyczy też danych, które przetwarzasz jako procesor dla innych administratorów — i powiadom ich.

Dokumentacja: co musi zostać „na papierze” (nawet gdy nie zgłaszasz)

Opis zdarzenia + oś czasu + ustalenia (jakie dane, ilu osób, co się stało).
Ocena ryzyka z uzasadnieniem (dlaczego zgłaszasz / dlaczego nie zgłaszasz).
Lista działań naprawczych i minimalizujących skutki (co zrobiono i kiedy).
Wnioski na przyszłość: co zmieniasz w zabezpieczeniach / procedurach.
Materiały od procesora (jeśli incydent był po jego stronie) + potwierdzenie wykonania zaleceń.

W praktyce najczęściej „wygrywa” firma, która działa szybko i potrafi wykazać rozliczalność: ma fakty, ma ocenę ryzyka, ma uzasadnienie decyzji i ma dowody podjętych działań. To działa zarówno przy kontroli, jak i przy rozmowie z klientami oraz osobami, których dane dotyczą.

Uwaga: „nie widzę szkód” nie znaczy „nie było ryzyka”

W praktyce ryzyko ocenia się na podstawie możliwych konsekwencji dla osób — a nie dopiero wtedy, gdy ktoś zgłosi realną szkodę. Jeśli wyciekły dane, które mogą ułatwiać podszycie się pod osobę, phishing lub nieuprawnione działania, ryzyko może istnieć nawet wtedy, gdy dziś nie masz dowodu nadużycia. Dlatego tak ważna jest udokumentowana ocena ryzyka i logiczne uzasadnienie decyzji o zgłoszeniu lub braku zgłoszenia.

Podstawa prawna

Naruszenie ochrony danych osobowych jest zdefiniowane w art. 4 pkt 12 RODO. Obowiązki administratora po stwierdzeniu naruszenia wynikają przede wszystkim z art. 33 RODO (zgłoszenie do organu nadzorczego) oraz art. 34 RODO (poinformowanie osób, gdy ryzyko jest wysokie). Całość opiera się na zasadach z art. 5 RODO (w szczególności prawidłowość i integralność/poufność) oraz na obowiązkach organizacyjnych i bezpieczeństwa z art. 24 i 32 RODO.

Kluczowym elementem jest podejście oparte na ryzyku: decyzje nie wynikają z „wrażenia”, tylko z analizy możliwych skutków dla osób, których dane dotyczą. W praktyce ocena ryzyka powinna uwzględniać rodzaj danych, skalę naruszenia, możliwość identyfikacji osób, charakter nieuprawnionego dostępu oraz zastosowane środki minimalizujące skutki. To podejście jest szeroko omawiane w Wytycznych EROD dotyczących zgłaszania naruszeń.

W razie naruszenia u podmiotu przetwarzającego zastosowanie ma art. 33 ust. 2 RODO: procesor informuje administratora bez zbędnej zwłoki, a administrator podejmuje decyzje o zgłoszeniu i komunikacji. Niezależnie od tego, czy naruszenie zostanie zgłoszone, organizacja powinna prowadzić dokumentację incydentu i decyzji (praktycznie: rejestr naruszeń), aby móc wykazać rozliczalność.

Źródła i materiały (oficjalne)

Wytyczne EROD 9/2022 dotyczące zgłaszania naruszenia ochrony danych osobowych na podstawie RODO Formularz: zgłoszenie naruszenia ochrony danych osobowych (biznes.gov.pl) WSA w Warszawie: II SA/Wa 1272/22 — wyrok (orzeczenia.nsa.gov.pl) Prezes UODO: Decyzja DKN.5131.15.2024 (17 grudnia 2024 r.) Prezes UODO: Decyzja DKN.5131.17.2024 (Warszawa, 23 października 2025 r.) UODO: „Niezgłoszenie naruszenia bez zbędnej zwłoki – kara dla komornika sądowego” UODO: „Kolejna administracyjna kara pieniężna za niezgłoszenie naruszenia ochrony danych osobowych” (Link4 TU S.A.) UODO: „WSA: konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować” ENISA: materiały dot. naruszeń i raportowania (pomocniczo do oceny ryzyka) Zawiadomienie osób o naruszeniu (art. 34 RODO) – wzór i dobre praktyki