Wyciek danych osobowych z urzędu – co zrobić po otrzymaniu informacji?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Administracja publiczna w ramach swoich obowiązków przetwarza wiele danych osobowych. Niestety wskutek cyberataku lub błędu ludzkiego (np. omyłkowego udostępnienia) coraz częściej dochodzi do sytuacji, gdzie dane trafiają do Internetu. Co powinniśmy zrobić, kiedy uzyskamy informację o wycieku danych osobowych z urzędu?

Z punktu widzenia osoby, której dane uległy naruszeniu ochrony, podstawą jest otrzymanie jasnej informacji o zakresie zdarzenia. Mowa tutaj o kategoriach danych – to właśnie od nich zależą kroki konieczne do podjęcia w celu zminimalizowania potencjalnych skutków wycieku.

Obowiązek informowania o naruszeniu

Artykuł 34 ust. 1 unijnego Ogólnego Rozporządzenia o Ochronie Danych (RODO) zobowiązuje administratora do zawiadomienia osoby, której dane uległy naruszeniu ochrony, jeżeli może to powodować wysokie ryzyko naruszenia praw lub wolności osoby fizycznej. W praktyce taka informacja jest przekazywana drogą e-mailową lub SMS-ową.

Czasami może jednak dojść do sytuacji, gdy urząd nie jest w stanie skontaktować się z osobami, których dane wyciekły do sieci. Do takiego zdarzenia może dojść np. wskutek utraty jedynej kopii danych. Wówczas administrator może nie być w stanie skontaktować się z osobami, których dane uległy naruszeniu ochrony, ponieważ utracił dostęp do plików. Jeżeli poinformowanie osoby wymagałoby „niewspółmiernie dużego wysiłku”, wydawane jest publiczne zawiadomienie, co reguluje art. 34 ust. 3 lit c RODO.

W decyzji Prezesa Urzędu Ochrony Danych Osobowych (PUODO) z września 2025 roku (DKN.5131.6.2025) wskazano, że zawiadomienie powinno gwarantować przekazanie szybkiej i przejrzystej informacji o naruszeniu. Należy przy tym dodać, że brak niezwłocznego zawiadomienia osób był w przeszłości sankcjonowany przez PUODO (m.in. DKN.5131.33.2021).

Moje dane wyciekły – co zrobić w przypadku wyciek danych osobowych z urzędu?

Po otrzymaniu informacji o wycieku naszych danych osobowych z urzędu powinniśmy szczegółowo przeanalizować kategorie informacji, które uległy naruszeniu ochrony. Jednocześnie warto szczegółowo rozważyć, jakie dane w przeszłości przekazaliśmy do podmiotu, od którego otrzymaliśmy informacje.

Jedną z metod ochrony przed potencjalnymi próbami wyłudzenia środków finansowych jest zastrzeżenie numeru PESEL. Zgodnie z art. 105d Ustawy z 29 sierpnia 1997 roku – Prawo bankowe aktywne zastrzeżenie numeru PESEL z założenia uniemożliwia zawarcie ważnej umowy kredytu, pożyczki czy leasingu. Warto zastrzec swój numer PESEL niezależnie od tego, czy nasze dane uległy naruszeniu ochrony, ponieważ w sytuacji, w której trafi on w niepowołane ręce, jest to niezwykle ważne. Można tego dokonać za pośrednictwem aplikacji mObywatel, portalu mobywatel.gov.pl lub w dowolnym urzędzie gminy.

W przypadku wycieku naszego numeru telefonu oraz adresu e-mail powinniśmy być szczególnie wyczuleni na wszelkie próby kontaktu. Cyberprzestępcy mogą używać danych z wycieku, aby uwiarygodnić się jako np. konsultanci banku czy funkcjonariusze policji. Może nawet dojść do sytuacji, w której posługują się naszymi danymi osobowymi (np. podając numer PESEL) podczas rozmowy telefonicznej – w takim przypadku warto zachowawczo rozłączyć się oraz samodzielnie zadzwonić do instytucji, którą rzekomo reprezentował nasz rozmówca.

Jeżeli mieliśmy do czynienia z próbą oszustwa, najlepiej niezwłocznie zgłosić to na policję – może to uchronić kolejne osoby przed potencjalną stratą pieniędzy. Podejrzane SMS-y warto zgłaszać do CERT Polska poprzez przekazanie ich na numer 8080.

Pod kątem cyberbezpieczeństwa szczególnie groźne są wycieki loginów (zazwyczaj adresów e-mail) i haseł (zazwyczaj mowa o funkcji skrótu, czyli haseł przechowywanych na podstawie wynik działania algorytmów kryptograficznych). Wiąże się to z możliwością przejmowania kont, które wykorzystywały takie same dane logowania. Jeżeli używaliśmy tego samego hasła w jakimkolwiek innym miejscu – powinniśmy je niezwłocznie zmienić. Najlepszą praktyką jest uprzednie stosowanie unikatowych haseł, czyli używanie danej frazy maksymalnie jeden raz.

Przykład 1.

Otrzymujemy informację, że wśród danych wykradzionych wskutek przejęcia skrzynki mailowej urzędu znalazły się m.in. numery PESEL czy numery dowodów osobistych. W takim przypadku konieczna jest analiza, czy w przeszłości przesłaliśmy takie informacje drogą mailową. Jeśli tak, zaleca się niezwłoczne zastrzeżenie numeru PESEL oraz dowodu osobistego.

Przykład 2.

Z urzędu wykradziono bazę danych systemu, gdzie mieszkańcy logowali się na podstawie adresu e-mail i hasła. W takim przypadku konieczna jest zmiana hasła na wszystkich platformach, gdzie było ono wykorzystywane. Należy pamiętać o tym, że dane logowania powinny być unikatowe, aby wyciek nie umożliwił przejmowania kolejnych kont.

Prawo do informacji

W artykule 38 ust. 4 RODO stwierdzono, że osoby mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach dotyczących przetwarzania ich danych osobowych.

Jest to szczególnie ważne w przypadku wycieku danych osobowych z urzędu, ponieważ IOD powinien udzielić (w miarę możliwości) wymaganych informacji o naruszeniu danych w przypadku prośby osoby fizycznej, której dane zostały wykradzione.

Ścieżka sądowa i odszkodowanie

W RODO wskazano również możliwości dochodzenia swoich praw jako osoby poszkodowanej wskutek naruszenia ochrony danych osobowych. Artykuł 13 ust. 2 lit. d RODO zobowiązuje administratora do poinformowania osoby o możliwości wniesienia skargi do organu nadzorczego, co powinno nastąpić podczas pozyskiwania danych osobowych.

Każda osoba fizyczna, której dane dotyczą, ma możliwość – w ramach środków ochrony prawnej – wniesienia skargi do:

  • organu nadzorczego na proces przetwarzania (art. 77 RODO);
  • sądu przeciwko decyzjom organu nadzorczego (art. 78 RODO);
  • sądu przeciwko administratorowi lub podmiotowi przetwarzającemu (art. 79 RODO).

Do realizacji powyższych środków osoba fizyczna może upoważnić określone rodzaje organizacji (działających niezarobkowo) do realizacji swoich praw (art. 80 RODO).

Wyciek danych osobowych z urzędu a prawo do odszkodowania

W przypadku wycieku danych z urzędu powinniśmy pamiętać o tym, że przysługuje nam możliwość otrzymania odszkodowania za naruszenie zapisów RODO powodujące szkodę zarówno majątkową, jak i niemajątkową (art. 82 RODO). Odpowiedzialność za szkody może dotyczyć i administratora, i podmiotu przetwarzającego. Należy przy tym dodać, że zwolnienie z odpowiedzialności wymaga udowodnienia, że dana organizacja (administrator lub procesor) nie ponosi winy za dane zdarzenie. Żądanie odszkodowania wymaga wszczęcia postępowania sądowego.

Wniesienie skargi do Urzędu Ochrony Danych Osobowych jest niezależne od postępowania odszkodowawczego na drodze sądowej.

Urząd otrzymuje informację o wycieku z zewnątrz

Czasami może dojść do sytuacji, gdy urząd otrzymuje z zewnątrz informację o wycieku danych – np. od CSIRT-u (Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego) lub badacza bezpieczeństwa. Do takiej sytuacji może dojść w przypadku omyłkowego upublicznienia pliku (np. w Biuletynie Informacji Publicznej).

W takiej sytuacji konieczne jest podjęcie niezwłocznych działań polegających przede wszystkim na stwierdzeniu, czy doszło do naruszenia ochrony danych osobowych. Jeśli faktycznie takie zdarzenie miało miejsce, organizacja powinna niezwłocznie zgłosić to do Urzędu Ochrony Danych Osobowych (lecz niepóźniej niż w ciągu 72 godzin), co opisano w art. 33 RODO.

Podsumowanie

Po otrzymaniu informacji o wycieku danych z urzędu powinniśmy przede wszystkim zapoznać się z zakresem naruszenia, aby ustalić, jakie rodzaje danych uległy naruszeniu ochrony. Pozwala to na podjęcie działań mających na celu ograniczenie potencjalnych skutków wycieku.

Środki zapobiegawcze zależą od zakresu wycieku, lecz bez względu na ewentualne naruszenie warto stosować poniższe zalecenia:

  • zastrzeżenie numeru PESEL;
  • ostrożność wobec nieplanowanych prób kontaktu;
  • stosowanie dwuetapowego uwierzytelniania;
  • zachowawczy stosunek do komunikatów o konieczności podjęcia niezwłocznego działania;
  • korzystanie z unikalnych i odpowiednio złożonych haseł (min. 14 znaków).

Pamiętajmy, że kontakt z inspektorem ochrony danych jest jednym z praw osoby, której dane są przetwarzane.

Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów