Wyciek danych osobowych – co zrobić i jak szybko zareagować?
Najważniejsze jest, aby nie odkładać reakcji na później. Nie zawsze da się zapobiec samemu wyciekowi, bo dane często znajdują się w systemach firm, sklepów, aplikacji, przychodni, szkół czy urzędów. Możesz jednak ograniczyć skutki: zmienić hasła, zastrzec PESEL, skontaktować się z bankiem, zgłosić podejrzane wiadomości i monitorować, czy ktoś nie próbuje wykorzystać Twojej tożsamości.
- Jeśli wyciekł login lub hasło, zmień hasło od razu i nie używaj go w innych serwisach.
- Jeśli wyciekł PESEL, numer dokumentu albo skan dowodu, rozważ zastrzeżenie numeru PESEL.
- Jeśli wyciekły dane karty, skontaktuj się z bankiem i zablokuj kartę.
- Jeśli dostajesz podejrzane SMS-y lub e-maile po wycieku, nie klikaj linków i nie podawaj danych.
- Jeśli ktoś wykorzystał Twoje dane, zabezpiecz dowody i zgłoś sprawę odpowiedniej instytucji.
- W aplikacji mObywatel dostępna jest usługa zastrzeżenia PESEL, a Ministerstwo Cyfryzacji wskazuje ją jako jedno z kluczowych działań po wycieku danych. Od 1 czerwca 2024 r. instytucje finansowe mają obowiązek sprawdzania, czy numer PESEL jest zastrzeżony przy zawieraniu m.in. umowy kredytu lub pożyczki.
Czym jest wyciek danych osobowych?
W języku RODO częściej mówi się o „naruszeniu ochrony danych osobowych”. Urząd Ochrony Danych Osobowych publikuje poradnik dotyczący naruszeń, skierowany głównie do administratorów danych, czyli podmiotów odpowiedzialnych za ich przetwarzanie.
Dla Ciebie jako osoby, której dane dotyczą, najważniejsze jest nie samo nazewnictwo, ale pytanie: jakie dane wyciekły i co ktoś może z nimi zrobić?
Jakie dane mogły wyciec i dlaczego to ważne?

Sprawdź też, czym są ataki typu smishing i jak się przed nimi chronić.
Co zrobić po wycieku danych? Instrukcja krok po kroku
1. Ustal, jakie dane wyciekły
Najpierw sprawdź komunikat od firmy, serwisu lub instytucji. Powinien wskazywać, czego dotyczyło naruszenie: danych logowania, adresu e-mail, numeru telefonu, danych dokumentu, numeru PESEL, danych płatniczych czy korespondencji.
Zwróć uwagę na trzy rzeczy:
- zakres danych – czy to tylko e-mail, czy także PESEL, adres, dokument lub hasło;
- czas zdarzenia – kiedy doszło do wycieku i kiedy go wykryto;
- zalecenia administratora – np. zmiana hasła, kontakt z bankiem, ostrożność wobec wiadomości.
2. Zmień hasła i wyloguj aktywne sesje
Jeśli wyciek dotyczy hasła, loginu albo konta w serwisie, zmień hasło natychmiast. Nie rób tego przez link z e-maila lub SMS-a. Wejdź samodzielnie na stronę serwisu albo użyj oficjalnej aplikacji.
Nowe hasło powinno być:
- długie,
- unikalne dla tego jednego serwisu,
- nieoparte na imieniu, dacie urodzenia ani nazwie firmy,
- zapisane w menedżerze haseł, jeśli z niego korzystasz.
3. Włącz uwierzytelnianie dwuskładnikowe
Weryfikacja dwuetapowa, czyli 2FA, dodaje drugą warstwę zabezpieczenia. Nawet jeśli ktoś zna hasło, nadal musi potwierdzić logowanie dodatkowym kodem, aplikacją albo kluczem bezpieczeństwa.
Włącz 2FA szczególnie na:
- poczcie e-mail,
- bankowości,
- mediach społecznościowych,
- kontach zakupowych,
- chmurze z dokumentami,
- kontach firmowych.
4. Zastrzeż numer PESEL
Jeśli wyciekły PESEL, dane z dowodu, skan dokumentu albo zestaw danych pozwalający podszyć się pod Ciebie, rozważ zastrzeżenie numeru PESEL. Możesz to zrobić przez mObywatela, gov.pl albo w urzędzie.
Zastrzeżenie PESEL nie usuwa danych z internetu i nie blokuje wszystkich możliwych oszustw. Ogranicza jednak ryzyko wybranych nadużyć, zwłaszcza przy próbach zawarcia umów finansowych. Od 1 czerwca 2024 r. instytucje finansowe mają obowiązek sprawdzania statusu PESEL-u przed udzieleniem m.in. kredytu lub pożyczki.
Warto też sprawdzić, kto weryfikował, czy Twój PESEL jest zastrzeżony. Gov.pl udostępnia usługę, która pozwala sprawdzić takie weryfikacje.
5. Skontaktuj się z bankiem, jeśli wyciekły dane finansowe
Jeżeli w wycieku znalazły się dane karty, login do bankowości, numer rachunku, dane transakcyjne albo dokumenty finansowe, skontaktuj się z bankiem.
W zależności od sytuacji bank może zalecić:
- zablokowanie karty,
- zmianę danych logowania,
- obniżenie limitów transakcji,
- sprawdzenie historii operacji,
- złożenie reklamacji przy nieautoryzowanej transakcji.
6. Uważaj na phishing po wycieku
Po wycieku możesz dostawać więcej fałszywych wiadomości. Oszust, który zna Twój e-mail, numer telefonu, imię, nazwisko albo nazwę usługi, z której korzystasz, może przygotować bardziej wiarygodny atak.
Uważaj na wiadomości, które:
- straszą blokadą konta,
- proszą o pilną dopłatę,
- zawierają link do „weryfikacji danych”,
- nakłaniają do pobrania aplikacji,
- proszą o kod BLIK, kod SMS albo dane karty,
- udają bank, kuriera, urząd, platformę sprzedażową lub operatora płatności.
7. Zabezpiecz dowody, jeśli doszło do wykorzystania danych
Jeśli ktoś próbował zawrzeć umowę, wziąć pożyczkę, założyć konto, przejąć profil albo wysłał wiadomości w Twoim imieniu, zbierz dowody.
Przygotuj:
- zrzuty ekranu wiadomości i alertów,
- daty i godziny zdarzeń,
- nazwy serwisów i kont,
- numery telefonów, adresy e-mail i linki,
- potwierdzenia zgłoszeń,
- informacje z banku lub usługodawcy,
- korespondencję z administratorem danych.
Sprawdź, jak zgłosić oszustwo na policji.
Gdzie zgłosić wyciek danych osobowych?
Administrator danych
Jeśli wyciek dotyczy konkretnej firmy, sklepu, aplikacji lub instytucji, zacznij od administratora danych. Poproś o informację, jakie dane wyciekły, kiedy doszło do zdarzenia i jakie działania podjęto. Jeśli naruszenie powoduje wysokie ryzyko dla praw i wolności osoby, administrator ma obowiązek zawiadomić osobę, której dane dotyczą, bez zbędnej zwłoki. Wynika to z art. 34 RODO.
UODO
Jeśli uważasz, że Twoje dane są przetwarzane niezgodnie z RODO albo administrator nie reaguje prawidłowo, możesz złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych. UODO wskazuje, że osoba, której dane dotyczą, ma prawo wniesienia skargi, jeżeli uzna, że przetwarzanie jej danych narusza przepisy RODO.
CERT Polska
Jeśli po wycieku dostajesz podejrzane SMS-y, e-maile, linki do fałszywych płatności albo widzisz stronę wyłudzającą dane, zgłoś incydent do CERT Polska. CERT Polska działa w strukturach NASK i realizuje zadania CSIRT NASK, czyli jednego z krajowych zespołów reagowania na incydenty bezpieczeństwa komputerowego.
Policja lub prokuratura
Jeśli doszło do kradzieży pieniędzy, podszywania się, wyłudzenia, gróźb, szantażu albo próby zawarcia umowy na Twoje dane, zgłoś sprawę policji lub prokuraturze. Zabierz zebrane dowody i potwierdzenia kontaktu z bankiem lub usługodawcą.
Urząd gminy lub gov.pl przy nieuprawnionym wykorzystaniu danych
Jeśli podejrzewasz nieuprawnione wykorzystanie swoich danych osobowych, możesz zgłosić kradzież tożsamości i unieważnić dowód. Gov.pl wskazuje, że takie zgłoszenie można zrobić osobiście lub przez internet, a po zgłoszeniu urzędnik unieważni dowód.
Czy po wycieku danych trzeba wymienić dowód osobisty?
Rozważ unieważnienie lub wymianę dowodu, gdy:
- ktoś opublikował skan dokumentu,
- dokument został skradziony lub zgubiony,
- masz dowody, że ktoś użył danych z dokumentu,
- bank, urząd lub policja zaleca taki krok,
- dostałeś informację o próbie zawarcia umowy na Twoje dane.
Jak sprawdzić, czy ktoś wykorzystał Twoje dane?
Zwróć uwagę na:
- wiadomości od firm, z którymi nie masz kontaktu,
- potwierdzenia rejestracji kont, których nie zakładałeś,
- telefony od firm pożyczkowych, operatorów lub sklepów ratalnych,
- informacje o próbie weryfikacji PESEL,
- alerty o logowaniu do kont,
- wiadomości o zmianie hasła,
- nieznane transakcje,
- korespondencję z urzędów dotyczącą spraw, których nie prowadziłeś.
Jak ograniczyć ryzyko kolejnych wycieków?
W codziennej ochronie pomagają proste nawyki:
- używaj różnych haseł w różnych serwisach;
- włącz 2FA na najważniejszych kontach;
- nie wysyłaj skanów dokumentów, jeśli nie jest to konieczne;
- zamazuj zbędne dane na kopiach dokumentów;
- nie zapisuj zdjęć dowodu w galerii telefonu;
- nie klikaj linków do logowania z SMS-ów i e-maili;
- sprawdzaj adres strony przed podaniem danych;
- usuwaj konta w serwisach, z których już nie korzystasz;
- aktualizuj telefon, komputer i aplikacje;
- uważaj na publiczne Wi-Fi przy logowaniu do ważnych usług.
Przeczytaj też, czym jest doxxing i jakie niesie zagrożenia.
Jak pomoże Ci usługa Chroń PESEL?
W takiej sytuacji warto sprawdzić trzy pakiety Chroń PESEL. Usługa nie usuwa danych z internetu i nie blokuje samego wycieku, ale pomoże szybciej zauważyć próby wykorzystania danych i zareagować. W zależności od pakietu możesz otrzymywać powiadomienia o określonych zdarzeniach dotyczących Twojego PESEL-u, korzystać z raportów oraz dodatkowego wsparcia przewidzianego w warunkach usługi.
To szczególnie przydatne, gdy:
- Twoje dane znalazły się w wycieku,
- podałeś PESEL w fałszywym formularzu,
- zgubiłeś dokument,
- ktoś próbował podszyć się pod Ciebie,
- dostajesz podejrzane wiadomości po wycieku,
- chcesz szybciej reagować na sygnały możliwego nadużycia.
Podsumowanie
Podejrzane SMS-y i strony zgłaszaj do CERT Polska. Jeśli ktoś wykorzystał Twoje dane, zabezpiecz dowody i zgłoś sprawę policji, prokuraturze, administratorowi serwisu lub UODO – zależnie od sytuacji. Najważniejsza jest szybka, spokojna reakcja krok po kroku.
Jeśli chcesz monitorować swój PESEL i szybciej reagować na próby wykorzystania danych, sprawdź trzy pakiety Chroń PESEL. To dodatkowe wsparcie po wycieku, szczególnie wtedy, gdy w grę wchodzi ryzyko kradzieży tożsamości.
Najczęściej zadawane pytania FAQ
Najpierw ustal, jakie dane wyciekły. Jeśli wyciekło hasło, zmień je od razu i wyloguj aktywne sesje. Jeśli wyciekł PESEL lub dane dokumentu, rozważ zastrzeżenie PESEL. Jeśli wyciekły dane karty lub bankowości, skontaktuj się z bankiem. Monitoruj też podejrzane wiadomości, telefony i próby użycia danych.
Czy po wycieku danych trzeba zastrzec PESEL?
Warto to rozważyć, jeśli wyciekły numer PESEL, dane z dowodu, skan dokumentu, adres zamieszkania albo zestaw informacji pozwalający podszyć się pod Ciebie. Zastrzeżenie PESEL nie usuwa danych z internetu, ale ogranicza ryzyko wybranych nadużyć, zwłaszcza przy próbach zawarcia umów finansowych.
Gdzie zgłosić wyciek danych osobowych?
Jeśli wyciek dotyczy firmy lub serwisu, skontaktuj się z administratorem danych. Jeśli podejrzewasz naruszenie RODO, możesz złożyć skargę do UODO. Podejrzane SMS-y i strony zgłaszaj do CERT Polska. Jeśli ktoś wykorzystał Twoje dane do oszustwa, zgłoś sprawę policji lub prokuraturze.
Czy wyciek adresu e-mail jest groźny?
Sam adres e-mail zwykle nie wystarczy do kradzieży tożsamości, ale może zostać użyty do phishingu, spamu, prób resetowania haseł albo łączenia danych z innych wycieków. Po takim incydencie warto zmienić hasło do poczty, włączyć 2FA i uważać na podejrzane wiadomości.
Co zrobić, jeśli wyciekło hasło?
Zmień hasło w serwisie, którego dotyczył wyciek. Jeśli używałeś tego samego hasła gdzie indziej, zmień je również w innych miejscach. Włącz 2FA, sprawdź aktywne sesje i usuń nieznane urządzenia. Najlepiej używać unikalnych haseł zapisanych w menedżerze haseł.
Czy trzeba wymienić dowód po wycieku danych?
Nie zawsze. Wymiana lub unieważnienie dokumentu może być potrzebne, jeśli wyciekł skan dowodu, seria i numer dokumentu albo masz podejrzenie, że ktoś wykorzystał dane z dokumentu. W razie podejrzenia kradzieży tożsamości możesz zgłosić nieuprawnione wykorzystanie danych przez gov.pl lub w urzędzie.
Źródła
- Ministerstwo Cyfryzacji, „Twoje dane wyciekły? Reaguj szybko z mObywatelem!”, dostęp: 2.06.2026.
- Gov.pl, „Sprawdź, kto weryfikował, czy masz zastrzeżony numer PESEL”, dostęp: 2.06.2026.
- Gov.pl, „Ważne zmiany od 1 czerwca: zastrzeż PESEL…”, dostęp: 2.06.2026.
- UODO, „Poradnik dotyczący naruszeń ochrony danych osobowych”, dostęp: 2.06.2026.
- UODO, „Masz prawo złożyć skargę do Prezesa UODO”, dostęp: 2.06.2026.
- CERT Polska, „Zgłoś incydent”, dostęp: 2.06.2026.
- Gov.pl, „Zgłoś nieuprawnione wykorzystanie swoich danych osobowych – kradzież tożsamości – unieważnij dowód”, dostęp: 2.06.2026.
Niniejszy materiał ma charakter wyłącznie marketingowy i ma na celu zachęcenie do nabycia usług Chroń PESEL świadczonych przez Kaczmarski Group Sp. J. oraz jej partnerów, tj. KRD BIG S.A. oraz TU Europa S.A. Materiał ten nie ma charakteru konsultingowego i nie powinien stanowić wyłącznej podstawy do podjęcia jakichkolwiek decyzji. Rekomendowane jest zapoznanie się ze szczegółowymi zasadami świadczenia usług Chroń PESEL, określonymi w odpowiednich Regulaminach, Ogólnych Warunkach, Warunkach ubezpieczenia oraz Cennikach (dostępnych na stronach internetowych chronpesel.pl).