Wycieki danych w polskich firmach 2026 [RAPORT]. Największe wpadki i kary UODO

TL;DR

Cztery liczby, które definiują rok 2025 w polskim cyberbezpieczeństwie:

• 22 435 — naruszenia ochrony danych zgłoszone do UODO (wzrost o 60% r/r)
• 64,29 mln PLN — łączna suma kar (wzrost o 362% r/r)
• 78 391 incydentów phishingowych według CERT Polska — wektor numer jeden
• 77% polskich MŚP wydaje na cyberbezpieczeństwo 50 000 PLN rocznie lub mniej, podczas gdy średni globalny koszt udanego wycieku to 17,5 mln PLN

Wnioski dla CISO: przestań inwestować w antywirus i pojedyncze audyty. Trzy priorytety na 2026: zarządzanie tożsamościami (Zero Trust + MFA wszędzie), zarządzanie Shadow AI w organizacji, ciągłe testy penetracyjne zamiast jednorazowych certyfikatów.

Skala kryzysu w liczbach

Lata 2024–2026 to w polskim cyberbezpieczeństwie cezura. Po dekadzie powolnego wdrażania RODO Urząd Ochrony Danych Osobowych przeszedł od fazy edukacyjnej do egzekucyjnej. Liczby są bezprecedensowe.

W 2024 roku do UODO wpłynęło 14 069 zgłoszeń naruszeń ochrony danych osobowych. W 2025 roku — 22 435. Wzrost o 60% w jeden rok. Towarzyszył mu skok skarg obywateli (blisko 13 000) i lawinowy wzrost decyzji administracyjnych: około 2000 w samym 2025 roku, gdy dla porównania francuski organ CNIL wydał ich 259.

Skok kar finansowych jest jeszcze bardziej drastyczny:

Rok	Łączne kary UODO	Zmiana r/r
2024	13,9 mln PLN	—
2025	64,29 mln PLN	+362,3%

Polska stała się jedną z najsurowszych jurysdykcji RODO w Europie. Sektory najmocniej dotknięte sankcjami w 2025: administracja publiczna (33,3% łącznych kar), branża medyczna (27,8%), spółki kapitałowe i duże przedsiębiorstwa (16,7%), MŚP i samozatrudnieni (11,1%).

Glosariusz:

• UODO (Urząd Ochrony Danych Osobowych) — polski regulator RODO. Może nakładać kary do 20 mln EUR lub 4% globalnego obrotu.
• CERT Polska — narodowy zespół reagowania na incydenty cyberbezpieczeństwa, część NASK.
• NIS2 — unijna dyrektywa o cyberbezpieczeństwie z 2022 roku, w Polsce zaimplementowana nowelizacją Ustawy o KSC z 19 lutego 2026, weszła w życie 3 kwietnia 2026.
• APT (Advanced Persistent Threat) — grupy zaawansowane, zwykle sponsorowane przez państwo (Rosja, Białoruś, Chiny, Korea Północna). Działają miesiącami w przejętej sieci, omijając klasyczne EDR.
• MFA (Multi-Factor Authentication) — uwierzytelnianie wieloskładnikowe. Brak MFA na kontach uprzywilejowanych jest najczęstszą przyczyną sukcesu ataku w polskich incydentach 2024–2026.

Anatomia największych wycieków: dziesięć przypadków, które zmieniły praktykę

Z ponad 22 tysięcy zgłoszeń wybraliśmy dziesięć incydentów, które w naszej ocenie najsilniej wpłynęły na praktykę regulacyjną i operacyjną w polskich firmach. To nie są największe co do liczby rekordów wycieki — niektóre dotyczyły setek osób. Ale każdy z nich zmienił sposób, w jaki UODO interpretuje wymogi RODO, lub stał się modelowym przykładem wektora ataku.

1. ALAB Laboratoria — pierwszy wielki wyciek medyczny

• Listopad 2023, postępowania 2024–2025
• 55 000 do ponad 200 000 rekordów — PESEL, dane medyczne, wyniki badań
• Wektor: ransomware grupy RA World z podwójnym wymuszeniem (szyfrowanie + groźba publikacji)
• Sektor: zdrowie

Pierwszy w historii Polski tak głęboki wyciek danych medycznych. ALAB powiadomił UODO i CERT Polska, ale początkowa komunikacja była chaotyczna co do realnej skali. Spółka uruchomiła weryfikację przez bezpiecznedane.gov.pl. UODO wszczęło rygorystyczną kontrolę zabezpieczeń. Postępowania odwoławcze toczyły się do 2024 roku z karami od 1,4 do ponad 4 mln PLN.

Lekcja: ransomware z eksfiltracją to nie tylko atak techniczny — to zarządzanie kryzysem komunikacyjnym. ALAB pokazał oba bieguny: prawidłowe powiadomienia ale chaotyczna pierwsza godzina informacji.

2. Uniwersytet Warszawski — anatomia ataku przez infostealera

• 15-16 kwietnia 2026, ujawnienie 21 kwietnia 2026
• 200 000 plików (850 GB), dotyczy ok. 32 800 osób — PESEL studentów, pracowników, kandydatów, doktorantów
• Wektor: kradzież poświadczeń (najpewniej infostealer na urządzeniu pracownika), zalogowanie legalnymi danymi
• Sektor: edukacja

Wyciek modelowy dla 2026 roku. Atakujący nie łamali kryptografii ani nie wykorzystywali zaawansowanych podatności — zalogowali się prawidłowymi danymi dostępowymi pozyskanymi z zainfekowanego laptopa pracownika. Kopiowanie 850 GB danych trwało od stycznia do lutego 2026 i nie wzbudziło żadnego alertu. UW powołał sztab kryzysowy, zgłosił do UODO, CBZC i CERT Polska. Postępowanie UODO trwa, oczekiwana surowa decyzja za brak MFA na dostępach krytycznych.

Lekcja: poświadczenia są najważniejszym wektorem 2026. Każda organizacja przetwarzająca PESEL bez MFA na każdym koncie z dostępem do bazy działa w trybie czekania na incydent.

3. ZUS — atak insidera

• Kwiecień 2024
• Dane około 300 płatników składek — PESEL, numery dowodów, rachunki bankowe, zwolnienia lekarskie
• Wektor: zagrożenie wewnętrzne (insider threat) — pracownik ZUS, członek związku zawodowego, wyeksportował bazę i wysłał na prywatny adres byłego działacza
• Sektor: administracja publiczna

ZUS zareagował szybko: konsekwencje służbowe wobec pracownika, powiadomienie poszkodowanych, zgłoszenie do prokuratury. UODO nakazał kategoryczne powiadomienie podmiotów danych ze względu na wysokie ryzyko kradzieży tożsamości przez platformę PUE ZUS.

Lekcja: insider threat zostaje w 2025 roku najtrudniejszym do wykrycia ryzykiem. Brak DLP (Data Loss Prevention), brak segmentacji uprawnień, brak monitoringu eksportów masowych — w tej trójcy luk niemal każda duża instytucja ma przynajmniej jeden punkt zapalny.

4. McDonald’s Polska + 24/7 Communication — rekordowa kara za błąd procesora

• Decyzja UODO opublikowana w 2025
• Znaczna część pracowników i franczyzobiorców sieci — PESEL, skany paszportów, grafiki pracy
• Wektor: błąd konfiguracji infrastruktury — dane w publicznie dostępnym katalogu na serwerze agencji zewnętrznej (procesora) obsługującej sieć
• Sektor: retail, gastronomia, IT-usługi marketingowe

Kara: 16 932 657 PLN dla McDonald’s Polska + 183 858 PLN dla 24/7 Communication. UODO ukarało McDonald’s za rażący brak analizy ryzyka, brak testowania zabezpieczeń procesora oraz pominięcie Inspektora Ochrony Danych w strategicznych procesach wdrożeniowych.

Lekcja: odpowiedzialność za bezpieczeństwo danych nie kończy się na granicy organizacji. Umowa powierzenia (DPA) musi być żywym dokumentem z faktycznymi audytami procesora — nie formalnością do podpisu raz w roku.

5. ING Bank Śląski — kara za nadmiarowe przetwarzanie

• Decyzja UODO opublikowana w 2025
• Masowe kopiowanie dokumentów klientów
• Wektor: błąd procesowy — bezpodstawne skanowanie dokumentów klientów w sytuacjach niewymaganych przez ustawę o przeciwdziałaniu praniu brudnych pieniędzy
• Sektor: finanse, bankowość

Kara: 18 416 400 PLN. Tu nie było ataku z zewnątrz. UODO ukarał ING za przetwarzanie danych klientów w sytuacjach standardowej obsługi reklamacji, gdzie AML nie wymagał kopiowania dokumentów.

Lekcja: „bezpieczeństwo” w RODO to nie tylko szyfrowanie. To minimalizacja danych — zbieranie i przetwarzanie tylko tych, które są niezbędne. Polski regulator stał się wyjątkowo czuły na nadmiarowość.

6. Poczta Polska — najwyższa kara w historii UODO

• Decyzja UODO opublikowana w 2025, dotyczy zdarzeń z 2020
• Około 30 milionów obywateli — cała baza wyborców z PESEL i adresami zameldowania
• Wektor: bezprawne przetwarzanie z urzędu — przekazanie danych Poczcie Polskiej pod wybory korespondencyjne 2020 bez wystarczającej podstawy prawnej
• Sektor: administracja publiczna, usługi pocztowe

Kara: 27 124 816 PLN — historyczne maksimum. Poczta Polska broniła się wykonywaniem decyzji administracyjnej organów nadrzędnych. UODO uznał, że administrator musi samodzielnie badać podstawę prawną przetwarzania (art. 6 RODO), nawet jeśli działa na formalne polecenie władzy.

Lekcja: „bo tak nam kazano” przestało być akceptowaną odpowiedzią. Każda organizacja przetwarzająca dane na podstawie polecenia służbowego musi wykonać własną analizę podstawy prawnej.

7. Apteka DOZ (Nowa Farmacja) — atak przez API łańcucha dostaw

• Lipiec 2024
• Kompletna baza klientów platform nowafarmacja.pl, zielnik.pl + integracja Allegro — imię, nazwisko, adres, e-mail, telefon, IP, historia zamówień ujawniająca stan zdrowia
• Wektor: atak na łańcuch dostaw — przejęcie loginu i hasła do API zewnętrznego operatora (Atomstore), eksfiltracja całej bazy
• Sektor: e-commerce, apteki online

DOZ szybko zablokował IP atakujących, zrotował klucze API, zgłosił do UODO, CERT Polska i CBZC. Komunikacja była częściowo niespójna (Niebezpiecznik krytykował sugestie o zastrzeżeniu PESEL z jednoczesnym zaprzeczaniem wycieku dokumentów). Decyzja UODO oczekiwana — szczególnie surowa z uwagi na historię zamówień jako dane szczególnej kategorii (art. 9 RODO).

Lekcja: klucz API do bazy z danymi medycznymi to klucz do całego skarbca. Rotacja kluczy musi być automatyczna i krótka (30 dni lub mniej). Brak MFA na koncie API jest dziś tym, czym 5 lat temu hasło admin/admin.

8. Glovo — kara za zbieranie skanów dokumentów

• 2026
• Tysiące użytkowników aplikacji w Polsce — zdjęcia i skany dokumentów tożsamości
• Wektor: błąd projektowy aplikacji (Privacy by Design flaw) — nadmiarowe pozyskiwanie danych
• Sektor: e-commerce, logistyka

Kara: 5 898 064 PLN. Glovo bezprawnie pozyskiwał i przechowywał kopie dokumentów tożsamości użytkowników i kurierów bez wyraźnej podstawy prawnej. Po kontroli zmienił mechanizmy weryfikacji w aplikacji.

Lekcja: dla aplikacji konsumenckich obowiązuje zasada minimalizacji. Skan dowodu osobistego to dane szczególnie wrażliwe — zbieranie ich „na wszelki wypadek” jest dziś milionami złotych ryzyka.

9. POLADA — sabotaż archiwów sportowych

• Sierpień 2024
• Kilkadziesiąt tysięcy plików archiwalnych — wyniki testów antydopingowych, dane medyczne czołowych polskich sportowców, korespondencja
• Wektor: zaawansowany ransomware z eksfiltracją, państwowi aktorzy sponsorowani z zewnątrz
• Sektor: sport, sektor publiczny

Raport ABW za 2025 wymienia ten atak jako modelowy przykład destrukcyjnego uderzenia wymierzonego w polskie struktury narodowe. POLADA opublikowała oświadczenia, izolowała węzły sieciowe, kooperowała z NASK.

Lekcja: dla sektora publicznego o strategicznym znaczeniu (sport, kultura, archiwa) cyberzagrożenie z państwowych APT jest realnym ryzykiem operacyjnym, nie scenariuszem teoretycznym.

10. Operator energetyczny (nieujawniony) — atak na SCADA

• Grudzień 2025
• Utrata komunikacji systemów SCADA z centralą w wielu stacjach — dane telemetryczne, instrukcje sterujące OT
• Wektor: wyrafinowany APT z dedykowanym malware uszkadzającym sterowniki RTU
• Sektor: energetyka, infrastruktura krytyczna

Atak nie spowodował przerw w dostawach energii dzięki natychmiastowemu przejściu na ręczne sterowanie. Operator współpracował z NASK i CERT Polska. Zgłoszony jako „incydent poważny” według ustawy o KSC. Brak kar — plan ciągłości działania zadziałał.

Lekcja: ICS/OT ma własny krajobraz zagrożeń. Tradycyjny EDR nie chroni sterowników przemysłowych. Audyt segmentacji sieci między IT a OT, wraz z testami procedur manualnych, przestał być opcjonalny.

Adnotacja metodologiczna: rzekome wycieki „16 miliardów haseł” z polskich firm (X-kom, BIK), na które powoływały się portale w 2025–2026, zostały zdementowane przez Ministerstwo Cyfryzacji oraz ekspertów. Były to combolisty — historyczne agregacje haseł wykradzionych z urządzeń końcowych przez infostealery, nie przełamanie centralnych baz tych firm. BIK uruchomił usługę monitoringu Darknetu w odpowiedzi.

Pięć trendów 2024–2026

Trend 1: Phishing wciąż dominuje, ransomware to finał

179 udanych ataków ransomware w 2025 (wzrost o 10% r/r) wobec 78 391 incydentów phishingowych według CERT Polska. Stosunek 1:435. Phishing pozostaje wektorem pierwszego kontaktu — szczególnie po rewolucji generatywnej AI, która skróciła czas tworzenia wiarygodnej wiadomości phishingowej z 16 godzin do 5 minut. Ransomware jest najczęściej trzecim aktem: po phishingu, po eksfiltracji, dopiero szyfrowanie.

Trend 2: MŚP są nowym celem ataków przez łańcuchy dostaw

19,2% polskich małych i średnich firm doświadczyło zewnętrznego ataku lub zagrożenia wewnętrznego. Hakerzy wiedzą, że przełamanie biura księgowego, agencji marketingowej lub dostawcy SaaS daje dostęp do zasobów korporacyjnych bez konieczności forsowania zapór dużej firmy docelowej. McDonald’s przez 24/7 Communication, DOZ przez Atomstore — to model na 2026 rok.

Trend 3: Shadow AI nowym, niedocenianym ryzykiem

Pracownicy używają nielicencjonowanych modeli językowych (ChatGPT, Gemini, Claude) do obróbki dokumentów firmowych bez wiedzy działów IT. Według IBM Cost of a Data Breach Report 2025, 97% organizacji, które ucierpiały na atakach z wykorzystaniem modeli AI, nie miało dedykowanej kontroli uprawnień AI IAM. Średni koszt wycieku w firmie z aktywnym Shadow AI rośnie o 670 000 USD. Wprowadzenie polityki, które aplikacje AI mogą procesować firmowe dokumenty, a jakie muszą być blokowane na poziomie DNS, stało się priorytetem.

Trend 4: Wojna w Ukrainie definiuje krajobraz APT

Rosyjskie grupy APT28 (Fancy Bear, GRU), APT29 (Midnight Blizzard, SVR) i białoruska UNC1151 zmieniły wektory z cichego cyberszpiegostwa na bezpośredni sabotaż. Operacje dzielą się na dwa nurty:

• Dezinformacja: przejęcie konta CMS w Polskiej Agencji Prasowej w maju 2024 i publikacja fałszywej depeszy o ogólnopolskiej mobilizacji.
• Sabotaż infrastruktury: uszkodzenie sterowników RTU w energetyce (grudzień 2025), eksfiltracja archiwów POLADA (sierpień 2024).

Według PwC Global Digital Trust Insights 2026, 60% polskich decydentów zwiększa wydatki na cyberbezpieczeństwo bezpośrednio z powodu niestabilności geopolitycznej.

Trend 5: UODO przeszedł od edukacji do egzekucji

Kary nie są już symboliczne. Średnia kara administracyjna w 2025 wzrosła kilkukrotnie wobec 2024. 17,6% największych kar dotyczyło opóźnienia zgłoszenia incydentu powyżej ustawowych 72 godzin lub braku skutecznego powiadomienia podmiotów danych — UODO traktuje to jako rażące zaniedbanie procedur powłamaniowych. Brak DPIA (Data Protection Impact Assessment), pomijanie IOD w decyzjach IT — to już nie ostrzeżenia, to kary.

NIS2 i ustawa o KSC: kalendarz kluczowy

19 lutego 2026 — Prezydent RP podpisał nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa, implementującą dyrektywę NIS2.

3 kwietnia 2026 — wejście w życie. Najważniejsze zmiany:

• Rozszerzenie jurysdykcji na 18 sektorów: energetyka, transport, finanse, ochrona zdrowia, woda pitna, infrastruktura cyfrowa, administracja publiczna, przestrzeń kosmiczna, usługi pocztowe i kurierskie, gospodarowanie odpadami, produkcja, dostawy chemikaliów, żywności, ICT (zarządzanie usługami), badania naukowe, edukacja, dostawcy usług cyfrowych.
• Kategoryzacja: „podmioty kluczowe” (essential entities) i „podmioty ważne” (important entities).
• Osobista odpowiedzialność zarządów za „należytą staranność cyfrową” — kary mogą obejmować osoby fizyczne, nie tylko firmę.
• Mechanizm Dostawcy Wysokiego Ryzyka (DWR) — Minister Cyfryzacji może nakazać bezodszkodowawczy demontaż technologii uznanej za niebezpieczną.

7 maja 2026 — otwarcie samorejestracji w Systemie S46.

3 października 2026 — ostateczny termin samorejestracji podmiotów kluczowych i ważnych.

Konsekwencje praktyczne: tysiące polskich firm, które dotąd nie były objęte regulacjami cyberbezpieczeństwa, muszą do października przeprowadzić analizę swojego statusu, wdrożyć minimalne wymagania (analiza ryzyka, plan ciągłości działania, raportowanie incydentów w 24/72 godzin), wyznaczyć osoby odpowiedzialne na poziomie zarządu.

Pięć wniosków praktycznych dla CISO

1. Tożsamość jest polem bitwy

Każdy z analizowanych incydentów 2024–2026 ma w tle jeden wspólny wektor: kradzież poświadczeń lub nadmiarowy dostęp. UW (infostealer), DOZ (klucz API bez MFA), McDonald’s (procesor bez segmentacji), Glovo (nadmiarowe pozyskiwanie). Priorytety:

• MFA na każdym koncie z dostępem do bazy zawierającej dane osobowe — bez wyjątków, bez „chwilowego wyłączenia na czas migracji”
• Rotacja kluczy API maksymalnie co 30 dni, automatycznie
• Segmentacja uprawnień — zasada najmniejszego przywileju egzekwowana okresową rewizją (kwartalnie minimum)
• Zero Trust Architecture dla każdego nowego wdrożenia — żaden ruch sieciowy nie jest „domyślnie zaufany”

2. Twoi procesorzy = twoja powierzchnia ataku

Umowy powierzenia (DPA) muszą być żywym dokumentem. Praktyczne wdrożenie:

• Lista procesorów aktualizowana automatycznie z systemów zakupowych, nie raz w roku ręcznie
• Audyt techniczny każdego procesora z dostępem do PESEL — minimum coroczny
• Klauzule penalne za incydent po stronie procesora w umowach
• Plan komunikacyjny dla incydentu po stronie procesora — kto powiadamia UODO i podmioty danych w 72h

3. Shadow AI musi być zarządzane, nie zabronione

Próba zakazu modeli językowych w organizacji prowadzi do tego, że pracownicy używają ich z prywatnych kont na prywatnych urządzeniach — ze wszystkimi danymi firmowymi. Praktyka:

• Polityka AI — które modele są dopuszczone, do jakich danych, z jakimi ograniczeniami
• Enterprise tier modeli (ChatGPT Enterprise, Claude Enterprise, Gemini Enterprise) z gwarantami non-training i kontrolą administracyjną
• Blokada DNS dla nieautoryzowanych modeli na poziomie firewalla i przeglądarki firmowej
• AI IAM — kontrola uprawnień jak dla każdego innego systemu

4. Test penetracyjny raz w roku to za mało

Tradycyjny audyt nie wykrywa większości problemów wymienionych w decyzjach UODO 2025. Modele:

• Continuous penetration testing lub Bug Bounty Program — ciągłe wynagradzanie niezależnych badaczy za zgłoszenia luk przed atakującymi
• Red Team / Blue Team exercises — minimum dwa razy w roku, z udziałem zewnętrznego red team
• Zarządzanie podatnościami w czasie ciągłym — narzędzia klasy CTEM (Continuous Threat Exposure Management)
• Audyt segmentacji IT/OT — szczególnie krytyczny dla produkcji i infrastruktury

5. Plan ciągłości działania na wypadek podwójnego wymuszenia

Ransomware z eksfiltracją (model RA World w ALAB) to nie atak na dostępność danych — to atak na reputację. Wymagania:

• Backupy w trzech kopiach, jedna air-gap (fizycznie odłączona od sieci)
• Procedura na wypadek szantażu medialnego — gotowy template komunikatu, autoryzowana osoba do mediów, plan komunikacji do UODO
• Symulacje sytuacji kryzysowych z udziałem zarządu — minimum raz w roku
• Procedury manualnego sterowania dla operacji krytycznych — energetyka pokazała, że to działa

Co dalej

Lata 2024–2026 zamknęły epokę „cyberbezpieczeństwo jako problem IT”. Wraz z NIS2, nowelizacją ustawy o KSC i serią rekordowych kar UODO, odpowiedzialność za bezpieczeństwo danych jest dziś sprawą zarządu.

Dla polskich firm 50–500 pracowników oznacza to konieczność trudnej decyzji: zwiększyć budżet bezpieczeństwa o 2-3 razy lub zaakceptować ryzyko miliona złotych kary za incydent, który zdarzy się statystycznie w ciągu kolejnych 24 miesięcy. Przy obecnym tempie wzrostu zgłoszeń do UODO (60% rok do roku) statystyka działa przeciwko każdej organizacji bez wdrożonych procedur ciągłego monitoringu zgodności.

W naszych analizach na cyberowi.pl będziemy przyglądać się każdemu nowemu wyciekowi, który pojawi się w polskiej przestrzeni publicznej — z naciskiem na wektor ataku, reakcję organizacji i konsekwencje regulacyjne. Zachęcamy do zgłaszania incydentów (anonimowo) przez nasz formularz zgłoś incydent — szczególnie tych, które jeszcze nie trafiły do UODO i CERT Polska. Anonimowe relacje od polskich CISO będą podstawą kolejnego raportu.

Zobacz też

• Koszt wycieku danych w polskiej firmie 2026 — raport redakcji
• Wycieki danych 2025: Polska w czołówce zagrożonych krajów
• Agentic AI w firmie? Poradnik CISA do bezpiecznego wdrożenia
• Cyfrowe podpalenie: atak na polską energetykę