Poradniki

Jak sprawdzić, czy moje dane wyciekły? Przewodnik krok po kroku

Sprawdź, czy Twoje dane osobowe lub hasła pojawiły się w wycieku. Dowiedz się, co robić po wycieku danych i kiedy zgłosić sprawę do UODO.

Redakcja Bezpieczny Internet Ostatnia aktualizacja 17 czerwca 2026

Najważniejsze informacje

Have I Been Pwned (haveibeenpwned.com) to bezpłatne, wiarygodne narzędzie do sprawdzania, czy twój adres e-mail pojawił się w znanych wyciekach danych — warto sprawdzać co kilka miesięcy.
Wyciek PESEL i danych dokumentów tożsamości jest szczególnie groźny w Polsce — na tej podstawie można próbować zaciągnąć pożyczkę przez internet lub wyrobić abonament telefoniczny.
Obowiązek zgłoszenia wycieku do UODO w ciągu 72 godzin spoczywa na firmach, nie na osobach prywatnych — ale jako osoba prywatna możesz złożyć skargę, jeśli firma nieprawidłowo chroniła twoje dane.
Po wykryciu wycieku zmień hasło w serwisie, którego dotyczy incydent, i sprawdź, czy tego samego hasła nie używasz gdzie indziej — credential stuffing to główna droga wykorzystania skradzionych danych.
Unikalne hasła dla każdego konta są najskuteczniejszym sposobem ograniczenia szkód z wycieku — jeden kompromitowany serwis nie otwiera wtedy dostępu do pozostałych.

Spis treści

Czym jest wyciek danych?
Co zwykle wycieka?
Jak sprawdzić, czy Twoje dane wyciekły?
Metoda 1: Have I Been Pwned
Metoda 2: Sprawdzenie hasła (Pwned Passwords)
Metoda 3: Alerty z menedżera haseł
Metoda 4: Powiadomienia z serwisów
Co robić po wykryciu wycieku?
Krok 1: Zmień hasło natychmiast
Krok 2: Włącz weryfikację dwuetapową
Krok 3: Sprawdź aktywne sesje
Krok 4: Poinformuj bank, jeśli wyciekły dane finansowe
Krok 5: Zastrzeż PESEL, jeśli wyciekły dane osobowe
Krok 6: Monitoruj konta i raporty BIK
Kiedy i jak zgłosić sprawę do UODO?
Jak zapobiegać skutkom przyszłych wycieków?
Co zrobić teraz?

Wyobraź sobie, że ktoś ma Twój adres e-mail, hasło i numer telefonu — i nie masz o tym pojęcia. Taka sytuacja dotyka miliony Polaków każdego roku: dane wyciekają z serwisów, aplikacji, sklepów internetowych i trafiają do ciemnych zakamarków internetu. Problem w tym, że firmy nie zawsze informują użytkowników o naruszeniu, a nawet jeśli to robią — bywa że po wielu miesiącach.

CERT Polska odnotowuje systematyczny wzrost liczby incydentów związanych z kradzieżą danych. Wiele z nich zaczyna się właśnie od wycieku — atakujący kupuje bazę danych z jednego wycieku i testuje te poświadczenia na innych serwisach (atak credential stuffing). Jeśli używasz tego samego hasła w kilku miejscach, jeden wyciek może otworzyć wiele drzwi.

Czym jest wyciek danych?

Wyciek danych (ang. data breach) to nieuprawniony dostęp do bazy danych firmy lub serwisu, w wyniku którego dane użytkowników trafiają w niepowołane ręce. Może do niego dojść na wiele sposobów:

Atak hakerski — przestępca włamuje się do serwera firmy i kopiuje bazę danych.
Błąd ludzki — pracownik przypadkowo udostępnia bazę publicznie (np. niezabezpieczony serwer S3).
Insider threat — nieuczciwy pracownik sprzedaje dane.
Niezałatana luka — atakujący wykorzystuje znany błąd w oprogramowaniu, którego firma nie zaktualizowała.

Po wycieku dane trafiają na podziemne fora, dark web lub są sprzedawane w pakietach. Mogą tam leżeć latami, nim ktoś je efektywnie wykorzysta.

Co zwykle wycieka?

Nie każdy wyciek jest tak samo niebezpieczny. Oto, co najczęściej pojawiało się w znanych incydentach:

Typ danych	Poziom ryzyka	Przykłady
Adresy e-mail	Średni	Spam, phishing ukierunkowany
Hasła (zahaszowane)	Wysoki	Odzyskanie słabych haseł, credential stuffing
Hasła w plaintext	Krytyczny	Natychmiastowy dostęp do kont
Numery telefonów	Wysoki	Smishing, SIM swap
Adresy zamieszkania	Wysoki	Wyłudzenia, fizyczne zagrożenia
Dane karty płatniczej	Krytyczny	Nieautoryzowane transakcje
Numer PESEL	Krytyczny	Wyłudzenia kredytów, kradzież tożsamości
Data urodzenia	Średni	Ułatwia inne ataki

Szczególnie niebezpieczne w Polsce są wycieki PESEL i danych dokumentów tożsamości — na ich podstawie można próbować zaciągnąć kredyt lub wyłudzić telefon na abonament.

Jak sprawdzić, czy Twoje dane wyciekły?

Metoda 1: Have I Been Pwned

Najpopularniejszym i najbardziej wiarygodnym narzędziem jest serwis Have I Been Pwned (haveibeenpwned.com) prowadzony przez australijskiego eksperta ds. bezpieczeństwa Troy’a Hunta. Serwis agreguje dane z tysięcy znanych wycieków — ponad 14 miliardów skradzionych rekordów.

Jak to działa:

Wejdź na haveibeenpwned.com.
Wpisz swój adres e-mail i kliknij „pwned?”.
Serwis sprawdza e-mail w swojej bazie (nie przechowuje go bez Twojej zgody).
Wynik pokaże, w jakich wyciekach pojawił się Twój adres i jakie dane zostały ujawnione.

„Uwaga:” Wynik „nie znaleziono” nie oznacza, że Twoje dane nigdy nie wyciekły — oznacza tylko, że nie ma ich w bazach znanych serwisowi. Nowe wycieki są dodawane regularnie, więc warto sprawdzać co kilka miesięcy.

Możesz też włączyć powiadomienia e-mail — serwis wyśle alert, jeśli Twój adres pojawi się w nowym wycieku.

Metoda 2: Sprawdzenie hasła (Pwned Passwords)

Have I Been Pwned oferuje też zakładkę Pwned Passwords, gdzie możesz sprawdzić konkretne hasło bez wysyłania go na serwer. Serwis używa metody k-anonimowości: Twoje urządzenie oblicza hash hasła, wysyła tylko jego pierwszych 5 znaków, a serwis odsyła listę skróceń pasujących do tego prefiksu — Twoje urządzenie lokalnie sprawdza, czy pełny hash jest na liście.

Szczegółowy przewodnik po sprawdzaniu haseł znajdziesz w artykule Jak sprawdzić, czy twoje hasło wyciekło? Poradnik.

Metoda 3: Alerty z menedżera haseł

Jeśli korzystasz z menedżera haseł (np. Bitwarden, 1Password), prawdopodobnie ma on wbudowaną funkcję sprawdzania wycieków, która porównuje Twoje dane z bazami wycieków i alertuje o zagrożeniach. Więcej o menedżerach haseł w serwisie /menedzery-hasel/.

Metoda 4: Powiadomienia z serwisów

Polskie banki i większe serwisy mają obowiązek informować o wycieku, jeśli dotyczy on Twoich danych. Sprawdzaj e-maile od serwisów, z których korzystasz — ale uważaj na phishing podszywający się pod takie powiadomienia (o tym w Jak chronić się przed phishingiem? Praktyczny poradnik).

Co robić po wykryciu wycieku?

Odkrycie, że Twoje dane wyciekły, jest stresujące. Działaj spokojnie, ale szybko — oto lista priorytetów.

Krok 1: Zmień hasło natychmiast

Zmień hasło do konta, którego dotyczy wyciek. Jeśli to samo hasło używałeś w innych serwisach — zmień je też tam. Użyj unikalnego, losowego hasła dla każdego konta. Wskazówki znajdziesz w Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć i w artykule o bezpiecznych hasłach.

Krok 2: Włącz weryfikację dwuetapową

Jeśli konto na to pozwala, natychmiast włącz Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć. To drugi zamek — nawet jeśli atakujący ma Twoje hasło, nie zaloguje się bez drugiego składnika.

Krok 3: Sprawdź aktywne sesje

Na większości platform (Gmail, Facebook, konta bankowe) możesz zobaczyć, z jakich urządzeń i lokalizacji ktoś się logował. Jeśli widzisz podejrzane sesje — wyloguj je natychmiast i zmień hasło.

Krok 4: Poinformuj bank, jeśli wyciekły dane finansowe

Jeśli wyciekły dane karty płatniczej lub dane do logowania do bankowości — zadzwoń na infolinię banku. PKO BP, mBank, ING i inne banki mają procedury na takie sytuacje. Możesz zastrzec kartę i zamówić nową. Bank może też założyć alert na Twoim koncie.

Krok 5: Zastrzeż PESEL, jeśli wyciekły dane osobowe

Jeśli wyciek obejmował Twój PESEL lub dane dokumentów tożsamości, skorzystaj z usługi zastrzeżenia PESEL dostępnej przez mObywatel lub gov.pl. Zastrzeżony PESEL utrudnia wyłudzenie kredytu lub pożyczki na Twoje dane.

Krok 6: Monitoruj konta i raporty BIK

Przez kolejne tygodnie regularnie sprawdzaj wyciągi bankowe i historię transakcji. Możesz też pobrać raport z Biura Informacji Kredytowej (BIK) — darmowy raz na 6 miesięcy — by sprawdzić, czy ktoś nie zaciągnął kredytu na Twoje dane.

Kiedy i jak zgłosić sprawę do UODO?

Urząd Ochrony Danych Osobowych (uodo.gov.pl) to polski organ nadzorczy ds. ochrony danych osobowych.

Kiedy warto zgłosić skargę do UODO jako osoba prywatna:

Podejrzewasz, że firma nieprawidłowo chroniła Twoje dane.
Firma nie poinformowała Cię o wycieku, choć miała taki obowiązek.
Firma nie odpowiada na Twoje zapytania dotyczące przetwarzania danych.

Skargę możesz złożyć przez platformę UODO online (uodo.gov.pl) lub listownie. UODO ma 3 miesiące na rozpatrzenie skargi.

Pamiętaj: Obowiązek zgłoszenia naruszenia danych do UODO w ciągu 72 godzin spoczywa na firmach, nie na osobach prywatnych. Jeśli firma, która przechowywała Twoje dane, doznała wycieku — to ona powinna zgłosić incydent do UODO i poinformować Cię, jeśli naruszenie stwarza wysokie ryzyko dla Twoich praw i wolności.

Jak zapobiegać skutkom przyszłych wycieków?

Nie możesz w pełni zapobiec temu, że firma, z której korzystasz, dozna wycieku. Możesz jednak ograniczyć szkody:

Unikalne hasła dla każdego konta — wyciek z jednego serwisu nie otworzy innych kont.
Menedżer haseł — jedyna praktyczna metoda zarządzania dziesiątkami unikalnych haseł.
Osobny adres e-mail do rejestracji — możesz używać aliasów e-mail, by ukryć swój główny adres.
Minimalizacja danych — podawaj tylko te dane, które są absolutnie konieczne do rejestracji.
Regularne sprawdzanie Have I Been Pwned — co kilka miesięcy lub po głośnych incydentach.

Więcej o ogólnych zasadach bezpieczeństwa w sieci znajdziesz w Bezpieczne korzystanie z internetu — kompletny przewodnik.

Gdy wyciek obejmuje numer PESEL lub dane dowodu, grozi ci coś więcej niż spam — zobacz Kradzież tożsamości — co robić i jak się chronić w Polsce.

Co zrobić teraz?

Nie czekaj na moment, gdy ktoś zadzwoni z banku z informacją, że masz nowe zobowiązanie. Działaj prewencyjnie:

Teraz, natychmiast: Wejdź na haveibeenpwned.com i sprawdź swój główny adres e-mail oraz wszystkie inne, których używasz.
Jeśli znajdziesz wyciek: Zmień hasło do dotkniętego konta, sprawdź aktywne sesje, włącz 2FA.
W kolejnych dniach: Przejrzyj konta bankowe, pobierz raport BIK, zainstaluj menedżer haseł.
Jeśli wyciekł PESEL: Zastrzeż go przez mObywatel lub gov.pl.
Ustaw powiadomienie w Have I Been Pwned na swoje adresy e-mail, by dostawać alerty o nowych wyciekach.
Włącz Weryfikacja dwuetapowa (2FA): jak działa i dlaczego warto ją włączyć wszędzie, gdzie to możliwe — to najlepsza ochrona na wypadek, gdy hasło wycieknie ponownie.

Sprawdzenie zajmie mniej niż 5 minut. Może uchronić Cię przed stratą pieniędzy, tożsamości i wielu nerwów.

Najczęściej zadawane pytania o jak sprawdzić czy moje dane wyciekły

Jak sprawdzić, czy moje dane wyciekły?

Skorzystaj z serwisu Have I Been Pwned (haveibeenpwned.com) — wpisz swój adres e-mail, a strona sprawdzi go w bazie znanych wycieków. To bezpłatne narzędzie prowadzone przez eksperta ds. bezpieczeństwa Troy'a Hunta, które śledzi miliardy skradzionych rekordów.

Co robić po wycieku danych?

Natychmiast zmień hasło do konta, którego dotyczy wyciek, i do wszystkich miejsc, gdzie używasz tego samego hasła. Włącz weryfikację dwuetapową. Jeśli wyciekły dane finansowe, skontaktuj się z bankiem i monitoruj konto. Zastrzeż PESEL w serwisie Ministerstwa Cyfryzacji, jeśli wyciekły dane osobowe.

Czy muszę zgłaszać wyciek do UODO?

Jeśli jesteś osobą prywatną i to Twoje dane wyciekły, nie masz obowiązku zgłaszania do UODO — ale możesz złożyć skargę, jeśli podejrzewasz, że firma niewłaściwie chroniła Twoje dane. Obowiązek zgłoszenia do UODO w ciągu 72 godzin spoczywa na firmach, które doznały naruszenia.

Skąd wiedzieć, które hasło wyciekło?

Have I Been Pwned ma też funkcję Pwned Passwords — możesz sprawdzić konkretne hasło (bez ujawniania go stronie). Serwis używa metody k-anonimowości: wysyłasz tylko fragment hashu hasła, nie jego treść. Szczegóły opisujemy w artykule Jak sprawdzić, czy twoje hasło wyciekło? Poradnik.

Czy wyciek danych to sprawa tylko dla firm i celebrytów?

Nie. Każdego roku w wyciekach pojawiają się miliony zwykłych kont z polskich i zagranicznych serwisów — sklepów, forów, aplikacji. Przestępcy automatycznie testują skradzione dane na innych stronach (credential stuffing). Dlatego każde konto warte jest sprawdzenia.