Twój dostawca zewnętrzny miał wyciek. Twoi klienci są na liście. Co teraz?

Twój dostawca zewnętrzny miał wyciek. Twoi klienci są na liście. Co teraz?

Nie Ty zawiniłeś. Nie u Ciebie był incydent. A jednak telefon dzwoni, klienci pytają o swoje dane, a UODO też się przygląda. Bo prawda jest taka że odpowiedzialność za dane swoich klientów masz Ty – niezależnie od tego komu je powierzyłeś.

Scenariusz powtarza się regularnie. Dostawca usług IT, firma hostingowa, system mailingowy, biuro rachunkowe albo zewnętrzny dział HR – ktokolwiek komu powierzyłeś dane swoich klientów lub pracowników – informuje Cię że doszło u nich do naruszenia.

Mail jest często krótki i lakoniczny. "Informujemy że doszło do incydentu bezpieczeństwa. Część danych Państwa klientów mogła być objęta naruszeniem. Pracujemy nad ustaleniem szczegółów."

I teraz musisz coś zrobić. Pytanie tylko co dokładnie.

Pierwsza rzecz do zrozumienia: Ty nadal jesteś administratorem

To jest fundament wszystkich kolejnych decyzji.

Gdy powierzyłeś dane swoich klientów dostawcy usług – on stał się podmiotem przetwarzającym w rozumieniu art. 28 RODO. Ale Ty nadal jesteś administratorem tych danych. Twoja odpowiedzialność wobec klientów nie znika dlatego że incydent zdarzył się u kogoś z kim podpisałeś umowę.

Klient którego dane wyciekły nie zwróci się do Twojego dostawcy. Zwróci się do Ciebie. Bo to Tobie powierzył swoje dane – nie firmie której nawet nie zna z nazwy.

UODO też pójdzie do Ciebie. Bo to Ty jako administrator masz obowiązek nadzorowania podmiotów którym powierzyłeś przetwarzanie. To Ty miałeś wybrać dostawcę dającego gwarancje bezpieczeństwa. To Ty miałeś podpisać odpowiednią umowę powierzenia.

Dostawca też ma odpowiedzialność – ale to nie zwalnia Ciebie z Twojej.

72 godziny zaczynają się gdy Ty się dowiesz

Twoje 72 godziny na zgłoszenie do UODO nie liczą się od momentu gdy doszło do naruszenia u dostawcy. Liczą się od momentu gdy Ty się o tym dowiedziałeś.

Dlatego tak ważna jest umowa powierzenia która zawiera obowiązek niezwłocznego informowania administratora o incydentach. Bez tego dostawca może milczeć przez tygodnie, a Ty dowiesz się o naruszeniu od dziennikarza albo od własnego klienta. Niby termin ruszył dopiero po tygodniach, ale UODO może mieć pretensje ze ma się za słabe systemy wykrywania naruszeń.

Sprawdź dzisiaj umowy ze swoimi dostawcami przetwarzającymi dane. Czy obowiązek powiadomienia jest wyraźnie zapisany? Czy jest termin – 24 godziny, 48, "bez zbędnej zwłoki"? Co dokładnie dostawca ma Ci przekazać w pierwszej informacji?

Jeśli tego nie ma – aktualizuj umowy.

Co konkretnie zrobić gdy dostaniesz informację o naruszeniu

Działania w kolejności priorytetów.

Po pierwsze – zażądaj szczegółów na piśmie.

Lakoniczny mail "doszło do incydentu" nie wystarczy. Potrzebujesz konkretów żeby ocenić ryzyko i zgłosić sprawę. Jakie dane były objęte. Jaka skala. Kiedy doszło do naruszenia. Kiedy zostało wykryte. Jakie działania zaradcze podjął dostawca. Jakie konkretnie kategorie Twoich klientów lub pracowników są na liście.

Bez tych informacji nie da się dokonać oceny ryzyka i podjąć dalszych decyzji. Wymagaj ich na piśmie i z konkretami.

Po drugie – oceń ryzyko dla swoich podmiotów danych.

To jest Twoja ocena, nie ocena dostawcy. Dostawca powie Ci co się stało technicznie. Ty musisz ocenić co to znaczy dla Twoich klientów.

Wyciekły same adresy mailowe? Ryzyko spamu i potencjalnego phishingu. Wyciekły hasła w formie nieszyfrowanej? Wysokie ryzyko przejęcia kont w innych serwisach gdzie klient używał tego samego hasła. Wyciekły numery PESEL i dane finansowe? Bardzo wysokie ryzyko kradzieży tożsamości i oszustw finansowych.

Ta ocena decyduje o wszystkim co dzieje się dalej.

Po trzecie – zgłoś do UODO.

Jeśli ryzyko jest realne – co w przypadku wycieku u dostawcy zazwyczaj jest – masz 72 godziny na zgłoszenie. Formularz na stronie UODO. Opisujesz to co wiesz z konkretnym wskazaniem że incydent zdarzył się u podmiotu przetwarzającego. Nie zatajasz tej informacji – wręcz przeciwnie. Wskazanie że incydent był po stronie dostawcy nie zwalnia Cię z obowiązku zgłoszenia ale pokazuje organom że działasz transparentnie.

Po czwarte – oceń obowiązek informowania klientów.

Przy wycieku który niesie wysokie ryzyko dla praw i wolności osób – masz obowiązek poinformować poszkodowanych. To jest osobny obowiązek od zgłoszenia do UODO.

Informacja musi być bezpośrednia, w prostym języku, zawierać opis incydentu, jego potencjalne konsekwencje i działania które klient może podjąć żeby się zabezpieczyć. Przy wycieku haseł – rekomendacja zmiany haseł we wszystkich serwisach gdzie używał tego samego. Przy wycieku danych finansowych – sugestia obserwacji kont bankowych.

Twoja relacja z dostawcą w trakcie i po incydencie

Umowa powierzenia która podpisałeś powinna regulować odpowiedzialność dostawcy za naruszenia. Większość dobrych umów zawiera klauzule o odpowiedzialności finansowej za szkody wynikające z incydentu po stronie podmiotu przetwarzającego.

Dokumentuj wszystko. Każda wymiana mailowa z dostawcą po incydencie jest potencjalnym dowodem przy ewentualnym dochodzeniu roszczeń. Zachowaj timeline kto kiedy co Ci powiedział. Zachowaj wszystkie raporty techniczne które dostawca przedstawił. Zachowaj informacje o działaniach naprawczych które obiecał wdrożyć.

Jeśli musisz wypłacić odszkodowania klientom albo zapłacisz karę UODO – Twoja umowa z dostawcą może być podstawą do odzyskania tych kwot od podmiotu który zawinił.

I jeśli incydent pokazuje że dostawca nie ma odpowiednich zabezpieczeń – wynik dla Ciebie powinien być rozmową o zakończeniu współpracy. Trzymanie się dostawcy który właśnie naruszył dane Twoich klientów może być przy następnym incydencie traktowane przez UODO jako lekceważenie obowiązków administratora.

Co zrobić zanim to się zdarzy

Trzy rzeczy które warto sprawdzić jutro u siebie w firmie.

Lista wszystkich podmiotów przetwarzających dane w Twoim imieniu.

Kto ma dostęp do danych Twoich klientów lub pracowników? Hosting strony internetowej. System CRM. Mailing zewnętrzny. Biuro rachunkowe. Firma sprzątająca która ma klucze do biura. Zewnętrzny dział HR. Marketingowiec z zewnątrz. Często ta lista jest dłuższa niż zakładasz.

Umowa powierzenia z każdym z nich.

Czy faktycznie istnieje umowa z elementami art. 28 RODO – nie tylko ogólne warunki świadczenia usługi? Czy zawiera obowiązek niezwłocznego informowania o incydentach? Czy reguluje odpowiedzialność dostawcy?

Procedura na wypadek powiadomienia o incydencie u dostawcy.

Kto u Ciebie w firmie ma dostać taki sygnał? Kto podejmuje decyzje? Jaka jest ścieżka eskalacji? Czy IOD wie co robić w pierwszych dwóch godzinach po otrzymaniu maila od dostawcy?

Bez tej procedury każdy incydent u dostawcy zaczyna się od chaosu. Z procedurą – zaczyna się od konkretnych kroków.

Realia rynku w 2026

Powierzanie danych jest dziś standardem. Mało która firma przetwarza wszystkie swoje dane wyłącznie wewnętrznie. SaaS-y, chmura, outsourcing – to są codzienność.

To znaczy że ryzyko wycieku u dostawcy jest stałym elementem prowadzenia działalności. Pytanie nie brzmi "czy to się może zdarzyć" ale "co zrobisz gdy się zdarzy."

Firmy które myślą o tym z wyprzedzeniem – mają umowy, procedury, listę dostawców z aktualną oceną ryzyka. Reagują na incydent w godzinach a nie w dniach.

Firmy które o tym nie myślą – dowiadują się o incydencie od dziennikarza albo od klienta który zgłasza sprawę do UODO.

Wybór między tymi dwoma scenariuszami robisz dziś. Gdy jeszcze nic się nie stało.

Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.