Skrzynka, która wiedziała wszystko

Zaczęło się nie od alarmu w firmie, lecz od automatu u dostawcy hostingu. Mechanizm antyspamowy zauważył, że z jednej ze skrzynek klienta wychodzi masowa korespondencja, i zablokował konto — nie dlatego, że komukolwiek zagrażały przechowywane tam dane, tylko dlatego, że spam psuł reputację serwera pocztowego. Dopiero ta blokada uświadomiła właścicielowi kancelarii podatkowej, że skrzynka jednego z pracowników od jakiegoś czasu nie należy już wyłącznie do niego.

W poniedziałek 6 lipca 2026 r. Urząd Ochrony Danych Osobowych opublikował komunikat o decyzji, którą Prezes UODO Mirosław Wróblewski zakończył tę historię: administracyjna kara pieniężna w wysokości 11 594 zł za niewdrożenie środków zapewniających bezpieczeństwo danych osobowych (sprawa DKN.5131.34.2023). W przejętej skrzynce znajdowały się dane osobowe 111 podmiotów danych — klientów kancelarii, pracowników tych klientów oraz dzieci zgłoszonych do ubezpieczenia zdrowotnego. Imiona i nazwiska, numery PESEL, informacje o zarobkach, numery rachunków bankowych, dokumenty podatkowe i kadrowe. Wszystko, czego potrzebuje przestępca, by wziąć kredyt na cudze nazwisko albo przygotować oszustwo skrojone pod konkretną rodzinę.

Kwota kary nie robi wrażenia przy 11 mln zł dla DPD czy 5,9 mln zł dla Glovo, o których pisaliśmy w ostatnich tygodniach. I właśnie dlatego ta decyzja zasługuje na uważną lekturę. Ona nie jest adresowana do korporacji z działem compliance i sztabem prawników. Jest adresowana do dziesiątek tysięcy polskich firm zatrudniających kilka osób, w których cała infrastruktura przetwarzania danych osobowych mieści się w programie księgowym i skrzynce e-mail — i w których nikt nigdy nie przeprowadził analizy ryzyka, bo „jesteśmy za mali, żeby ktoś się nami interesował". UODO właśnie wysłał tym firmom wiadomość zwrotną.

Anatomia naruszenia: spam, blokada hostingu i żadnych logów

Rekonstrukcja zdarzeń na podstawie komunikatu urzędu jest pouczająca w każdym szczególe. Osoba nieuprawniona uzyskała dostęp do służbowego konta pocztowego jednego z pracowników kancelarii. Kiedy dokładnie — nie wiadomo. Jak długo korzystała ze skrzynki — nie wiadomo. Czy pobrała przechowywane tam dane — również nie wiadomo. Skrzynka była używana przez pracownika sporadycznie, więc przejęcie mogło pozostawać niezauważone tygodniami. Napastnik zdradził się dopiero wtedy, gdy zaczął wysyłać z konta spam, a i wówczas wykrył go nie administrator, lecz wspomniany automat dostawcy usługi hostingowej.

Kluczowe zdanie całej sprawy pada w opisie postępowania wyjaśniającego: administrator nie posiadał dostępu do logów ani innych środków pozwalających ustalić, czy doszło do pobrania danych przez nieuprawniony podmiot. Nie był też w stanie ustalić okoliczności, w jakich doszło do wysyłania spamu. Innymi słowy — firma przetwarzająca numery PESEL, dane płacowe i dokumenty podatkowe ponad stu osób nie dysponowała żadnym narzędziem, które pozwoliłoby odpowiedzieć na najprostsze pytania o incydent: kto, kiedy, skąd i co zrobił.

Kancelaria zgłosiła naruszenie Prezesowi UODO — co należy odnotować na plus, bo obowiązek z art. 33 RODO wykonała. Problem w tym, że treść zgłoszenia i późniejszych wyjaśnień odsłoniła przed organem nadzorczym stan faktyczny, którego żaden audytor nie mógłby zignorować: brak odrębnych regulacji dotyczących ochrony danych, brak analizy ryzyka dla przetwarzania danych za pośrednictwem poczty elektronicznej, zabezpieczenia nietestowane i nieoceniane pod kątem skuteczności. Zgłoszenie naruszenia stało się, jak ujął to sam urząd, „impulsem do dokonania oceny realizacji przez administratora obowiązków wynikających z przepisów RODO". Ocena wypadła tak, jak musiała wypaść.

Po drugiej stronie tej historii stoi sto jedenaście osób, które o niczym nie decydowały. Klient kancelarii powierzał jej dokumenty, bo tego wymaga rozliczenie podatku; pracownik klienta nie miał nawet świadomości, że jego wyciąg płacowy krąży w czyjejś skrzynce; rodzic zgłaszający dziecko do ubezpieczenia zdrowotnego tym bardziej. Zestaw danych, który mógł znaleźć się w rękach przestępcy — PESEL, dane o zarobkach, numer rachunku — wystarcza do próby wyłudzenia kredytu, założenia konta na cudze dane albo precyzyjnie skrojonego oszustwa telefonicznego. Dla tych osób realną ochroną jest dziś zastrzeżenie numeru PESEL i wzmożona czujność; obowiązek zawiadomienia ich o naruszeniu i jego możliwych konsekwencjach, jeżeli ryzyko dla ich praw i wolności jest wysokie, nakłada na administratora art. 34 RODO. To kolejny powód, dla którego „nie wiemy, czy coś pobrano" nie jest wygodną linią obrony — bez logów nie sposób rzetelnie ocenić ryzyka, a więc i rzetelnie wykonać obowiązków wobec ludzi.

Brak dowodu wycieku nie oznacza braku naruszenia

Linia obrony kancelarii była przewidywalna: skoro nie ma dowodu, że napastnik skopiował dane, to nie ma pewności, że doszło do naruszenia ochrony danych osobowych. Wysłał spam, trudno, przykra sprawa, ale dane klientów przecież „nie wyciekły". Prezes UODO rozprawił się z tym rozumowaniem jednoznacznie, przypominając definicję z art. 4 pkt 12 RODO: naruszeniem ochrony danych jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Dostępu — nie „udowodnionego pobrania". Osoba nieuprawniona przez nieustalony czas kontrolowała skrzynkę, w której leżały dane 111 osób, i już samo to wyczerpuje definicję naruszenia. Jak ujęto w komunikacie: „Brak dowodu na pozyskanie danych osobowych przez podmiot nieuprawniony, nie oznacza, że nie doszło do naruszenia ochrony danych osobowych". Argument „nie wiemy, czy coś pobrał" działa zresztą przeciwko temu, kto go podnosi — skoro administrator nie ma logów, to nie wie także, czy napastnik danych nie pobrał, a wątpliwości tego rodzaju obciążają tego, kto zaniedbał środki pozwalające je rozstrzygnąć.

To spójna linia orzecznicza, którą opisywaliśmy przy okazji wyroku WSA w sprawie Fortum i Piki: już w marcu 2026 r. Naczelny Sąd Administracyjny potwierdził, że sama ekspozycja danych na nieuprawniony dostęp stanowi naruszenie, niezależnie od tego, czy ktokolwiek zdążył z tej ekspozycji skorzystać. Decyzja w sprawie kancelarii podatkowej przenosi tę logikę z poziomu spółek energetycznych i systemów IT wartych miliony na poziom pojedynczej skrzynki e-mail w kilkuosobowej firmie. Zasada jest ta sama, zmienia się tylko skala.

Art. 24, 25 i 32 RODO: rachunek za zaniechania

Podstawy prawne decyzji układają się w kompletny katalog obowiązków, o których mała firma najczęściej nie ma pojęcia. Art. 24 RODO nakazuje administratorowi wdrożyć odpowiednie środki techniczne i organizacyjne uwzględniające charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych. Art. 25 wymaga uwzględniania ochrony danych w fazie projektowania i domyślnej ochrony danych. Art. 32 konkretyzuje obowiązek bezpieczeństwa — i to on jest sercem tej sprawy, wraz z zasadą integralności i poufności z art. 5 ust. 1 lit. f oraz zasadą rozliczalności z art. 5 ust. 2.

Warto zatrzymać się przy art. 32 ust. 1 lit. d, bo to przepis notorycznie ignorowany: administrator ma obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych. Nie „wdrożenia i zapomnienia" — testowania. W kancelarii nie testowano niczego, bo też nie bardzo było co: przed naruszeniem firma nie miała ani odrębnych regulacji dotyczących ochrony danych osobowych, ani przeprowadzonej analizy ryzyka dla procesu przetwarzania danych przez systemy objęte naruszeniem.

Po wykryciu incydentu — i już w trakcie postępowania przed organem — kancelaria nadrobiła zaległości: przeprowadziła analizę ryzyka, wdrożyła Politykę Bezpieczeństwa Informacji i procedury towarzyszące, w tym zasady nadawania haseł oraz czystego biurka i ekranu, wykonała audyt infrastruktury informatycznej, przeszkoliła pracowników. Prezes UODO odnotował te działania, po czym i tak nałożył karę. Lekcja jest brutalnie prosta: działania naprawcze podjęte po incydencie nie mażą wcześniejszych zaniedbań. RODO obowiązuje od maja 2018 r.; osiem lat „jakoś to było" nie znika dlatego, że po włamaniu firma w trzy miesiące zrobiła to, co powinna była zrobić dawno temu.

Kara niska, precedens ciężki

Kwota 11 594 zł została skalkulowana adekwatnie do skali podmiotu — kary z RODO mają być skuteczne, proporcjonalne i odstraszające, a wobec kilkuosobowej kancelarii kilkanaście tysięcy złotych spełnia te kryteria lepiej niż milion, którego firma i tak by nie zapłaciła. Ale o precedensowym ciężarze tej decyzji nie stanowi kwota, lecz uzasadnienie. Urząd powołał się na utrwaloną linię sądów administracyjnych: sankcji administracyjnej podlega nie ten, kto dopuścił do nieuprawnionego przetwarzania danych, lecz podmiot, który nie dochował odpowiedniego w danych okolicznościach standardu środków bezpieczeństwa. Karze się nie za skutek ataku, tylko za stan przygotowania na atak. Włamywacz odpowiada karnie, administrator — administracyjnie, i jedno nie wyklucza drugiego.

Ta decyzja nie jest zresztą odosobniona. Od przełomu 2025 i 2026 r. Prezes UODO systematycznie schodzi z sankcjami na poziom podmiotów, które jeszcze niedawno mogły czuć się poza radarem: w grudniu 2025 r. karę otrzymał Sanepid w Policach za brak zabezpieczeń i analizy ryzyka, w styczniu 2026 r. — przedsiębiorstwo pogrzebowe, w kwietniu — wspólnota mieszkaniowa. Do tego dochodzi opisywana przez nas kara 7,7 tys. zł dla Urzędu Miasta i Gminy Myślenice za dane w BIP. Wzorzec jest czytelny: organ nadzorczy przestał być instytucją od karania gigantów i konsekwentnie egzekwuje standard staranności tam, gdzie dotąd egzekwowała go wyłącznie statystyka — czyli nigdzie.

Jest i drugi wątek, którego małe firmy nie powinny przeoczyć. W tym samym tygodniu, 6 lipca, urząd opublikował także decyzję o karze za nieudzielenie Prezesowi UODO dostępu do informacji niezbędnych w postępowaniu (DKE.561.13.2025). Strategia „może się nie odezwą, a jak się odezwą, to przemilczymy" kończy się osobną sankcją, niezależną od meritum sprawy. Z organem nadzorczym się współpracuje — pytanie tylko, czy z pozycji firmy, która ma analizę ryzyka i dowody staranności, czy z pozycji tej, która ma do pokazania wyłącznie dobre intencje.

Poczta elektroniczna jest dziś archiwum firmy

Przypadek kancelarii obnaża zjawisko znacznie szersze niż jedna skrzynka. W małych i średnich firmach poczta elektroniczna pełni funkcję, do której nigdy nie była projektowana: jest jednocześnie kanałem komunikacji, systemem obiegu dokumentów, repozytorium umów i archiwum sięgającym często dekady wstecz. W skrzynce księgowej czy kadrowej leżą deklaracje podatkowe, wyciągi płacowe, skany dowodów, zwolnienia lekarskie, dane rodzin zgłaszanych do ubezpieczenia. Przejęcie jednego konta e-mail daje napastnikowi więcej niż niejedno włamanie do systemu informatycznego — bo dane w skrzynce są posegregowane, opisane i gotowe do użycia.

Skalę zagrożenia dokumentują liczby CERT Polska. W 2025 r. zespół otrzymał 658 320 zgłoszeń i zarejestrował 260 783 unikalne incydenty — o 152% więcej niż rok wcześniej. Phishing odpowiadał za 78 391 incydentów, prawie jedną trzecią wszystkich, a wśród utrwalonych schematów dominowały kampanie ukierunkowane właśnie na kradzież haseł do kont poczty elektronicznej i serwisów społecznościowych. Na Listę Ostrzeżeń trafiło w ubiegłym roku blisko 250 tys. domen — statystycznie nowa domena oszustów pojawia się co dwie minuty. Przejęte konto pocztowe jest w tej układance i celem, i narzędziem: raz zdobyte, służy do wysyłki spamu, dystrybucji kolejnego phishingu i ataków typu Business Email Compromise, w których przestępca z prawdziwej skrzynki firmy prosi jej kontrahentów o „aktualizację numeru rachunku".

Szczególnie niebezpieczne są konta używane sporadycznie — dokładnie takie jak w opisywanej sprawie. Skrzynka, do której nikt nie zagląda, to dla napastnika mieszkanie z kluczem pod wycieraczką: może w niej siedzieć miesiącami, czytać korespondencję, przekierowywać wiadomości i czekać na odpowiedni moment. Firmy inwentaryzują komputery i licencje, ale kont pocztowych — założonych dla praktykanta sprzed trzech lat, do rekrutacji, „na wszelki wypadek" — nie liczy prawie nikt.

Biura rachunkowe i kancelarie: małe firmy, wielkie dane

Sektorowy wymiar tej decyzji trudno przecenić. Kancelarie podatkowe, biura rachunkowe i kancelarie prawne to podmioty o szczególnym profilu ryzyka: małe organizacyjnie, a jednocześnie skupiające dane osobowe dziesiątek lub setek innych firm i ich pracowników. Biuro rachunkowe obsługujące pięćdziesięciu klientów przetwarza dane płacowe, PESEL-e i informacje o stanie zdrowia (choćby przez zwolnienia lekarskie) kilku tysięcy osób. Pod względem koncentracji danych to odpowiednik sporej spółki — tyle że bez jej budżetu na bezpieczeństwo, bez działu IT i często bez świadomości, że w ogóle jest atrakcyjnym celem.

Mechanizm jest analogiczny do tego, który opisywaliśmy przy wycieku z systemu Hotres: koncentrator danych pada, a skutki rozlewają się na wszystkich, których dane skupiał. Różnica polega na tym, że tym razem koncentratorem nie jest dostawca oprogramowania dla dwóch tysięcy hoteli, lecz zwykła kancelaria — a takich kancelarii i biur są w Polsce dziesiątki tysięcy. Każde z nich jest dla swoich klientów dokładnie tym, czym Hotres był dla hoteli: pojedynczym punktem awarii, którego zabezpieczeń nikt nigdy nie zweryfikował.

Jest w tym także wątek odpowiedzialności kontraktowej, który wykracza poza karę administracyjną. Klienci kancelarii, których dane znalazły się w przejętej skrzynce, mogą dochodzić odszkodowania na podstawie art. 82 RODO — a przedsiębiorca, którego pracownicy padli ofiarą oszustwa przygotowanego na bazie wykradzionych danych płacowych, będzie szukał winnego nie u anonimowego hakera, lecz u swojego doradcy podatkowego. Reputacja firmy, której model biznesowy opiera się na zaufaniu, jest aktywem znacznie droższym niż 11 594 zł. O tym, jak wygląda odpowiedzialność w łańcuchu powierzeń, pisaliśmy szeroko przy okazji kary 11 mln zł dla DPD Polska — warto tamten tekst czytać łącznie z niniejszym, bo biuro rachunkowe występuje zwykle po obu stronach umowy powierzenia jednocześnie.

Jak zabezpieczyć firmową pocztę zgodnie z art. 32 RODO

Dobra wiadomość jest taka, że poziom zabezpieczeń, którego zabrakło w ukaranej kancelarii, nie wymaga budżetu korporacji. Wymaga decyzji i jednego dnia pracy. Fundamentem jest uwierzytelnianie wieloskładnikowe na każdym koncie pocztowym bez wyjątku — większość dostawców hostingu i wszystkie duże platformy pocztowe oferują je w cenie usługi, a jego brak w 2026 r. trudno już nazwać zaniedbaniem; to raczej zaproszenie. Drugi filar to higiena haseł: unikalne, generowane, przechowywane w menedżerze haseł, nie w notesie i nie w pliku „hasła.xlsx" na pulpicie.

Trzeci element — ten, którego brak zabolał kancelarię najbardziej w postępowaniu — to logi i widoczność. Przed wyborem lub przy przeglądzie usługi pocztowej trzeba zadać dostawcy trzy pytania: co jest logowane (logowania, adresy IP, reguły przekierowań, dostęp do wiadomości), jak długo logi są przechowywane i jak administrator może je uzyskać. Do tego alerty o logowaniach z nietypowych lokalizacji oraz okresowy przegląd aktywnych sesji i reguł skrzynek — ulubioną techniką przestępców jest cicha reguła przekierowująca kopię korespondencji na zewnętrzny adres. Konfiguracja SPF, DKIM i DMARC dla domeny firmowej chroni z kolei przed podszywaniem się pod firmę wobec jej klientów.

Czwarty filar dotyczy samej zawartości: skrzynka nie może być archiwum. Dokumenty z danymi osobowymi powinny po zakończeniu sprawy trafiać do systemu z kontrolą dostępu, a korespondencja starsza niż wynika z realnej potrzeby — być usuwana zgodnie z przyjętą retencją. Załączniki z danymi wrażliwymi wysyłamy zaszyfrowane, z hasłem przekazanym innym kanałem. I wreszcie porządek w kontach: inwentaryzacja wszystkich skrzynek, likwidacja nieużywanych, natychmiastowe odbieranie dostępów przy odejściu pracownika. Każdy z tych środków musi być opisany, przypisany do właściciela i — wracamy do art. 32 ust. 1 lit. d — okresowo testowany, z pozostawieniem śladu, że test się odbył.

Analiza ryzyka: dokument tańszy niż kara

Wszystkie powyższe środki powinny wynikać nie z przeczucia, lecz z analizy ryzyka — i to jej brak Prezes UODO wskazał jako zaniedbanie pierwotne, z którego wyrosły pozostałe. W małej firmie analiza ryzyka nie musi być opasłym tomem. Musi być uczciwą odpowiedzią na cztery pytania: jakie dane przetwarzamy i gdzie one fizycznie są (w tym: w których skrzynkach), co im zagraża, jakie byłyby skutki materializacji zagrożenia dla osób, których dane dotyczą, oraz jakie środki te ryzyka ograniczają. Wynikiem jest krótki dokument, plan postępowania z ryzykiem i data następnego przeglądu. Dwa, trzy dni pracy z kimś, kto wie, jak to robić — wobec 11 594 zł kary, kosztów obsługi postępowania i utraconego zaufania klientów rachunek jest oczywisty.

Punktem odniesienia dla „odpowiedniości" środków pozostaje norma ISO/IEC 27001 wraz z katalogiem zabezpieczeń z ISO/IEC 27002 — sądy administracyjne, o czym pisaliśmy przy sprawie Fortum, traktują standardy techniczne jako miarę należytej staranności, nawet jeśli firma nie ma certyfikatu i mieć go nie musi. Mała kancelaria nie wdroży pełnego systemu zarządzania bezpieczeństwem informacji, ale zasada jest skalowalna: zidentyfikuj aktywa, oceń ryzyko, dobierz zabezpieczenia, testuj je i dokumentuj. Rozliczalność z art. 5 ust. 2 RODO to dokładnie to — zdolność wykazania, że staranność nie jest deklaracją, lecz praktyką z dowodami.

Warto na koniec zauważyć, że ten sam mechanizm — analiza ryzyka jako fundament, dowody zamiast deklaracji — jest osią wszystkich reżimów regulacyjnych, które w 2026 r. zaciskają się wokół polskich firm: od RODO, przez znowelizowaną ustawę o krajowym systemie cyberbezpieczeństwa, po AI Act. Kto nauczy się tego warsztatu na poziomie własnej skrzynki pocztowej, temu żadna z tych regulacji nie będzie już wydawać się abstrakcją.

Dlaczego z Fib.Code: bezpieczeństwo danych w małej firmie

Fib.Code od lat pracuje dokładnie na styku, którego dotyczy ta decyzja: prowadzimy audyty RODO i analizy ryzyka, pełnimy funkcję zewnętrznego inspektora ochrony danych oraz pełnomocnika ds. bezpieczeństwa informacji, wdrażamy systemy zarządzania bezpieczeństwem informacji oparte na ISO/IEC 27001 i ISO 22301 — w podmiotach od kilkuosobowych biur po spółki komunalne i jednostki samorządu. Znamy realia małych organizacji i nie proponujemy im korporacyjnych procedur, których nikt nie będzie stosował.

Pracujemy według trzech zasad. Po pierwsze, proporcjonalność: zabezpieczenia mają odpowiadać rzeczywistemu ryzyku i możliwościom firmy, a nie ambicjom autora dokumentacji. Po drugie, konkret: zamiast półki segregatorów — działający drugi składnik uwierzytelniania, skonfigurowane logi, przetestowany backup i ludzie, którzy wiedzą, co zrobić z podejrzaną wiadomością. Po trzecie, rozliczalność: każde wdrożone zabezpieczenie zostawia ślad, który można pokazać kontrolerowi UODO, audytorowi lub klientowi pytającemu o bezpieczeństwo swoich danych.

Produktem końcowym nie jest dokumentacja, lecz stan: firma, która zna swoje ryzyka, ma dobrane do nich środki, testuje je regularnie i potrafi to udowodnić. Czyli dokładnie to, czego zabrakło w sprawie DKN.5131.34.2023 — i co odróżnia karę od pochwały w protokole pokontrolnym.

Co zrobić w ten wtorek: pięć pytań o firmową skrzynkę

Nie potrzeba projektu ani budżetu, żeby zacząć — wystarczy pół godziny i pięć pytań zadanych na głos. Pierwsze: ile kont e-mail istnieje w firmie i kto z każdego z nich faktycznie korzysta — czy są wśród nich konta niczyje, po byłych pracownikach, rekrutacjach, projektach? Drugie: czy każde z tych kont, bez wyjątku, ma włączone uwierzytelnianie wieloskładnikowe? Trzecie: czy wiemy, co loguje nasz dostawca poczty, jak długo przechowuje logi i czy umielibyśmy dziś odpowiedzieć, kto logował się do danej skrzynki w ostatnim miesiącu? Czwarte: co naprawdę leży w skrzynkach — ile lat korespondencji z PESEL-ami, umowami i danymi płacowymi czeka tam na włamywacza? Piąte: kiedy ostatnio ktokolwiek przetestował te zabezpieczenia i czy istnieje na to jakikolwiek dowód?

Jeżeli na dwa lub więcej pytań odpowiedź brzmi „nie wiem" — państwa firma jest dziś w tym samym punkcie, w którym ukarana kancelaria była przed naruszeniem. Różnica polega wyłącznie na tym, że państwa skrzynki jeszcze nikt nie zablokował za spam. Analiza ryzyka przeprowadzona w tym tygodniu kosztuje ułamek kary; przeprowadzona po incydencie — jak pokazuje ta decyzja — nie chroni już przed niczym.

Zapraszamy do kontaktu: l.grabowski@fibcode.com | fibcode.com/pl/kontakt. Bezpośrednio powiązane materiały: wyrok WSA ws. Fortum i Piki — ISO 27001 jako miara staranności, kara 11 mln zł dla DPD — odpowiedzialność w łańcuchu powierzeń, wyciek z Hotres — gdy pada koncentrator danych — trzy odsłony tej samej zasady: za bezpieczeństwo danych odpowiada ten, kto je przetwarza, a nie ten, kto je ukradł.