Od 2024 roku Prezes UODO zmienił styl działania. Kary stały się realnym zagrożeniem finansowym, nie symbolicznym gestem. W 2024 roku łącznie nałożono ponad 13,9 mln zł kar w 20 decyzjach - to skok o ponad 1000 procent względem rok wcześniejszego. Rok 2025 przebił te liczby wielokrotnie. Prezes Mirosław Wróblewski wyraźnie zaznaczył, że rozumie swoją rolę jako organ mający realnie odstraszać, nie tylko reagować.
Najważniejsze kary RODO w 2025 roku
Poczta Polska - 27 mln zł
Rekord w historii polskiego RODO. Decyzja z marca 2025 roku dotyczy zdarzenia z 2020 roku - Poczta Polska przetwarzała dane PESEL około 30 milionów Polaków bez podstawy prawnej, przed uchwaleniem przepisów regulujących głosowanie korespondencyjne. Naruszenie zasady legalności z art. 6 RODO. Minister Cyfryzacji otrzymał karę 100 tys. zł.
ING Bank Śląski - ok. 18 mln zł
Jedna z wyższych kar nakładanych w Polsce na podmiot prywatny. Szczegóły decyzji nie zostały jeszcze w pełni opisane w dostępnych materiałach, ale sprawa wpisuje się w trend karania instytucji finansowych za niewystarczające środki bezpieczeństwa i błędne procedury zarządzania danymi.
McDonald's Polska - ok. 17 mln zł
Decyzja z czerwca 2025 roku. Kara za naruszenia związane z przetwarzaniem danych klientów i pracowników - niewystarczające zabezpieczenia techniczne i organizacyjne. Sprawa pokazuje, że UODO obejmuje swoim zasięgiem również branżę gastronomiczno-handlową, nie tylko firmy z sektora finansowego czy telekomunikacyjnego.
Trend jest jednoznaczny: łączona suma kar w 2025 roku przebiła wszystkie poprzednie lata razem wzięte. UODO expressis verbis stwierdził, że świadczy o rosnącym zaangażowaniu organu i woli realnego egzekwowania przepisów - a nie tylko ich monitorowania.
Najważniejsze kary RODO w 2024 roku
W 2024 roku Prezes UODO wydał 20 decyzji o karach na 24 podmioty. Łącznie ponad 13,9 mln zł. Najwyższa kara to 4,05 mln zł za brak poinformowania osób o naruszeniu ich danych. Najniższą - niecałe tysiąc złotych za brak współpracy z organem nadzorczym.
Najczęstsze podstawy ukarania w 2024 roku:
- brak wystarczających środków technicznych i organizacyjnych (7 kar spośród 20)
- niewystarczające lub spóźnione zgłoszenie naruszenia do UODO
- brak współpracy z organem nadzorczym podczas kontroli
- powtarzające się naruszenia - Morele.net ukarany po raz drugi (3,8 mln zł)
Kogo dotyczą kary RODO - nie tylko duże firmy
Częste zarozumienie: RODO karze tylko korporacje. Dane zaprzeczają temu wprost. UODO ukarał również:
- jednoosobowe działalności gospodarcze
- stowarzyszenia i organizacje pozarządowe
- wspólnoty mieszkaniowe
- niewielkie sklepy internetowe
- przedsiębiorczynie prowadzące działalność samodzielnie
Właścicielka jednej z firm zapłaciła blisko 12 tys. zł za zbyt późne zgłoszenie kradzieży danych z pulpitu komputera. Inna firma - ponad 238 tys. zł za zgubienie pendrive'a z danymi pracowników. Skala działania nie zwalnia z przepisów - i nie miarkuje kary w dół tak bardzo, jak można by oczekiwać.
Zanonimizuj zanim wyślesz - wyeliminuj kategorię ryzyk u źródła
Jeśli przetwarzasz dokumenty z danymi osobowymi klientów i wysyłasz je do zewnętrznych narzędzi, jesteś potencjalnie narażony na te same zarzuty co firmy opisane powyżej. Beznazwisk.pl anonimizuje dokumenty lokalnie - zanim gdziekolwiek trafią.
Pobierz bezpłatnieNajczęstsze błędy prowadzące do kary
Analiza decyzji UODO z lat 2023-2025 wskazuje na powracające wzorce:
- Spóźnione zgłoszenie naruszenia. Art. 33 RODO wymaga zgłoszenia do UODO w ciągu 72 godzin. Wiele kar wynika nie z samego naruszenia, ale z faktu że administrator zgłosił je po tygodniach lub miesiącach.
- Powierzenie danych bez umowy. Korzystanie z zewnętrznych podmiotów (IT, księgowość, chmura, narzędzia AI) bez zawartej umowy powierzenia to naruszenie art. 28 RODO.
- Brak analiz ryzyka lub analiza powierzchowna. UODO wielokrotnie wskazywał, że administratorzy nie identyfikowali wszystkich zagrożeń albo oceniali ryzyko jako „nieistotne" bez uzasadnienia.
- Ignorowanie korespondencji UODO. Brak odpowiedzi na pisma organu to osobna podstawa ukarania - niezależnie od meritum naruszenia.
Co to oznacza dla kancelarii prawnych i adwokatów
Radcowie prawni i adwokaci przetwarzają dane osobowe klientów w sposób ciągły i intensywny. Każda umowa, każde pismo procesowe, każde akta sprawy zawierają dane objęte tajemnicą zawodową i jednocześnie chronione przez RODO. Naruszenie, które dotknie kancelarię, może mieć podwójne konsekwencje: karę UODO i postępowanie dyscyplinarne.
Najbardziej ryzykowny trend wśród prawników to korzystanie z narzędzi AI bez uprzedniej anonimizacji dokumentów. To ten sam błąd, za który ukarany zostaje każdy inny podmiot przetwarzający bez podstawy prawnej - tyle że dotyczy danych objętych tajemnicą zawodową, co dodatkowo obciąża sytuację prawną.
Przeczytaj również
Autor: Zespół Beznazwisk.pl. Tekst ma charakter informacyjny i nie stanowi porady prawnej.