Przez pierwsze lata obowiązywania RODO kary nakładane przez polskiego regulatora były stosunkowo nieliczne i umiarkowane kwotowo. Lata 2024–2025 przyniosły radykalną zmianę: łączna wartość sankcji nałożonych tylko w 2024 roku przekroczyła niemal 14 mln zł, co stanowiło ponad 44% wszystkich kar wydanych przez Prezesa UODO od początku istnienia rozporządzenia. Rok później ta suma wzrosła do 64,5 mln zł. Ochrona danych osobowych przestała być obszarem, w którym można liczyć na pobłażliwość organu nadzorczego.

Rosnąca aktywność UODO – skąd ta zmiana?

Jeszcze w 2023 roku łączna wartość kar nałożonych przez Prezesa UODO wyniosła ok. 1,4 mln zł. W 2024 roku ta kwota wzrosła dziesięciokrotnie, osiągając blisko 14 mln zł – 20 opublikowanych decyzji objęło 24 różne podmioty, a naruszenia dotyczyły łącznie ponad 2,4 mln osób fizycznych. Rok 2025 przyniósł kolejny, jeszcze gwałtowniejszy wzrost: 32 decyzje sankcyjne o łącznej wartości 64,5 mln zł. Dla porównania – suma kar nałożonych przez organ przez wszystkie poprzednie lata, od wejścia RODO w życie w 2018 roku, wyniosła łącznie ok. 31 mln zł. W samym 2025 roku UODO przekroczył dwukrotnie ten dorobek.

Zmiana ma kilka źródeł. Po pierwsze, wzrosła świadomość prawna obywateli: w 2025 roku do UODO wpłynęło ok. 13 tys. skarg od osób fizycznych, niemal dwukrotnie więcej niż dwa lata wcześniej. Każda taka skarga może uruchomić postępowanie kontrolne, które zakończy się karą lub nakazem. Po drugie, urząd konsekwentnie przeszedł od podejścia edukacyjnego do egzekucyjnego – coraz częściej sięga po najwyższe progi sankcji przewidzianych w rozporządzeniu. Po trzecie, temat ochrony danych zyskał na znaczeniu politycznym i medialnym, co sprawia, że głośne decyzje są dla organu również elementem komunikacji z rynkiem.

„Wielu administratorów ograniczyło się do stworzenia regulaminu RODO na papierze. Tymczasem system ochrony danych musi działać w praktyce: być regularnie audytowany, monitorowany i dostosowywany do zmian technologicznych.” – Mirosław Wróblewski, Prezes UODO, listopad 2025

Europejski kontekst jest równie wymowny. Z raportu kancelarii DLA Piper „GDPR Fines and Data Breach Survey January 2026” wynika, że od początku 2025 do końca stycznia 2026 roku organy nadzorcze w całej UE i EOG nałożyły łącznie ok. 1,2 mld euro kar za naruszenia RODO. Od 2018 roku suma ta przekroczyła 7 mld euro. Polska, jeszcze niedawno w ogonie europejskiego rankingu surowości, wyraźnie nadrabia dystans.

Najważniejsze sprawy 2024 roku

Rok 2024 był przełomowy przede wszystkim dlatego, że pokazał rozpiętość podmiotów narażonych na sankcje: wśród ukaranych znalazły się zarówno spółki prywatne – e-commerce, banki, instytucje finansowe – jak i podmioty publiczne, w tym prokuratura i komitet inicjatywy ustawodawczej.

Najwyższa kara roku – ponad 4 mln zł za milczenie wobec poszkodowanych

X S.A. (podmiot prywatny, dane zanonimizowane przez UODO) – kara: 4 053 173 zł.

Najwyższa kara nałożona w 2024 roku dotyczyła spółki, której danych UODO nie ujawnił publicznie. Naruszenie polegało na zaniechaniu zawiadomienia osób dotkniętych incydentem bezpieczeństwa. Obowiązek ten wynika z art. 34 RODO i ma jeden kluczowy cel: dać osobom fizycznym szansę na podjęcie działań ochronnych, zanim wyrządzone zostaną im realne szkody. W ocenie organu nadzorczego spółka, wiedząc o naruszeniu, świadomie zdecydowała się nie informować poszkodowanych. UODO uznał to za przykład lekceważenia praw podmiotów danych i nałożył najwyższą w tym roku administracyjną karę pieniężną. Sprawa przypomina, że zgłoszenie naruszenia do organu to nie koniec obowiązków – równie ważne, a często pomijane, jest powiadomienie samych zainteresowanych.

Wyciek danych 2,2 mln użytkowników – kara dla Morele.net

Morele.net sp. z o.o. – kara: 3 819 960 zł.

Sprawa Morele.net to jeden z największych incydentów bezpieczeństwa w historii polskiego e-commerce. W wyniku ataku hakerskiego wyciekły dane osobowe ok. 2,2 mln zarejestrowanych użytkowników serwisu. UODO ukarał spółkę nie za sam fakt naruszenia – incydenty bezpieczeństwa mogą przydarzyć się każdemu – ale za to, że do wycieku w ogóle doszło wskutek zaniedbań po stronie administratora. Organ stwierdził naruszenie zasad przetwarzania (art. 5 RODO), obowiązku ochrony danych w fazie projektowania systemów (art. 25 RODO) oraz wymogów bezpieczeństwa technicznego i organizacyjnego (art. 32 RODO). Platforma przez lata przetwarzała dane milionów klientów bez adekwatnych zabezpieczeń – i zapłaciła za to blisko 4 mln zł.

Santander Bank – gdy 72 godziny to za długo

Santander Bank Polska S.A. – kara: 1 440 549 zł.

Kara nałożona na Santander Bank Polska ilustruje jedno z najczęściej niedocenianych ryzyk RODO: terminy związane z obsługą naruszeń. Art. 33 rozporządzenia nakłada na administratora obowiązek zgłoszenia naruszenia do organu nadzorczego co do zasady w ciągu 72 godzin od jego wykrycia. Art. 34 zobowiązuje z kolei do niezwłocznego poinformowania poszkodowanych, jeśli naruszenie może skutkować wysokim ryzykiem dla ich praw lub wolności. Bank opóźnił oba zgłoszenia. Sprawa jest ważną lekcją: posiadanie procedury zarządzania incydentami na papierze nie wystarczy – musi być wycwiczona i uruchamiana natychmiast, bo każda godzina zwłoki może być argumentem obciążającym w postępowaniu przed organem.

Toyota Bank – nieprawidłowa pozycja IOD i brak DPIA

Toyota Bank Polska S.A. – kara: 314 302 zł.

Decyzja w sprawie Toyota Bank jest warta uwagi z innego powodu niż pozostałe: nie dotyczyła wycieku danych ani opóźnionego zgłoszenia, ale strukturalnych uchybień w organizacji systemu ochrony danych. UODO ustalił, że bank prowadził profilowanie klientów na dużą skalę bez przeprowadzenia oceny skutków dla ochrony danych (DPIA), wymaganej przez art. 35 RODO. Co więcej, Inspektor Ochrony Danych nie podlegał bezpośrednio najwyższemu kierownictwu instytucji, co narusza art. 38 ust. 3 RODO. IOD pozbawiony rzeczywistej niezależności i bezpośredniego dostępu do zarządu nie jest w stanie efektywnie wykonywać swoich zadań – staje się figurą formalną, a nie realnym strażnikiem zgodności.

Na liście ukaranych w 2024 roku znalazły się też Prokuratura Krajowa i Komitet Inicjatywy Ustawodawczej „Stop LGBT” – naruszenia związane z przetwarzaniem danych bez właściwej podstawy prawnej. Ich obecność pokazuje, że organ nie stosuje żadnej taryfy ulgowej ze względu na charakter podmiotu.

Rekordowe kary 2025 roku

Rok 2025 był pod każdym względem bezprecedensowy. Pojedyncze sprawy biły kolejne rekordy, a skala naruszeń wskazuje, że problemy systemowe w ochronie danych osobowych są w Polsce powszechne i głęboko zakorzenione.

Poczta Polska – dane 30 milionów Polaków bez podstawy prawnej

Poczta Polska S.A. – kara: 27 124 816 zł.

Najwyższa kara w historii polskiego organu nadzorczego dotyczy sprawy wyborów korespondencyjnych z 2020 roku. Poczta Polska uzyskała wówczas od właściwego ministerstwa dane osobowe niemal 30 mln obywateli zgromadzone w rejestrze PESEL – bez wymaganej podstawy prawnej, bez zgody zainteresowanych i bez jakiegokolwiek poinformowania ich o tym fakcie. Dane były przetwarzane masowo w celu przygotowania pakietów wyborczych, a ostatecznie wybory w tej formie nigdy się nie odbyły. UODO, kończąc postępowanie wszczęte kilka lat wcześniej, stwierdził naruszenie zasad legalności, celowości i minimalizacji danych. Powiązana decyzja objęła też Ministerstwo Aktywów Państwowych, które dane udostępniło.

McDonald’s – PESEL przy zamówieniu

McDonald’s Polska Sp. z o.o. – kara: 16 900 000 zł.

Sieć restauracji rutynowo skanowała dokumenty tożsamości klientów – w tym numery PESEL – w okolicznościach, w których nie było to ani niezbędne, ani uzasadnione żadnym wyraźnym celem. UODO stwierdził naruszenie zasady legalności przetwarzania oraz zasady minimalizacji danych: administrator zbierał więcej informacji niż wymagał cel operacji, bez uprzedniej oceny konieczności i proporcjonalności. Kara w wysokości niemal 17 mln zł wyraźnie sygnalizuje, że praktyki masowego zbierania dokumentów tożsamości przez przedsiębiorców – wciąż obecne w wielu branżach – mogą skutkować sankcjami sięgającymi górnych limitów RODO.

Centrum Medyczne Ujazdek – ukryte kamery na neonatologii

Centrum Medyczne Ujazdek w Krakowie – kara: 1 145 000 zł.

Na oddziale neonatologii zainstalowano ukryte kamery monitoringu wbudowane w zegary ścienne. Nagraniom poddawane były pacjentki i personel medyczny – osoby w sytuacji szczególnej wrażliwości, w miejscu, gdzie uzasadnione oczekiwanie prywatności jest wyjątkowo wysokie. Sprawa naruszała jednocześnie kilka płaszczyzn RODO: brak poinformowania osób o monitorowaniu, przetwarzanie danych szczególnie chronionych bez podstawy prawnej oraz złamanie zasady przejrzystości. Decyzja zwróciła uwagę na kategorię często pomijaną w dyskusjach o RODO: fizyczne środowisko przetwarzania danych i monitoring wizyjny jako narzędzie inwigilacji.

Powtarzające się wzorce błędów

Błędna lub nieudokumentowana podstawa prawna przetwarzania to najpoważniejszy strukturalny problem, widoczny zarówno w decyzjach dotyczących podmiotów publicznych, jak i prywatnych. RODO wymaga, aby każda operacja przetwarzania danych opierała się na jednej z przesłanek z art. 6 ust. 1, a wybór tej przesłanki musi być świadomy, udokumentowany i adekwatny do rzeczywistego celu przetwarzania. W wielu kontrolowanych podmiotach organ stwierdzał, że administrator nie był w stanie wykazać, dlaczego przyjęta podstawa prawna ma zastosowanie do konkretnej czynności. To nie problem formalny – to fundament całego systemu zgodności.

Niedostateczne środki bezpieczeństwa pojawiają się niemal w każdej drugiej decyzji. Art. 32 RODO zobowiązuje administratorów do wdrożenia środków technicznych i organizacyjnych adekwatnych do ryzyka, a adekwatność ocenia się dynamicznie, w odniesieniu do aktualnego stanu wiedzy i technologii. Brak szyfrowania nośników przenośnych, nieaktualne analizy ryzyka, nieprzestrzeganie zasady minimalnych uprawnień dostępu – to uchybienia, które UODO stwierdził w podmiotach z różnych sektorów. Urząd coraz wyraźniej traktuje bezpieczeństwo danych i cyberbezpieczeństwo jako naczynia połączone.

Nieprawidłowa obsługa incydentów obejmuje zarówno opóźnienia w zgłaszaniu naruszeń do organu, jak i zaniechanie informowania samych poszkodowanych. Wiele organizacji posiada formalne procedury incydentalne, które jednak nie są ani ćwiczone, ani wdrożone w sposób umożliwiający działanie w krótkim czasie. Tymczasem 72-godzinny termin na zgłoszenie jest rygorystyczny – biegnie od momentu, gdy administrator powziął wiadomość o naruszeniu, nie od chwili jego formalnego potwierdzenia.

Pomijanie DPIA i zasady privacy by design bywa kosztowne. Ocena skutków dla ochrony danych jest wymagana przed uruchomieniem każdej operacji wysokiego ryzyka – profilowania na dużą skalę, przetwarzania danych szczególnych kategorii, monitorowania osób na dużą skalę. Brak DPIA oznacza najczęściej, że ryzyko nie zostało ocenione, a skoro nie zostało ocenione – nie zostało też ograniczone.

Nieuprawniony lub nieprzejrzysty monitoring wizyjny stał się w 2025 roku odrębną kategorią naruszeń. Kara nałożona na CM Ujazdek pokazała, że UODO reaguje nie tylko na incydenty IT, ale też na naruszenia prywatności w przestrzeni fizycznej. Każda organizacja stosująca kamery powinna zweryfikować, czy monitoring jest należycie oznakowany i czy obejmuje wyłącznie miejsca, w których jest to dopuszczalne.

Jak ograniczyć ryzyko – obszary do weryfikacji

Na podstawie analizy decyzji UODO z lat 2024–2025 wyodrębniliśmy obszary, które powinien zweryfikować każdy administrator danych – niezależnie od wielkości organizacji i sektora.

Podstawy prawne i rejestr czynności przetwarzania

• Dokonaj przeglądu wszystkich czynności przetwarzania pod kątem aktualności i poprawności podstaw prawnych z art. 6 (i art. 9 dla danych szczególnych kategorii).
• Upewnij się, że rejestr czynności przetwarzania jest aktualny i odzwierciedla rzeczywiste operacje – nie jest dokumentem stworzonym raz przy wdrożeniu RODO.
• Tam gdzie podstawą jest prawnie uzasadniony interes (art. 6 ust. 1 lit. f), udokumentuj przeprowadzony test równoważenia interesów.

Bezpieczeństwo techniczne i organizacyjne

• Przeprowadź aktualną analizę ryzyka dla operacji przetwarzania – co najmniej raz w roku lub po każdej istotnej zmianie systemu.
• Wdróż szyfrowanie nośników przenośnych jako standard, nie wyjątek.
• Sprawdź czy polityki zarządzania dostępem są aktualne i czy każda osoba ma dostęp wyłącznie do danych niezbędnych do jej zadań.
• Zaplanuj regularne testy środków bezpieczeństwa i dokumentuj wyniki oraz działania naprawcze.

Zarządzanie incydentami

• Zweryfikuj, czy procedura zarządzania incydentami jest znana odpowiedzialnym osobom i regularnie ćwiczona.
• Wyznacz konkretne osoby odpowiedzialne za klasyfikację naruszenia, decyzję o zgłoszeniu i kontakt z organem nadzorczym.
• Pamiętaj o dwóch odrębnych obowiązkach: zgłoszeniu do UODO (art. 33) i zawiadomieniu poszkodowanych (art. 34) – oba mają swoje terminy i przesłanki.
• Dokumentuj każdy incydent – w tym te, których nie zgłosiłeś. UODO może zapytać o uzasadnienie tej decyzji.

DPIA i privacy by design

• Wprowadź procedurę oceny, które planowane operacje wymagają przeprowadzenia DPIA przed ich uruchomieniem.
• Stosuj zasadę privacy by design od początku każdego projektu – nie jako działanie naprawcze po fakcie.
• Dokumentuj wyniki DPIA i decyzje podjęte w celu ograniczenia zidentyfikowanych ryzyk.

Inspektor Ochrony Danych

• Upewnij się, że IOD podlega bezpośrednio najwyższemu kierownictwu organizacji – nie kierownikowi działu prawnego ani IT.
• Sprawdź, czy IOD nie pełni funkcji powodujących konflikt interesów z zadaniami wynikającymi z RODO.
• Zapewnij IOD realne zasoby, dostęp do informacji i możliwość uczestnictwa w kluczowych decyzjach dotyczących przetwarzania danych.

Monitoring wizyjny

• Przeprowadź inwentaryzację wszystkich urządzeń rejestrujących obraz i dźwięk w organizacji.
• Zweryfikuj, czy każde miejsce objęte monitoringiem jest należycie oznakowane i czy osoby zostały poinformowane o przetwarzaniu ich danych.
• Sprawdź, czy czas przechowywania nagrań jest ograniczony do niezbędnego minimum i egzekwowany przez system.

Co przyniesie 2026 rok?

Na podstawie ogłoszonego przez UODO planu sektorowych kontroli oraz trendów europejskich można wskazać obszary podwyższonego ryzyka w nadchodzących miesiącach. Regulatorzy w całej UE sygnalizują, że kwestia przetwarzania danych w systemach sztucznej inteligencji będzie priorytetem – wdrożenie AI Act tworzy nowe obowiązki nakładające się bezpośrednio na RODO. Administratorzy planujący projekty AI powinni już teraz ocenić zgodność planowanych operacji z obydwoma aktami prawnymi łącznie.

UODO zapowiedział również kontrole podmiotów przetwarzających dane w ramach wielkich unijnych systemów informacyjnych, takich jak SIS i VIS. Jednocześnie urząd wspólnie z Ministerstwem Cyfryzacji pracuje nad jednym punktem kontaktowym dla zgłaszania zarówno incydentów cyberbezpieczeństwa w rozumieniu NIS2, jak i naruszeń ochrony danych na gruncie RODO. To sygnał, że oba obszary będą coraz ściślej traktowane jako jeden reżim compliance.

Podsumowanie

Dane z lat 2024–2025 nie pozostawiają wątpliwości: egzekwowanie RODO w Polsce weszło w nową fazę. Organ nadzorczy działa konsekwentnie, nakłada kary proporcjonalne do skali naruszeń i nie ogranicza się ani do określonego sektora, ani do określonego rozmiaru podmiotu. Wspólny mianownik większości spraw jest ten sam: system ochrony danych, który istniał na papierze, ale nie działał w praktyce.

RODO nie wymaga perfekcji – wymaga systematyczności, udokumentowania decyzji i gotowości do działania w sytuacji kryzysowej. Organizacje, które regularnie audytują swoje procesy, aktualizują analizy ryzyka i ćwiczą procedury incydentalne, są w stanie nie tylko unikać kar, ale też skuteczniej chronić dane osób, które im zaufały. Audyt wewnętrzny przeprowadzony dziś jest nieporownanie tańszy od postępowania administracyjnego, które może przyjść jutro.

W ATL Law przeprowadzamy audyty zgodności z RODO, wspieramy w obsłudze naruszeń i postępowań przed UODO oraz prowadzimy szkolenia dla zespołów compliance i IOD.

Zapraszamy do kontaktu office@atl-law.pl 

Artykuł  ma charakter informacyjny i nie stanowi porady prawnej. Źródła: decyzje Prezesa UODO 2024–2025, raport Grant Thornton, raport DLA Piper „GDPR Fines and Data Breach Survey January 2026”.