Kary UODO za naruszenie RODO — przegląd najważniejszych decyzji i wnioski dla firm

Od momentu wejścia w życie RODO w maju 2018 r. Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył dziesiątki kar administracyjnych na polskie firmy i instytucje publiczne. Łączna kwota kar rośnie z roku na rok — a analiza decyzji UODO dostarcza cennych wniosków o tym, jakie błędy najczęściej prowadzą do sankcji i jak się przed nimi chronić.

W tym artykule przedstawiam przegląd najważniejszych kar nałożonych przez UODO, analizuję najczęściej naruszane przepisy i wyciągam praktyczne wnioski dla organizacji.

Skala kar UODO — statystyki

Aktywność UODO w zakresie nakładania kar systematycznie rośnie:

2024 r.: 20 decyzji nakładających kary na 24 podmioty, łączna kwota blisko 14 mln zł. Był to wyraźny wzrost — suma kar stanowiła ponad 44% wszystkich sankcji nałożonych od 2018 r.

2025 r.: 32 kary o łącznej wartości 64,5 mln zł — pięciokrotny wzrost w porównaniu z rokiem poprzednim. Jednocześnie do UODO wpłynęło blisko 13 tys. skarg (wobec 8 tys. w 2024 r.) i ponad 22 tys. zgłoszeń naruszeń.

Trend jest jednoznaczny — UODO wydaje mniej decyzji, ale nakłada znacznie wyższe kary, kierując się zasadą skuteczności, proporcjonalności i odstraszającego charakteru sankcji.

Na poziomie europejskim od 2018 r. łączna kwota kar za naruszenia RODO przekroczyła 7 mld euro.

Najwyższe kary w Polsce — przegląd kluczowych decyzji

Poczta Polska S.A. — 27,1 mln zł (2025)

Rekordowa kara w historii polskiego UODO. Poczta Polska została ukarana za bezprawne przetwarzanie danych osobowych ok. 30 mln obywateli z rejestru PESEL w związku z przygotowaniami do tzw. wyborów kopertowych w 2020 r. UODO uznał, że przetwarzanie odbyło się bez właściwej podstawy prawnej, z naruszeniem zasad RODO i konstytucyjnego prawa obywateli do prywatności.

Wniosek: Nawet działanie na polecenie organu państwowego nie zwalnia z obowiązku weryfikacji podstawy prawnej przetwarzania danych.

McDonald’s Polska Sp. z o.o. — ok. 16,9 mln zł (2025)

Kara za nieautoryzowane skanowanie dokumentów tożsamości klientów (w tym numeru PESEL) bez oceny konieczności i proporcjonalności przetwarzania.

Wniosek: Zbieranie danych „na wszelki wypadek” bez analizy, czy są rzeczywiście niezbędne, narusza zasadę minimalizacji danych.

Fortum Marketing and Sales Polska S.A. — 4,9 mln zł (2022)

Kara za niewystarczające środki techniczne i organizacyjne zabezpieczające dane osobowe. Spółka zajmująca się sprzedażą energii elektrycznej nie zapewniła odpowiedniego poziomu bezpieczeństwa przetwarzanych danych.

Wniosek: Art. 32 RODO wymaga wdrożenia adekwatnych środków bezpieczeństwa — a UODO ocenia nie tylko, czy procedury istnieją, ale czy faktycznie działają.

Morele.net Sp. z o.o. — 3,8 mln zł (2024)

Kara za naruszenie art. 5, 25 i 32 RODO — niewystarczające zabezpieczenia techniczne i organizacyjne, które doprowadziły do naruszenia danych ok. 2,2 mln osób.

Wniosek: Skala naruszenia (liczba osób dotkniętych) ma bezpośredni wpływ na wysokość kary.

Kara 4,05 mln zł (2024) — niezawiadomienie osób

Najwyższa kara w 2024 r. została nałożona za niezawiadomienie osób, których dane zostały objęte naruszeniem. UODO uznał, że brak powiadomienia uniemożliwił osobom podjęcie działań ochronnych i stanowił lekceważenie ich praw.

Wniosek: Niezawiadomienie osób o naruszeniu (art. 34 RODO) jest traktowane przez UODO bardzo poważnie — nawet surowiej niż samo dopuszczenie do naruszenia.

Santander Bank Polska S.A. — 1,44 mln zł (2024)

Kara za naruszenie art. 33 i 34 RODO — niezgłoszenie incydentu i niezawiadomienie osób dotkniętych naruszeniem. Procedurę zgłaszania naruszeń opisujemy szczegółowo w osobnym artykule.

Wniosek: Banki i instytucje finansowe podlegają szczególnej kontroli ze strony UODO ze względu na wrażliwość przetwarzanych danych.

Kara za brak DPIA i nieprawidłowości IOD — 314 tys. zł (2024)

Bank został ukarany za brak przeprowadzenia DPIA w odniesieniu do profilowania prowadzonego na dużą skalę oraz za to, że IOD nie podlegał bezpośrednio najwyższemu kierownictwu — co naruszało wymóg niezależności IOD z art. 38 RODO. Jak przeprowadzić DPIA opisujemy krok po kroku w osobnym artykule. 

Wniosek: UODO sprawdza nie tylko dokumentację, ale również rzeczywistą pozycję IOD w strukturze organizacji. Więcej o roli IOD przeczytasz w naszym przewodniku.

Najczęściej naruszane przepisy RODO

Analiza decyzji UODO wskazuje na powtarzające się wzorce naruszeń:

Art. 5 RODO (zasady przetwarzania) — naruszenie zasady integralności i poufności (brak odpowiednich zabezpieczeń), naruszenie zasady rozliczalności (brak dokumentacji potwierdzającej zgodność), naruszenie zasady minimalizacji danych (zbieranie nadmiarowych informacji).

Art. 25 RODO (privacy by design i by default) — brak uwzględnienia ochrony danych na etapie projektowania systemów i procesów. UODO coraz częściej ocenia, czy organizacja myślała o ochronie danych zanim uruchomiła nowy proces.

Art. 32 RODO (bezpieczeństwo przetwarzania) — brak szyfrowania, utrata nośników danych (laptopy, pendrive’y), niewystarczająca kontrola dostępu, brak testów bezpieczeństwa, podatność na ataki ransomware.

Art. 33 i 34 RODO (zgłaszanie naruszeń) — niezgłoszenie naruszenia do UODO w terminie 72 godzin, niezawiadomienie osób dotkniętych naruszeniem, opóźnione lub niekompletne zgłoszenia.

Art. 28 RODO (umowy powierzenia) — brak umów powierzenia przetwarzania danych z procesorami, niekompletne umowy, brak weryfikacji podwykonawców. Przewodnik po umowach powierzenia znajdziesz tutaj.

Art. 6 RODO (podstawy prawne) — przetwarzanie danych bez właściwej podstawy prawnej lub z błędnie dobraną podstawą.

Na co UODO zwraca szczególną uwagę

Na podstawie analizy decyzji i zapowiedzi UODO, można wskazać obszary, w których ryzyko kontroli i kary jest najwyższe:

Realna skuteczność zabezpieczeń — UODO nie ocenia już tylko, „czy procedura istnieje”, ale czy faktycznie działa w praktyce. Pozorne wdrożenia RODO — dokumentacja na papierze bez realnego systemu zarządzania — są coraz surowiej karane.

Reakcja na incydent — UODO analizuje nie tylko, czy zgłoszenie nastąpiło w terminie, ale również jego jakość, kompletność i metodę oceny ryzyka dla osób. Sprawna reakcja na incydent może złagodzić karę, a jej brak — zaostrzić.

Współpraca z organem nadzorczym — otwartość na współpracę z UODO w trakcie postępowania może istotnie zmniejszyć karę. Z kolei ignorowanie korespondencji od UODO prowadzi do zaostrzenia sankcji.

Profilowanie i automatyczne podejmowanie decyzji — UODO sprawdza, czy profilowanie jest uwzględnione w RCP, czy przeprowadzono DPIA i czy osoby są prawidłowo informowane.

Podmioty publiczne — UODO podkreśla, że podmioty publiczne przetwarzające dane w relacji „obywatel-instytucja” mają podwyższony standard staranności, ponieważ obywatel ma ograniczoną możliwość sprzeciwu.

Czynniki wpływające na wysokość kary — art. 83 ust. 2 RODO

Przy wymierzaniu kary UODO bierze pod uwagę następujące czynniki:

Charakter, waga i czas trwania naruszenia — jednorazowy incydent jest traktowany łagodniej niż systematyczne nieprzestrzeganie przepisów.

Umyślność lub nieumyślność — celowe naruszenie skutkuje wyższą karą niż błąd wynikający z nieuwagi.

Działania podjęte w celu zminimalizowania szkody — szybka reakcja na naruszenie, powiadomienie osób, wdrożenie środków naprawczych — mogą zmniejszyć karę.

Stopień współpracy z UODO — otwartość, dostarczanie informacji, wdrożenie zaleceń.

Kategorie danych — naruszenia dotyczące danych szczególnych (zdrowie, biometria) lub danych finansowych są karane surowiej.

Wcześniejsze naruszenia — recydywa prowadzi do zaostrzenia kary.

Sposób, w jaki UODO dowiedział się o naruszeniu — zgłoszenie przez administratora jest traktowane korzystniej niż wykrycie przez organ z urzędu lub na skutek skargi.

Podjęte wcześniej środki techniczne i organizacyjne — posiadanie certyfikacji ISO 27001, wdrożone procedury, szkolenia pracowników — są okolicznościami łagodzącymi. Jak ISO wspiera zgodność z RODO opisujemy w osobnym artykule.

Kary w Europie — kontekst dla polskich decyzji

Polskie kary, choć rosnące, wciąż są relatywnie niskie w porównaniu z niektórymi krajami UE. Dla kontekstu: irlandzki organ nadzorczy (DPC) nałożył na Meta kary sięgające setek milionów euro, francuska CNIL nakładała wielomilionowe kary na Google i Amazon za naruszenia dotyczące cookies, a luksemburski organ nałożył na Amazon rekordową karę 746 mln euro.

Trend europejski jasno wskazuje kierunek — kary będą rosły, a organy nadzorcze będą coraz aktywniejsze. Polskie kary podążają tą samą ścieżką, choć z pewnym opóźnieniem.

Plan kontroli UODO na 2025/2026

UODO zapowiedział kontrole skoncentrowane na szczególnie wrażliwych sektorach, w tym na podmiotach przetwarzających dane w dużej skali w systemach unijnych, sektorze finansowym i bankowym, podmiotach publicznych, oraz sektorze zdrowia i e-commerce.

To podejście pokazuje, że kontrole UODO mogą być planowane, a nie tylko reaktywne — co zwiększa ryzyko także dla podmiotów, które dotąd nie były kontrolowane.

Jak zmniejszyć ryzyko kary — praktyczne rekomendacje

Na podstawie analizy decyzji UODO, najskuteczniejsze środki ochrony to:

1. Realnie wdrożony system ochrony danych — nie dokumentacja na papierze, ale działający system: procedury, szkolenia, audyty, reakcja na incydenty.

2. Regularna analiza ryzyka — aktualna ocena ryzyka pozwala identyfikować i eliminować luki zanim dojdzie do naruszenia.

3. Sprawna procedura reagowania na incydenty — przygotowanie na naruszenie (Incident Response Plan) i umiejętność szybkiego działania w ciągu 72 godzin.

4. Kompetentny IOD — z rzeczywistą niezależnością, dostępem do zarządu i odpowiednimi zasobami.

5. Aktualna dokumentacja — RCP, klauzule informacyjne, umowy powierzenia, polityki bezpieczeństwa — regularnie przeglądane i aktualizowane.

6. Szkolenia pracowników — regularne, udokumentowane szkolenia z zakresu ochrony danych dla całego personelu.

7. Certyfikacja ISO 27001/27701 — jako dowód systematycznego podejścia do bezpieczeństwa i okoliczność łagodząca przy wymierzaniu kary.

8. Współpraca z UODO — w razie kontroli lub postępowania: otwartość, terminowe dostarczanie informacji, wdrażanie zaleceń.

Checklist — minimalizacja ryzyka kary UODO

1. Sprawdź, czy masz realnie działający system ochrony danych (nie tylko dokumenty).
2. Przeprowadź aktualną analizę ryzyka.
3. Upewnij się, że masz sprawną procedurę reagowania na naruszenia (72 godziny!).
4. Zweryfikuj pozycję IOD — czy ma niezależność i dostęp do zarządu?
5. Przejrzyj i zaktualizuj dokumentację: RCP, klauzule, umowy powierzenia.
6. Sprawdź zabezpieczenia techniczne: szyfrowanie, kontrola dostępu, kopie zapasowe.
7. Zaplanuj i udokumentuj szkolenia pracowników.
8. Przeanalizuj, czy stosujesz profilowanie — i czy jest uwzględnione w RCP i DPIA.
9. Rozważ certyfikację ISO 27001/27701.
10. Przygotuj się na kontakt z UODO — wiedz, kto w organizacji jest odpowiedzialny i jak reagować.

Potrzebujesz audytu zgodności z RODO?

Działania prewencyjne są nieporównywalnie tańsze niż wielomilionowa kara administracyjna i późniejsze spory sądowe. W Kancelarii Radcowskiej dr Joanny Maniszewskiej-Ejsmont przeprowadzamy audyty zgodności z RODO, identyfikujemy luki i pomagamy je eliminować — zanim zrobi to UODO. Jak przeprowadzić audyt RODO krok po kroku opisujemy w osobnym artykule.