W ramach niniejszego raportu postanowiliśmy przeanalizować najważniejsze wnioski, jakie płyną z analizy decyzji wydanych i opublikowanych przez Prezesa UODO w 2025 r., w ramach których zostały nałożone administracyjne kary pieniężne.
[Pobierz raport lub przeczytaj poniżej streszczenie]
Kto płaci najwięcej za naruszenia RODO?
Z danych zebranych w raporcie wynika wyraźna dysproporcja pomiędzy sektorem prywatnym a publicznym. Podmioty prywatne odpowiadały za 99,48% łącznej wartości kar, co oznacza niemal 64 mln zł obciążeń finansowych. Najczęściej karanymi podmiotami były spółki kapitałowe – zarówno spółki akcyjne, jak i z ograniczoną odpowiedzialnością. Wynika to przede wszystkim ze skali ich działalności oraz poziomu obrotów, które – zgodnie z przepisami RODO – stanowią istotną podstawę ustalania wysokości kary.
Na szczególną uwagę zasługuje najwyższa jednostkowa kara w historii stosowania RODO w Polsce – 27,1 mln zł, nałożona na Poczta Polska S.A. w związku z naruszeniami przy organizacji tzw. wyborów kopertowych.
Associate, Kancelaria Prawna
Rok 2025 i rekordowe kary na łącznym poziomie prawie 65 mln złotych pokazują jasno, że zakończył się okres ulgowy związany z wdrażaniem RODO. Urząd Ochrony Danych Osobowych daje wyraźny sygnał, że po ponad 8 latach obowiązywania przepisów nie ma już miejsca na tłumaczenie się brakiem doświadczenia czy nieświadomością. Decyzje Prezesa UODO pokazują również wyraźnie, że zapewnienie zgodności z przepisami nie powinno być traktowane jako jednorazowy projekt, a stały element funkcjonowania firmy wpisany we wszystkie jej procesy.
Najczęstsze przyczyny nakładania kar
Analiza decyzji Prezesa UODO pozwala wyróżnić trzy obszary, w których administratorzy danych najczęściej popełniali błędy:
-
Niewystarczające zabezpieczenia danych (63% decyzji)
Najczęściej były to braki w środkach technicznych i organizacyjnych, korzystanie z przestarzałych technologii lub błędna konfiguracja systemów IT. -
Problemy z dokumentowaniem działań (56%)
Organ konsekwentnie egzekwuje zasadę rozliczalności – samo posiadanie procedur nie wystarcza, jeżeli administrator nie jest w stanie wykazać, że są one realnie stosowane w praktyce. -
Brak właściwej podstawy prawnej przetwarzania danych (38%)
W tej kategorii mieszczą się m.in. przypadki nadmiarowego gromadzenia danych osobowych, jak masowe skanowanie dokumentów tożsamości pod pretekstem obowiązków AML. Przykładem jest kara 18,4 mln zł nałożona na ING Bank Śląski.
Google news
Bądź na bieżąco ze zmianami w prawie, podatkach i księgowości! Zaobserwuj nas w Wiadomościach Google
Kluczowe wnioski dla zarządów i compliance
Wnioski płynące z analizy danych pokazują, że niezależność Inspektora Ochrony Danych (IOD) nie może mieć charakteru wyłącznie formalnego. Prezes UODO szczególnie surowo ocenia sytuacje, w których funkcja IOD jest łączona z rolami decyzyjnymi – np. członka zarządu – co w praktyce uniemożliwia niezależny nadzór nad przetwarzaniem danych.
Istotne są również źródła informacji o naruszeniach. Choć około 50% postępowań wszczynano na skutek samodzielnego zgłoszenia incydentu przez administratora, najwyższe kary były efektem zawiadomień pochodzących od osób trzecich. Dodatkowo organ wyraźnie różnicuje sankcje w zależności od charakteru naruszenia – średnia kara za naruszenia umyślne była ponad dwukrotnie wyższa niż w przypadku uchybień nieumyślnych.
Co dalej? RODO „w działaniu”, nie „na papierze”
Wszystko wskazuje na to, że etap edukacji i wdrażania podstawowych rozwiązań RODO dobiegł końca. W obecnych realiach kluczowe znaczenie ma faktyczne funkcjonowanie systemu ochrony danych w organizacji. Oznacza to konieczność:
-
regularnego testowania procedur i mechanizmów bezpieczeństwa,
-
cyklicznych, praktycznych szkoleń pracowników,
-
zapewnienia IOD realnej niezależności i odpowiedniej pozycji w strukturze organizacyjnej,
-
każdorazowej oceny celowości i ryzyka przed rozpoczęciem nowego procesu przetwarzania danych.
Junior Associate, Kancelaria Prawna
Dla firm oznacza to konieczność przejścia od „RODO na papierze” do „RODO w działaniu”. Wyznaczenie realnie umocowanej osoby odpowiedzialnej za obszar ochrony danych, regularne audyty, podnoszenie świadomości pracowników oraz praktyczne testowanie procedur to dziś nie tylko dobra praktyka, ale również warunek ograniczenia ryzyka finansowego i reputacyjnego dla firm.
Zapraszamy do lektury!
Analiza administracyjnych kar pieniężnych nałożonych przez Prezesa UODO w 2025 r.