Raport: w 2025 r. padły rekordowe kary za naruszenia RODO. Najwyższa - za głośną aferę sprzed sześciu lat

Ponad 64 mln zł administracyjnych kar pieniężnych nałożonych w 2025 r. przez Prezesa Urzędu Ochrony Danych Osobowych to rekord, ale także wyraźny sygnał zmiany filozofii egzekwowania przepisów RODO. Z najnowszego raportu Grant Thornton wynika, że ciężar sankcji niemal w całości poniósł sektor prywatny – choć wśród ukaranych znalazły się także podmioty kojarzone z państwem.

UODO - mniej decyzji, większe kary
Naruszenia RODO. Sektor prywatny zapłacił prawie wszystko
Dane osobowe. Spółki kapitałowe pod presją

UODO - mniej decyzji, większe kary

W 2025 r. prezes UODO wydał 16 opublikowanych decyzji nakładających administracyjne kary pieniężne na 18 podmiotów. Łączna wartość sankcji przekroczyła 64,3 mln zł, co oznacza odejście od modelu wielu drobnych sankcji na rzecz kilku bardzo dotkliwych rozstrzygnięć.

Najczęściej stwierdzane naruszenia, które skutkowały karami administracyjnymi, dotyczyły niewłaściwego zabezpieczenia danych osobowych. Stanowiły ponad 60 proc. incydentów. Kolejne obszary, których najczęściej dotyczyły nieprawidłowości, to dokumentowanie działań administratora (56 proc.) i legalność przetwarzania danych (38 proc.).

Najwyższa kara – ponad 27 mln zł – została nałożona na Pocztę Polską w związku z przetwarzaniem danych przy organizacji wyborów korespondencyjnych w 2020 r. Kolejna, w wysokości 18,4 mln zł, dotknęła ING Bank Śląski za masowe i nieuzasadnione skanowanie dokumentów tożsamości klientów. Te dwa przypadki zdominowały bilans całego roku.

Dla porównania rok wcześniej, czyli w 2024 r., urząd wydał 20 decyzji nakładających administracyjne kary pieniężne za naruszenia przepisów RODO na 24 podmioty, ale łączna wysokość kar wyniosła mniej – niecałe 14 mln zł. Najwyższą – 4 mln zł – otrzymał wówczas mBank.

Naruszenia RODO. Sektor prywatny zapłacił prawie wszystko

Z raportu Grant Thornton wynika, że na przedsiębiorstwa nałożono niemal 64 mln zł kar, podczas gdy podmioty publiczne zapłaciły łącznie niewiele ponad 335 tys. zł. Jak już wspomniano, rekordowa sankcja dotknęła Pocztę Polską – spółkę należącą do Skarbu Państwa – jednak na gruncie RODO decydująca jest nie struktura właścicielska, lecz forma organizacyjno-prawna. Poczta Polska działa jako spółka akcyjna i nie należy do sektora finansów publicznych. W efekcie jest traktowana jak przedsiębiorstwo, wobec którego stosuje się unijne progi kar – do 20 mln euro lub 4 proc. obrotu. Z kolei podmioty publiczne w rozumieniu raportu to jednostki objęte krajowymi limitami sankcji, takie jak ministerstwa, urzędy, policja czy sanepid. To właśnie te ograniczenia sprawiają, że ich udział w łącznej kwocie kar pozostaje symboliczny.

Dane osobowe. Spółki kapitałowe pod presją

Analiza Grant Thornton pokazuje, że niemal cała wartość kar w sektorze prywatnym skoncentrowała się na spółkach kapitałowych – akcyjnych i z ograniczoną odpowiedzialnością. Choć liczbowo nie dominowały wśród ukaranych, to odpowiadały za zdecydowaną większość sankcji finansowych. Skala działalności, złożoność procesów przetwarzania danych oraz wysokie obroty sprawiają, że to właśnie one ponoszą dziś największe ryzyko.

Połowa postępowań w 2025 r. została wszczęta po zgłoszeniu naruszenia przez samych administratorów danych. To dowód na to, że wypełnienie obowiązku notyfikacji nie chroni przed sankcją. Prezes UODO konsekwentnie wskazuje, że kara jest efektem wcześniejszych zaniedbań – braku analizy ryzyka, nieadekwatnych zabezpieczeń czy „RODO istniejącego wyłącznie na papierze”.

– Rekordowe kary pokazują jasno, że zakończył się okres ulgowy związany z wdrażaniem RODO. Urząd Ochrony Danych Osobowych daje wyraźny sygnał, że po ponad ośmiu latach obowiązywania przepisów nie ma już miejsca na tłumaczenie się brakiem doświadczenia czy nieświadomością – wskazuje Emilia Martynowicz-Mamajek z zespołu kancelarii prawnej w Grant Thornton. ©℗