Wartość kar nałożonych w 2025 roku w Europie przez organy nadzoru wyniosła 1,2 mld EUR, co stanowi wynik zbliżony do tego z 2024 roku. W ubiegłym roku największą karą pieniężną o wartości 530 mln EUR została ukarana firma z sektora mediów społecznościowych, z powodu niezapewnienia odpowiedniego poziomu ochrony w związku z transferem danych osobowych do Chin. Rekordową karę nałożył irlandzki organ nadzoru.

Bezpieczeństwo danych i transfery międzynarodowe pod lupą regulatorów

– Zeszłoroczny poziom kar pokazuje, że europejskie organy regulacyjne pozostają bardzo aktywne. Tę aktywność widać szczególnie w obszarach takich jak bezpieczeństwo informacji, międzynarodowe transfery danych, transparentność, a także w kwestii wykorzystania danych do rozwoju sztucznej inteligencji – mówi Ewa Kurowska-Tober, partnerka kierująca zespołem prawa własności intelektualnej i nowych technologii (IPT) w DLA Piper w Warszawie.

Naruszenia danych osobowych w Europie – Polska w czołówce

O ponad jedną piątą wzrosła w 2025 roku liczba zgłoszeń naruszeń danych osobowych w Europie, osiągając średnio 443 zgłoszeń dziennie. Podobnie jak w ostatnich latach trzy kraje – Holandia, Niemcy i Polska – zajmują czołowe miejsca pod względem liczby zgłoszonych naruszeń bezpieczeństwa danych.

W 2025 roku w Holandii zgłoszono 39 773 naruszeń, a w Niemczech 34 467. W Polsce liczba zgłoszonych naruszeń wzrosła rok do roku o 4 779 przypadków, czyli o 33 proc., i wyniosła 19 065.

Cyberataki główną przyczyną naruszeń RODO

– Silny wzrost liczby naruszeń pokazuje, jak ważne jest cyberbezpieczeństwo, coraz większa liczba cyberataków na systemy IT przekłada się na liczbę naruszeń – dodaje Ewa Kurowska-Tober. – Ta sytuacja powinna skłonić firmy do skupienia się na obszarze bezpieczeństwa danych w nadchodzącym roku, zaniedbanie oznacza rosnące ryzyko strat finansowych i wizerunkowych związanych z cyberatakami. Nie bez znaczenia pozostaje także fakt, że wraz z rozwojem sztucznej inteligencji pojawiają się nowe zagrożenia związane z ochroną danych, na które wiele organizacji nie jest dziś przygotowane.

Najwyższe kary za RODO . Które kraje płacą najwięcej?

Irlandia pozostaje liderem pod względem wysokości kar nałożonych od momentu wejścia w życie RODO w maju 2018 roku. Urząd ochrony danych osobowych tego kraju nałożył już kary o łącznej wartości 4,04 mld EUR.

Na drugim miejscu plasuje się Francja z łącznymi karami w wysokości 1,13 mld EUR, a na trzecim Luksemburg z 747 mln EUR.

W Polsce łączna wartość kar wydanych od 2018 roku przez Prezesa Urzędu Ochrony Danych Osobowych wyniosła 22,3 mln EUR.

Branża technologiczna liderem pod względem wysokości kar

Choć uwagę regulatorów w ostatnim roku w coraz większym stopniu przyciągały firmy świadczące usługi finansowe, telekomunikacyjne i dostawcy usług użyteczności publicznej, najwyższe kary w Europie nadal dotyczą podmiotów z branży technologicznej i mediów społecznościowych – dziewięć z dziesięciu najwyższych kar w historii otrzymały firmy właśnie z tego sektora.

– Patrząc na wysokość kar nałożonych w ostatnich kilku latach, wyraźnie widzimy, że europejscy regulatorzy nie ulegają presji pomimo rosnącej krytyki ich działań spoza Europy i nadal są skłonni twardo egzekwować przestrzeganie przepisów w zakresie ochrony danych – mówi Piotr Czulak, counsel w zespole IPT w warszawskim biurze DLA Piper.

Sztuczna inteligencja a naruszenia ochrony danych osobowych

Kar związanych z wykorzystaniem danych osobowych nie uniknęły też firmy rozwijające produkty oparte na AI. Włoski organ nadzoru ukarał firmę Luka Inc. w związku z jej usługą Replika, chatbotem z interfejsem głosowym i pisemnym opartym na generatywnej sztucznej inteligencji.

Regulator uznał, że firma naruszyła przepisy RODO, ponieważ nie określiła podstawy prawnej operacji przetwarzania danych, nie dostarczyła odpowiednich klauzul informacyjnych, a także nie wdrożyła żadnych mechanizmów weryfikacji wieku użytkowników.

Ochrona danych osobowych a rozwój AI – możliwe zmiany prawa

– Europejscy regulatorzy nadal aktywnie monitorują wykorzystanie danych do szkolenia modeli językowych, ale znajdują się pod coraz większą presją, by ochrona danych nie stała na przeszkodzie innowacji zarówno w sektorze prywatnym, jak i publicznym. Propozycje zmian w prawie wysuwane w ostatnich miesiącach miałyby zakładać wyjątki od przepisów RODO związane z wykorzystaniem danych osobowych na potrzeby rozwoju AI na podstawie „prawnie uzasadnionego interesu”, z zachowaniem zabezpieczeń takich jak minimalizacja danych, przejrzystość i prawo do sprzeciwu – dodaje Piotr Czulak.