Zdarza się, że o ochronie danych myślimy wyłącznie w kategorii procedur, polityk prywatności i zgód na odhaczanie.
Pierwsze miesiące 2025 roku pokazały, że lista rzeczy, które mogą pójść nie tak, wciąż się wydłuża. Od spektakularnych wycieków danych, przez nietrafione wdrożenie biometrii, aż po nielegalne wykorzystywanie prywatnych wiadomości pracowników. Tegoroczne decyzje europejskich regulatorów są jak lustrzane odbicie problemów, z którymi mierzą się firmy i instytucje na co dzień.
W zestawieniu znajdziesz zarówno rekordowe kary dla gigantów pokroju TikToka czy Vodafone, jak i mniej oczywiste sprawy — szkołę z Włoch, formularz zgłoszeń w Szwecji czy autostradę, która sięgnęła po Facebooka w sporze z pracownicą. Każda z tych historii opowiada coś więcej niż tylko o wysokości kary. Pokazuje, gdzie w organizacjach brakuje refleksji, zabezpieczeń albo po prostu zwyklej ostrożności.
To nie tylko najwyższa kara RODO w historii Polski, ale też jedna z najbardziej symbolicznych decyzji ostatnich lat. Prezes UODO, Mirosław Wróblewski, nałożył na Pocztę Polską sankcję w wysokości 27 mln zł, a na Ministra Cyfryzacji — dodatkowe 100 zł. Powód? Masowe pozyskanie danych ok. 30 miliomów obywatelu z rejestru PESEL w 2020 roku - bez podstawy prawnej i jeszcze przed wejściem w życie ustawy regulującej głosowanie korespondencyjne.
Poczta, działając na polecenie rządu, gromadziła dane wszystkich pełnoletnich wyborców — imiona, nazwiska, adresy, numery PESEL — mimo że brakowało ku temu obowiązujących przepisów. UODO jednoznacznie stwierdził naruszenie zasady legalności przetwarzania danych oraz realne zagrożenie dla prawa do prywatności obywateli.
Decyzja pokazuje, że RODO obowiązuje każdego — także instytucje państwowe i choć od tzw. wyborów kopertowych minęły już ponad cztery lata, organ nadzorczy doprowadził sprawę do końca. Poczta i administracja rządowa poniosą konsekwencje nie tylko finansowe, ale i reputacyjne. To także czytelna lekcja dla innych podmiotów publicznych — jak widać, nawet w sytuacjach politycznej presji, standardy ochrony danych muszą być zachowane.
Francuski organ ochrony danych, CNIL, ukarał Orange kwotą 50 milionów euro za dość nietypowe, ale jak się okazało — nielegalne działania marketingowe. Chodzi o reklamy, które pojawiały się w skrzynkach odbiorczych użytkowników Mail Orange w formie wiadomości e-mail. Problem w tym, że wyglądały niemal identycznie jak zwykłe maile — bez oznaczeń, że to reklama, bez dodatkowego ostrzeżenia.
CNIL uznał, że skoro to forma marketingu, Orange powinien najpierw zapytać użytkowników o zgodę — i tego właśnie zabrakło. Na tym jednak nie koniec. Nawet jeśli ktoś taką zgodę wcześniej wycofał, strona Orange nadal odczytywała pliki cookie, co jest niezgodne z francuskim prawem. Organ nie tylko nałożył wysoką grzywnę, ale też zobowiązał firmę do zaprzestania tych działań — pod groźbą dodatkowej kary w wysokości 100 tysięcy euro za każdy dzień zwłoki.
To przykład sytuacji, w której "sprytny" pomysł marketingowy okazał się zbyt dalekim posunięciem. Orange próbował wpleść reklamy tak, by wyglądały jak zwykle wiadomości - ale granica prywatności i prawa są dość wyraźne. Użytkownicy mają prawo wiedzieć, co trafia do ich skrzynki i kto za tym stoi. Ta decyzja CNIL-u to przypomnienie, że forma przekazu też ma znaczenie — i że nawet duzi gracze muszą grać fair.
Irlandzka Komisja Ochrony Danych (DPC) nałożyła na platformę karę w wysokości 530 milionów euro za przekazywanie danych osobowych do Chin bez odpowiednich zabezpieczeń.
W toku postępowania okazało się, że dane trafiały do spółki-matki TikToka oraz innych podmiotów w Chinach, choć nie spełniono wymogów przewidzianych przez RODO. Chodzi m.in. o brak mechanizmów, które gwarantowałyby użytkownikom poziom ochrony danych porównywalny z tym, który obowiązuje w Unii. Co więcej, DPC wskazał też na nieprawidłowości w informowaniu użytkowników o tych transferach – firma nie dość jasno komunikowała, co właściwie dzieje się z ich danymi.
Od momentu nałożenia kary, TikTok ma sześć miesięcy na uporządkowanie procesów i dostosowanie transferów danych do wymogów unijnych. Jeśli tego nie zrobi, grozi mu zawieszenie przesyłania danych do Chin.
To potężny cios finansowy i poważny problem wizerunkowy, choć nie pierwszy tej firmy. Firma przez długi czas zapewniała o bezpieczeństwie danych i zgodności z przepisami, tymczasem okazało się, że informacje o europejskich użytkownikach trafiały tam, gdzie europejskie prawo już ich nie chroni. Można powiedzieć, że dla TikToka to lekcja, że prywatność nie kończy się na granicy – a użytkownicy mają prawo wiedzieć, dokąd wysyłane są ich dane i co się z nimi dzieje.
Vodafone GmbH, jeden z największych operatorów telekomunikacyjnych w Niemczech, został ukarany łączną grzywną w wysokości 45 milionów euro. Federalny organ ochrony danych (BfDI) wykazał, że firma dopuściła się poważnych uchybień w dwóch obszarach – nadzorze nad podmiotami przetwarzającymi dane oraz bezpieczeństwie systemów IT.
Pierwsza część kary, 15 milionów euro, dotyczyła współpracy z zewnętrznymi agentami sprzedaży. Okazało się, że część z nich tworzyła fikcyjne umowy lub modyfikowała istniejące kontrakty bez zgody klientów. Było to możliwe, bo Vodafone nie wprowadził wystarczających mechanizmów kontroli nad swoimi partnerami, co narusza przepisy RODO dotyczące relacji z podmiotami przetwarzającymi dane.
Druga, znacznie wyższa kara – 30 milionów euro – została nałożona za błędy w zabezpieczeniach technicznych. Chodzi m.in. o luki w procesie uwierzytelniania użytkowników pomiędzy portalem „MeinVodafone” a infolinią. W praktyce umożliwiały one nieautoryzowany dostęp do danych klientów, a nawet do ich kart eSIM – co stanowiło bezpośrednie zagrożenie dla prywatności użytkowników.
Vodafone nie próbował się wymigiwać. Firma zaakceptowała decyzję organu, rozpoczęła współpracę z BfDI i wdrożyła plan naprawczy – usprawniła swoje systemy IT, załatała luki bezpieczeństwa i zakończyła współpracę z nieuczciwymi partnerami.
To kolejna decyzja, która pokazuje, że odpowiedzialność za ochronę danych nie kończy się na systemach informatycznych. Nadzór nad podmiotami zewnętrznymi, rzetelna weryfikacja i solidne procedury to nie opcje, ale obowiązki. Jak ujęła to nowa federalna inspektorka, prof. Specht-Riemenschneider – „Investieren statt riskieren”. Lepiej zainwestować w bezpieczeństwo niż w grzywny.
Hiszpańska agencja ochrony danych (AEPD) nałożyła na LaLigę karę w wysokości 1 miliona euro za wykorzystanie rozpoznawania twarzy i skanowania odcisków palców podczas kontroli dostępu na stadionach. Systemy biometryczne wdrożono w tzw. „sektorach ultras”, gdzie miały pomóc w identyfikowaniu osób objętych zakazem stadionowym. LaLiga tłumaczyła ten krok troską o bezpieczeństwo, ale dla AEPD to było zdecydowanie za dużo – zarówno w kontekście zakresu danych, jak i braku przygotowania.
Organ uznał, że przetwarzanie tak wrażliwych informacji, jak dane biometryczne dziesiątek tysięcy kibiców, było nieproporcjonalne do celu. Podobny efekt można było osiągnąć prostszymi środkami, jak imienne bilety czy standardowa kontrola dokumentów. Co więcej, LaLiga w ogóle nie przeprowadziła wymaganej oceny skutków dla ochrony danych (DPIA) przed wdrożeniem systemu – co stanowi naruszenie art. 35 RODO. W efekcie, poza grzywną, AEPD zakazała dalszego stosowania tej technologii, dopóki nie zostaną spełnione wszystkie wymogi prawa.
To nie pierwszy przypadek interwencji w hiszpańskim futbolu – wcześniej podobny system kosztował klub Osasuna 200 tysięcy euro, a Atlético Madryt całkowicie wycofało się z pomysłu po analizie ryzyk.
LaLiga odwołała się od decyzji, argumentując, że to kluby – a nie organizator rozgrywek – są administratorami danych. Ale niezależnie od formalnej odpowiedzialności, sprawa odbiła się szerokim echem. Nowoczesna technologia może ułatwiać zarządzanie wydarzeniami masowymi, ale nawet przy walce z chuligaństwem nie można zapominać, że dane biometryczne to nie jest zwykły kod kreskowy. To dane o wysokim stopniu wrażliwości – i jeśli używać ich w praktyce, to tylko z pełną świadomością i zgodnością z przepisami.
Warto dodać, że temat wykorzystania biometrii twarzy już wkrótce będzie podlegał nie tylko przepisom RODO, ale też unijnemu AI Act. Nowe rozporządzenie przewiduje szczególne ograniczenia dla systemów zdalnej identyfikacji biometrycznej – zwłaszcza wtedy, gdy są stosowane w czasie rzeczywistym i wobec szerokiego kręgu osób. Dla organizatorów dużych wydarzeń to dobry moment, by na nowo przemyśleć proporcje między bezpieczeństwem a prywatnością.
Pozostajemy jeszcze na moment w Hiszpanii, bo AEPD nałożyła kolejną, tym razem czteromilionową karę – na firmę ubezpieczeniową Generali España. Powodem były poważne zaniedbania w zakresie bezpieczeństwa danych, które doprowadziły do wycieku informacji o ponad 25 tysiącach klientów.
Incydent miał miejsce w październiku 2022 roku, gdy cyberprzestępca uzyskał dostęp do systemu obsługi klientów, wykorzystując dane logowania jednego z brokerów współpracujących z Generali. Początkowo firma uznała, że sprawa dotyczy tylko kilkudziesięciu osób i nie zgłosiła wycieku do organu nadzorczego. Dopiero później wyszło na jaw, że wskutek błędu konfiguracyjnego intruz mógł pobrać dane dziesiątek tysięcy byłych klientów – w tym numery PESEL/NIF, adresy, daty urodzenia, informacje o stanie cywilnym, kontach bankowych czy numery telefonów. Część z tych danych trafiła następnie na kanały sprzedażowe w internecie, m.in. na grupę na Telegramie.
AEPD ustaliła, że Generali nie wdrożyło podstawowych zabezpieczeń. Brokerzy nie byli zobowiązani do stosowania uwierzytelniania dwuskładnikowego, w systemie brakowało logów dostępu, a dane wszystkich klientów – obecnych i byłych – były przechowywane w jednym zbiorze, bez ograniczeń widoczności. Firma nie przeprowadziła także wymaganej oceny skutków dla ochrony danych (DPIA), mimo że zakres przetwarzania był bardzo szeroki.
Kara pierwotnie wynosiła 5 milionów euro, ale zgodnie z hiszpańskim prawem została obniżona o 20 procent ze względu na dobrowolną szybką wpłatę.
To jeden z tych przypadków, w których zawiodło niemal wszystko: zabezpieczenia techniczne, procedury organizacyjne i elementarna ocena ryzyka. W branży ubezpieczeniowej ochrona danych osobowych powinna być standardem, a nie problemem – zwłaszcza że mówimy tu o informacjach wrażliwych, które nie powinny nigdy trafić w niepowołane ręce. Dla firm z sektora finansowego to czytelny sygnał: zaniedbania w zakresie bezpieczeństwa mają dziś nie tylko konsekwencje prawne, ale też bezpośrednie, bardzo konkretne koszty.
Przenosimy się na chwilę do Włoch, gdzie Garante – tamtejszy organ ochrony danych – przyznał, że media społecznościowe to nie szafa z aktami personalnymi. Spółka Autostrade per l’Italia, zarządzająca włoską siecią autostrad, została ukarana grzywną w wysokości 420 tysięcy euro za to, jak potraktowała dane jednej ze zwolnionych pracownic.
W postępowaniu dyscyplinarnym firma posłużyła się materiałami z prywatnego konta kobiety na Facebooku, a także z jej rozmów prowadzonych przez Messengera i WhatsAppa. Informacje te – w tym korespondencja i prywatne komentarze – miały potwierdzać naruszenie obowiązków pracowniczych. Problem w tym, że dostęp do nich nie był ani otwarty, ani dobrowolny, a pracodawca nie miał prawa wykorzystywać tych treści w zupełnie innym celu niż ten, w którym zostały zebrane.
Garante uznał, że doszło do poważnego naruszenia zasad RODO – w szczególności legalności, ograniczenia celu i minimalizacji danych. Publiczna dostępność niektórych informacji w sieci nie oznacza, że można z nich korzystać w dowolny sposób – zwłaszcza w kontekście relacji pracodawca–pracownik. Widoczność nie jest równoznaczna z przyzwoleniem.
To decyzja, która powinna zatrzymać niejednego pracodawcę przed pokusą „researchu” na Facebooku. Granice między życiem zawodowym a prywatnym nadal obowiązują – i są chronione przepisami. A dla Autostrade nauka z tej sprawy jest dość czytelna: znajomość RODO bywa równie cenna, jak znajomość ograniczeń prędkości. Zwłaszcza że przekroczenie jednego i drugiego może naprawdę słono kosztować.
Tym razem schodzimy z autostrad do szkolnego korytarza. Istituto “P. Galluppi”, szkoła średnia z Tropei, otrzymała 4 tysiące euro grzywny za nielegalne przetwarzanie danych biometrycznych swoich pracowników. Chodziło o system rejestracji obecności, który opierał się na skanowaniu linii papilarnych.
Szkoła argumentowała, że chodziło o zwiększenie bezpieczeństwa i że udział w systemie był dobrowolny. Garante nie podzielił jednak tego podejścia. Po pierwsze – we włoskim sektorze publicznym nie ma przepisów, które dopuszczałyby stosowanie biometrii w takich celach, a obowiązujące wcześniej zostały uchylone już w 2020 roku. Po drugie – tzw. zgoda pracownika w relacji z pracodawcą nie może być uznana za w pełni dobrowolną ze względu na istniejącą nierównowagę stron. Innymi słowy: nawet jeśli ktoś „się zgodził”, to w świetle prawa ta zgoda nie miała mocy.
Garante uznał więc, że szkoła naruszyła przepisy dotyczące legalności przetwarzania (art. 6 RODO) oraz przetwarzała dane biometryczne bez spełnienia jednego z wyjątków przewidzianych w art. 9. Oprócz nałożenia grzywny organ zakazał dalszego korzystania z systemu do momentu przywrócenia zgodności z prawem – co w praktyce oznaczało jego wyłączenie.
To historia z morałem: nawet jeśli pomysł wydaje się niewinny i wygodny, technologie biometryczne w miejscu pracy to grząski grunt. Wprowadzenie czytnika odcisków palców bez analizy prawnej może skończyć się nie tylko niezadowoleniem kadry, ale też kontrolą i mandatem. Lepiej zawczasu sprawdzić, co na to przepisy – zanim system sam odciśnie się na budżecie.
Nawet instytucje stojące na straży praw obywatelskich nie są odporne na błędy techniczne. Szwedzki organ nadzorczy IMY nałożył 100 000 koron (czyli ok. 9 tysięcy euro) kary na Diskrimineringsombudsmannena – odpowiednik rzecznika ds. równości – za niedostateczne zabezpieczenie danych w internetowym formularzu służącym do zgłaszania przypadków dyskryminacji.
Na stronie DO znajdował się formularz, który miał umożliwić obywatelom anonimowe opisywanie trudnych sytuacji związanych z nierównym traktowaniem. Problem polegał na tym, że wskutek błędnej konfiguracji część treści wprowadzanych do formularza trafiała nie tylko do urzędu, ale też… do zewnętrznego narzędzia analitycznego, które monitorowało ruch na stronie. Inaczej mówiąc: dane dotyczące zgłoszeń – w tym potencjalnie informacje wrażliwe, jak pochodzenie etniczne, zdrowie czy wyznanie – były przekazywane podmiotowi trzeciemu, bez świadomości użytkowników.
Incydent trwał prawie rok i objął około 500 zgłoszeń. Formularz został ostatecznie zamknięty, a IMY uznał, że urząd nie spełnił wymagań z art. 32 RODO – nie zapewnił odpowiednich środków bezpieczeństwa, które oddzieliłyby dane osobowe od systemów analitycznych. Choć sytuacja była wynikiem błędu, urząd jako administrator danych odpowiadał za całość konfiguracji i nadzoru.
To nie była rekordowa kara, ale jej wymiar był bardzo czytelny. DO miał działać w interesie obywateli, a przez niedopatrzenie techniczne wystawił ich dane na ryzyko naruszenia prywatności. Z perspektywy instytucji publicznych to ważne przypomnienie, że dobre intencje nie zwalniają z obowiązku sprawdzenia, jak działają narzędzia online. Zwłaszcza gdy mówimy o tak delikatnych sprawach, jak osobiste doświadczenia dyskryminacji.
Na koniec zaglądamy do Finlandii, gdzie internetowy pośrednik kredytowy Sambla Group Oy zapłaci 950 tysięcy euro za poważne niedopatrzenia w zabezpieczeniach swojej aplikacji webowej. W skrócie: wystarczył odpowiednio zmodyfikowany adres URL, by zobaczyć dane finansowe zupełnie obcych osób.
W wyniku błędu programistycznego aplikacja pozwalała użytkownikom – bez żadnej autoryzacji – podejrzeć cudze wnioski kredytowe. Wystarczyło wpisać inny identyfikator w adres przeglądarki, by uzyskać dostęp do danych takich jak wysokość dochodów, wydatki, stan cywilny czy informacje o rachunkach bankowych.
Choć firma szybko naprawiła lukę i zgłosiła incydent, fiński organ ochrony danych (Tietosuojavaltuutetun toimisto) uznał, że to nie wystarczy. Kontrola wykazała rażące braki w zabezpieczeniach: brak mechanizmów kontroli dostępu, brak porządnego uwierzytelniania i ogólne lekceważenie podstawowych zasad bezpieczeństwa.
Choć luka została szybko załatana, a incydent oficjalnie zgłoszony, fiński organ nie potraktował sprawy ulgowo. Aplikacja Sambli – używana do obsługi wniosków kredytowych – nie zawierała żadnych zabezpieczeń, które powstrzymałyby użytkownika przed podejrzeniem cudzych danych. W praktyce wystarczyła podstawowa wiedza techniczna i chwila cierpliwości, by bez logowania dostać się do poufnych informacji innych klientów.
Tego rodzaju błąd – choć z pozoru prosty – naruszył fundamenty ochrony danych: poufność, integralność i kontrolę dostępu. A mówimy tu o danych szczególnie wrażliwych: dotyczących sytuacji finansowej, stanu cywilnego, dochodów, a niekiedy i zobowiązań. Nieprawidłowość dotknęła samego sedna zaufania między użytkownikiem a cyfrową usługą. Jak zauważył organ nadzorczy – nie trzeba wielkiego cyberataku, by dane wypłynęły. Czasem wystarczy niefrasobliwość w architekturze systemu i brak wyobraźni po stronie twórców.
Pierwsze miesiące 2025 roku dobitnie pokazały, że naruszenia RODO przybierają różne formy. Nie ma jednej ścieżki prowadzącej do kary – czasem to niedopatrzenie w testach aplikacji, innym razem – świadome obchodzenie przepisów, brak analizy ryzyk albo lekceważenie obowiązków po stronie partnerów zewnętrznych.
Wśród opisanych przypadków znalazły się zarówno spektakularne decyzje wobec gigantów, takich jak TikTok czy Vodafone, jak i pozornie „niewielkie” sprawy dotyczące szkół, instytucji publicznych czy formularzy zgłoszeń. One również mają znaczenie – bo pokazują, że RODO działa nie tylko tam, gdzie w grę wchodzą miliony euro, ale także tam, gdzie chodzi o zwykłych ludzi i ich poczucie bezpieczeństwa.
Wszystkie te sprawy łączy jedno: konieczność budowania kultury ochrony danych – nie na pokaz, ale na serio. Od projektowania usług z uwzględnieniem prywatności (privacy by design), przez rzetelną ocenę skutków (DPIA), po praktyczne zabezpieczenia, testy i uczciwy nadzór nad procesami. RODO to nie tylko obowiązek – to odpowiedzialność. A jak pokazuje ten półroczny przegląd, jej brak potrafi kosztować naprawdę dużo. I to nie tylko finansowo.
* do lipca 2025 r.
