Pierwsze p\u00f3\u0142rocze 2025 roku przynios\u0142o fal\u0119 kar RODO w ca\u0142ej Europie. Od rekordowych 530 mln EUR dla TikToka po 4 tys. EUR dla w\u0142oskiej szko\u0142y \u2014 regulatorzy udowodnili, \u017ce przepisy dzia\u0142aj\u0105 niezale\u017cnie od skali organizacji. Poni\u017cej znajdziesz przegl\u0105d najwa\u017cniejszych decyzji, ich przyczyny i konkretne wnioski dla Twojego biznesu.<\/p>\n
RODO nie zna wyj\u0105tk\u00f3w<\/strong> \u2014 kary dotkn\u0119\u0142y gigant\u00f3w technologicznych, instytucje publiczne, ubezpieczycieli, a nawet szko\u0142y.<\/p>\n<\/li>\n Brak DPIA (oceny skutk\u00f3w) to powtarzaj\u0105cy si\u0119 b\u0142\u0105d<\/strong> \u2014 pojawia si\u0119 w sprawach LaLigi, Generali i nie tylko.<\/p>\n<\/li>\n Niedostateczne zabezpieczenia techniczne kosztuj\u0105 najwi\u0119cej<\/strong> \u2014 luki w uwierzytelnianiu, brak kontroli dost\u0119pu i b\u0142\u0119dy konfiguracyjne odpowiadaj\u0105 za najwy\u017csze kary.<\/p>\n<\/li>\n Nadz\u00f3r nad partnerami zewn\u0119trznymi to Twoja odpowiedzialno\u015b\u0107<\/strong> \u2014 nie mo\u017cesz przerzuci\u0107 jej na podwykonawc\u0119.<\/p>\n<\/li>\n Dobre intencje nie zast\u0119puj\u0105 zgodno\u015bci z przepisami<\/strong> \u2014 nawet je\u015bli cel wydaje si\u0119 s\u0142uszny (bezpiecze\u0144stwo na stadionach, rejestracja obecno\u015bci), \u015brodki musz\u0105 by\u0107 proporcjonalne i legalne.<\/p>\n<\/li>\n<\/ul>\n Regulator:<\/strong> UODO (Polska) Kwota kary:<\/strong> 27 mln z\u0142 (Poczta Polska) + 100 z\u0142 (Minister Cyfryzacji)<\/p>\n Poczta\u00a0Polska, dzia\u0142aj\u0105c na polecenie rz\u0105du, pozyska\u0142a dane ok. 30 milion\u00f3w obywateli z rejestru PESEL w 2020 roku \u2014 imiona, nazwiska, adresy, numery PESEL. Problem: ustawa reguluj\u0105ca g\u0142osowanie korespondencyjne jeszcze nie obowi\u0105zywa\u0142a. Brakowa\u0142o podstawy prawnej.<\/p>\n Przetwarzanie danych bez podstawy prawnej \u2014 naruszenie zasady legalno\u015bci.<\/p>\n<\/li>\n Realne zagro\u017cenie dla prawa do prywatno\u015bci obywateli na masow\u0105 skal\u0119.<\/p>\n<\/li>\n<\/ul>\n Nawet polecenie ze strony instytucji publicznej nie zwalnia z obowi\u0105zku weryfikacji podstawy prawnej przetwarzania danych.<\/p>\n<\/li>\n Je\u015bli dzia\u0142asz w sektorze publicznym lub realizujesz zlecenia dla administracji \u2014 zawsze sprawd\u017a, czy istnieje obowi\u0105zuj\u0105cy przepis pozwalaj\u0105cy na przetwarzanie danych, zanim je pobierzesz.<\/p>\n<\/li>\n Konsekwencje s\u0105 nie tylko finansowe, ale i reputacyjne \u2014 nawet po czterech latach organ doprowadzi\u0142 spraw\u0119 do ko\u0144ca.<\/p>\n<\/li>\n<\/ul>\n Regulator:<\/strong> CNIL (Francja) Kwota kary:<\/strong> 50 mln EUR + nakaz zaprzestania pod rygorem 100 tys. EUR dziennie<\/p>\n Orange wy\u015bwietla\u0142 reklamy w skrzynkach pocztowych u\u017cytkownik\u00f3w Mail Orange. Reklamy wygl\u0105da\u0142y niemal identycznie jak zwyk\u0142e wiadomo\u015bci e-mail \u2014 bez oznacze\u0144, bez ostrze\u017ce\u0144. U\u017cytkownicy nie wyra\u017cali na to zgody.<\/p>\n Brak zgody u\u017cytkownik\u00f3w na dzia\u0142ania marketingowe.<\/p>\n<\/li>\n Odczytywanie plik\u00f3w cookie nawet po wycofaniu zgody \u2014 niezgodne z francuskim prawem.<\/p>\n<\/li>\n Brak oznaczenia tre\u015bci reklamowych.<\/p>\n<\/li>\n<\/ul>\n Je\u015bli wysy\u0142asz komunikaty marketingowe \u2014 niezale\u017cnie od formy \u2014 potrzebujesz wyra\u017anej zgody odbiorcy.<\/p>\n<\/li>\n \u201eSprytne\" formaty reklamowe (np. reklamy udaj\u0105ce maile) nie omijaj\u0105 obowi\u0105zku uzyskania zgody.<\/p>\n<\/li>\n Wycofanie zgody przez u\u017cytkownika musi by\u0107 skuteczne natychmiast \u2014 dotyczy to r\u00f3wnie\u017c plik\u00f3w cookie.<\/p>\n<\/li>\n<\/ul>\n Regulator:<\/strong> DPC (Irlandia) Kwota kary:<\/strong> 530 mln EUR + 6-miesi\u0119czny termin na dostosowanie lub zawieszenie transfer\u00f3w<\/p>\n TikTok przekazywa\u0142 dane osobowe europejskich u\u017cytkownik\u00f3w do sp\u00f3\u0142ki-matki i innych podmiot\u00f3w w Chinach. Transfer odbywa\u0142 si\u0119 bez wymaganych przez RODO zabezpiecze\u0144 \u2014 brakowa\u0142o mechanizm\u00f3w gwarantuj\u0105cych poziom ochrony por\u00f3wnywalny z unijnym.<\/p>\n Transfer danych do kraju trzeciego bez odpowiednich zabezpiecze\u0144.<\/p>\n<\/li>\n Nieprawid\u0142owe informowanie u\u017cytkownik\u00f3w o tym, dok\u0105d trafiaj\u0105 ich dane i co si\u0119 z nimi dzieje.<\/p>\n<\/li>\n<\/ul>\n Je\u015bli korzystasz z narz\u0119dzi lub us\u0142ug, kt\u00f3re przesy\u0142aj\u0105 dane poza EOG<\/a> \u2014 zweryfikuj, czy masz wdro\u017cone wymagane mechanizmy (np. standardowe klauzule umowne, ocena adekwatno\u015bci).<\/p>\n<\/li>\n Transparentno\u015b\u0107 wobec u\u017cytkownik\u00f3w to nie opcja \u2014 musisz jasno komunikowa\u0107, gdzie przetwarzasz ich dane.<\/p>\n<\/li>\n Transfer danych do Chin, USA lub innych kraj\u00f3w trzecich wymaga dodatkowej analizy ryzyka i dokumentacji.<\/p>\n<\/li>\n<\/ul>\n Regulator:<\/strong> BfDI (Niemcy) Kwota kary:<\/strong> 45 mln EUR (15 mln + 30 mln)<\/p>\n Vodafone GmbH\u00a0dopu\u015bci\u0142 si\u0119 uchybie\u0144 w dw\u00f3ch kluczowych obszarach:<\/p>\n Zewn\u0119trzni agenci sprzeda\u017cy tworzyli fikcyjne umowy lub modyfikowali istniej\u0105ce kontrakty bez zgody klient\u00f3w.<\/p>\n<\/li>\n Vodafone nie wdro\u017cy\u0142 wystarczaj\u0105cych mechanizm\u00f3w kontroli nad podmiotami przetwarzaj\u0105cymi dane.<\/p>\n<\/li>\n<\/ul>\n B\u0142\u0119dy w uwierzytelnianiu mi\u0119dzy portalem \u201eMeinVodafone\" a infolini\u0105.<\/p>\n<\/li>\n Nieautoryzowany dost\u0119p do danych klient\u00f3w, w tym do kart eSIM.<\/p>\n<\/li>\n<\/ul>\n Odpowiedzialno\u015b\u0107 za dane nie ko\u0144czy si\u0119 na Twoich systemach \u2014 obejmuje te\u017c partner\u00f3w zewn\u0119trznych i podwykonawc\u00f3w.<\/p>\n<\/li>\n Sprawd\u017a, czy masz wdro\u017cone mechanizmy weryfikacji i kontroli nad podmiotami przetwarzaj\u0105cymi dane w Twoim imieniu<\/a>.<\/p>\n<\/li>\n Przetestuj procesy uwierzytelniania \u2014 szczeg\u00f3lnie na styku r\u00f3\u017cnych kana\u0142\u00f3w obs\u0142ugi (portal, infolinia, aplikacja).<\/p>\n<\/li>\n Jak uj\u0119\u0142a to niemiecka inspektorka, prof. Specht-Riemenschneider: \u201eInvestieren statt riskieren\" \u2014 lepiej zainwestowa\u0107 w bezpiecze\u0144stwo ni\u017c w grzywny.<\/p>\n<\/li>\n<\/ul>\n \u00a01 mln EUR + zakaz stosowania technologii<\/p>\n LaLiga wdro\u017cy\u0142a systemy rozpoznawania twarzy i skanowania odcisk\u00f3w palc\u00f3w w \u201esektorach ultras\" na stadionach. Cel: identyfikacja os\u00f3b z zakazem stadionowym. Problem: brak proporcjonalno\u015bci i brak wymaganej oceny skutk\u00f3w.<\/p>\n Przetwarzanie danych biometrycznych dziesi\u0105tek tysi\u0119cy kibic\u00f3w \u2014 nieproporcjonalne do celu.<\/p>\n<\/li>\n Brak przeprowadzenia DPIA (oceny skutk\u00f3w dla ochrony danych \u2014 wymaganej przez art. 35 RODO) przed wdro\u017ceniem systemu.<\/p>\n<\/li>\n Podobny efekt mo\u017cna by\u0142o osi\u0105gn\u0105\u0107 prostszymi \u015brodkami (imienne bilety, kontrola dokument\u00f3w).<\/p>\n<\/li>\n<\/ul>\n Przed wdro\u017ceniem biometrii \u2014 zawsze przeprowad\u017a DPIA.<\/strong> Brak oceny skutk\u00f3w to osobne naruszenie, niezale\u017cne od wyniku analizy.<\/p>\n<\/li>\n Sprawd\u017a proporcjonalno\u015b\u0107.<\/strong> Je\u015bli istnieje mniej inwazyjny spos\u00f3b osi\u0105gni\u0119cia tego samego celu \u2014 wybierz go.<\/p>\n<\/li>\n Pami\u0119taj o <\/strong>AI Act<\/strong><\/a>.<\/strong> Unijne rozporz\u0105dzenie o sztucznej inteligencji wprowadza dodatkowe ograniczenia dla system\u00f3w zdalnej identyfikacji biometrycznej \u2014 zw\u0142aszcza stosowanych w czasie rzeczywistym wobec szerokiego kr\u0119gu os\u00f3b.<\/p>\n<\/li>\n<\/ol>\n Wcze\u015bniej podobny system kosztowa\u0142 klub Osasuna 200 tys. EUR. Atl\u00e9tico Madryt ca\u0142kowicie wycofa\u0142o si\u0119 z pomys\u0142u po analizie ryzyk.<\/p>\n<\/blockquote>\n Regulator:<\/strong> AEPD (Hiszpania) Kwota kary:<\/strong> 4 mln EUR (pierwotnie 5 mln, obni\u017cona o 20% za szybk\u0105 wp\u0142at\u0119)<\/p>\n W pa\u017adzierniku 2022 roku cyberprzest\u0119pca uzyska\u0142 dost\u0119p do systemu obs\u0142ugi klient\u00f3w\u00a0Generali, wykorzystuj\u0105c dane logowania jednego z broker\u00f3w. Wyciek\u0142y dane ponad 25 tysi\u0119cy klient\u00f3w \u2014 numery PESEL\/NIF, adresy, daty urodzenia, informacje o stanie cywilnym, kontach bankowych i numery telefon\u00f3w. Cz\u0119\u015b\u0107 danych trafi\u0142a na Telegrama.<\/p>\n Brak uwierzytelniania dwusk\u0142adnikowego dla broker\u00f3w.<\/p>\n<\/li>\n Brak log\u00f3w dost\u0119pu w systemie.<\/p>\n<\/li>\n Dane klient\u00f3w obecnych i by\u0142ych przechowywane w jednym zbiorze, bez ogranicze\u0144 widoczno\u015bci.<\/p>\n<\/li>\n Brak DPIA mimo bardzo szerokiego zakresu przetwarzania.<\/p>\n<\/li>\n Pocz\u0105tkowo firma nie zg\u0142osi\u0142a incydentu do organu nadzorczego, zani\u017caj\u0105c jego skal\u0119.<\/p>\n<\/li>\n<\/ul>\n Wdr\u00f3\u017c MFA (uwierzytelnianie wielosk\u0142adnikowe)<\/strong> \u2014 szczeg\u00f3lnie dla partner\u00f3w zewn\u0119trznych maj\u0105cych dost\u0119p do Twoich system\u00f3w.<\/p>\n<\/li>\n Segmentuj dane<\/strong> \u2014 nie przechowuj wszystkiego w jednym zbiorze bez ogranicze\u0144 dost\u0119pu.<\/p>\n<\/li>\n W\u0142\u0105cz logi dost\u0119pu<\/strong> \u2014 musisz wiedzie\u0107, kto, kiedy i do jakich danych mia\u0142 dost\u0119p.<\/p>\n<\/li>\n Zg\u0142aszaj incydenty rzetelnie<\/strong> \u2014 zani\u017canie skali naruszenia pogarsza Twoj\u0105 sytuacj\u0119, nie poprawia jej.<\/p>\n<\/li>\n Przeprowad\u017a DPIA<\/strong>, je\u015bli przetwarzasz dane w szerokim zakresie \u2014 to obowi\u0105zek, nie rekomendacja.<\/p>\n<\/li>\n<\/ul>\n Regulator:<\/strong> Garante (W\u0142ochy) Kwota kary:<\/strong> 420 tys. EUR<\/p>\n Sp\u00f3\u0142ka zarz\u0105dzaj\u0105ca w\u0142oskimi autostradami wykorzysta\u0142a materia\u0142y z prywatnego konta pracownicy na Facebooku oraz jej rozmowy z Messengera i WhatsAppa jako dowody w post\u0119powaniu dyscyplinarnym. Informacje te \u2014 w tym prywatna korespondencja i komentarze \u2014 mia\u0142y potwierdza\u0107 naruszenie obowi\u0105zk\u00f3w pracowniczych.<\/p>\n Naruszenie zasady legalno\u015bci \u2014 brak podstawy prawnej do wykorzystania prywatnych danych pracownika w takim celu.<\/p>\n<\/li>\n Naruszenie zasady ograniczenia celu \u2014 dane zosta\u0142y u\u017cyte w zupe\u0142nie innym kontek\u015bcie ni\u017c ten, w kt\u00f3rym powsta\u0142y.<\/p>\n<\/li>\n Naruszenie zasady minimalizacji danych.<\/p>\n<\/li>\n Publiczna dost\u0119pno\u015b\u0107 informacji w sieci nie oznacza prawa do swobodnego ich wykorzystania.<\/p>\n<\/li>\n<\/ul>\n Widoczno\u015b\u0107 nie r\u00f3wna si\u0119 przyzwoleniu.<\/strong> To, \u017ce co\u015b jest publiczne w mediach spo\u0142eczno\u015bciowych, nie znaczy, \u017ce mo\u017cesz tego u\u017cy\u0107 w post\u0119powaniu dyscyplinarnym.<\/p>\n<\/li>\n Nie prowad\u017a \u201eresearchu\" na profilach pracownik\u00f3w<\/strong> bez wyra\u017anej podstawy prawnej.<\/p>\n<\/li>\n Granice mi\u0119dzy \u017cyciem prywatnym a zawodowym obowi\u0105zuj\u0105<\/strong> \u2014 i s\u0105 chronione przepisami RODO.<\/p>\n<\/li>\n Je\u015bli planujesz wykorzystanie danych z medi\u00f3w spo\u0142eczno\u015bciowych w relacji z pracownikiem \u2014 skonsultuj to wcze\u015bniej z prawnikiem.<\/p>\n<\/li>\n<\/ul>\n Regulator:<\/strong> Garante (W\u0142ochy) Kwota kary:<\/strong> 4 tys. EUR + nakaz wy\u0142\u0105czenia systemu<\/p>\n Szko\u0142a \u015brednia z Tropei wdro\u017cy\u0142a system rejestracji obecno\u015bci pracownik\u00f3w oparty na skanowaniu linii papilarnych.\u00a0Szko\u0142a argumentowa\u0142a, \u017ce udzia\u0142 by\u0142 dobrowolny i mia\u0142 zwi\u0119kszy\u0107 bezpiecze\u0144stwo.<\/p>\n We w\u0142oskim sektorze publicznym nie ma przepis\u00f3w dopuszczaj\u0105cych biometri\u0119 do rejestracji obecno\u015bci (wcze\u015bniejsze uchylono w 2020 roku).<\/p>\n<\/li>\n Zgoda pracownika w relacji z pracodawc\u0105 nie mo\u017ce by\u0107 uznana za w pe\u0142ni dobrowoln\u0105 \u2014 ze wzgl\u0119du na nier\u00f3wnowag\u0119 stron. To oznacza, \u017ce nawet je\u015bli pracownik \u201esi\u0119 zgodzi\u0142\", w \u015bwietle RODO ta zgoda nie mia\u0142a mocy.<\/p>\n<\/li>\n Naruszenie art. 6 RODO (legalno\u015b\u0107 przetwarzania) i art. 9 RODO (przetwarzanie danych biometrycznych bez spe\u0142nienia wyj\u0105tku).<\/p>\n<\/li>\n<\/ul>\n Zgoda pracownika to s\u0142aba podstawa prawna<\/strong> \u2014 relacja pracodawca\u2013pracownik zak\u0142ada nier\u00f3wnowag\u0119, wi\u0119c zgoda rzadko b\u0119dzie uznana za dobrowoln\u0105.<\/p>\n<\/li>\n Przed wdro\u017ceniem biometrii w miejscu pracy sprawd\u017a krajowe przepisy<\/strong> \u2014 w wielu jurysdykcjach (w tym w Polsce) regulacje s\u0105 restrykcyjne.<\/p>\n<\/li>\n Wygoda nie zast\u0105pi analizy prawnej<\/strong> \u2014 nawet \u201eniewinny\" czytnik odcisk\u00f3w palc\u00f3w mo\u017ce sko\u0144czy\u0107 si\u0119 kontrol\u0105 i mandatem.<\/p>\n<\/li>\n<\/ul>\n Regulator:<\/strong> IMY (Szwecja) Kwota kary:<\/strong> 100 000 SEK (ok. 9 tys. EUR)<\/p>\n Szwedzki rzecznik ds. r\u00f3wno\u015bci udost\u0119pnia\u0142 na swojej stronie formularz do anonimowego zg\u0142aszania przypadk\u00f3w dyskryminacji. Przez b\u0142\u0105d konfiguracyjny cz\u0119\u015b\u0107 danych z formularza \u2014 w tym potencjalnie informacje o pochodzeniu etnicznym, zdrowiu czy wyznaniu \u2014 trafia\u0142a do zewn\u0119trznego narz\u0119dzia analitycznego monitoruj\u0105cego ruch na stronie.<\/p>\n Incydent trwa\u0142 prawie rok.<\/p>\n<\/li>\n Dotyczy\u0142 oko\u0142o 500 zg\u0142osze\u0144.<\/p>\n<\/li>\n Dane wra\u017cliwe by\u0142y przekazywane podmiotowi trzeciemu bez wiedzy u\u017cytkownik\u00f3w.<\/p>\n<\/li>\n<\/ul>\n Sprawd\u017a, jakie dane zbieraj\u0105 Twoje narz\u0119dzia analityczne.<\/strong> Konfiguracja Google Analytics, Hotjar czy podobnych narz\u0119dzi mo\u017ce nieintencjonalnie przechwytywa\u0107 dane z formularzy.<\/p>\n<\/li>\n Oddziel dane osobowe od system\u00f3w analitycznych<\/strong> \u2014 to wym\u00f3g art. 32 RODO.<\/p>\n<\/li>\n Testuj formularze pod k\u0105tem prywatno\u015bci<\/strong> \u2014 nie tylko pod k\u0105tem UX.<\/p>\n<\/li>\n Dobre intencje nie zwalniaj\u0105 z odpowiedzialno\u015bci.<\/strong> Jako administrator danych odpowiadasz za ca\u0142o\u015b\u0107 konfiguracji i nadzoru.<\/p>\n<\/li>\n<\/ul>\n Regulator:<\/strong> Tietosuojavaltuutetun toimisto (Finlandia) Kwota kary:<\/strong> 950 tys. EUR<\/p>\n Internetowy po\u015brednik kredytowy Sambla Group mia\u0142 b\u0142\u0105d programistyczny w aplikacji webowej. Wystarczy\u0142o zmieni\u0107 identyfikator w adresie URL przegl\u0105darki, by bez autoryzacji zobaczy\u0107 cudze wnioski kredytowe \u2014 w tym dane o dochodach, wydatkach, stanie cywilnym i rachunkach bankowych.<\/p>\n Brak mechanizm\u00f3w kontroli dost\u0119pu.<\/p>\n<\/li>\n Brak prawid\u0142owego uwierzytelniania u\u017cytkownik\u00f3w.<\/p>\n<\/li>\n Naruszenie poufno\u015bci, integralno\u015bci i kontroli dost\u0119pu \u2014 fundament\u00f3w ochrony danych.<\/p>\n<\/li>\n<\/ul>\n Przetestuj kontrol\u0119 dost\u0119pu w swoich aplikacjach<\/strong> \u2014 szczeg\u00f3lnie pod k\u0105tem IDOR (Insecure Direct Object Reference), czyli mo\u017cliwo\u015bci podmiany identyfikator\u00f3w w URL.<\/p>\n<\/li>\n Nie polegaj wy\u0142\u0105cznie na zespole deweloperskim<\/strong> \u2014 zlecaj regularne testy bezpiecze\u0144stwa (pentesty).<\/p>\n<\/li>\n Nie trzeba wielkiego cyberataku, by dane wyciek\u0142y<\/strong> \u2014 czasem wystarczy niefrasobliwo\u015b\u0107 w architekturze systemu.<\/p>\n<\/li>\n Szybka reakcja nie chroni przed kar\u0105<\/strong> \u2014 Sambla naprawi\u0142a luk\u0119 i zg\u0142osi\u0142a incydent, ale organ i tak na\u0142o\u017cy\u0142 grzywn\u0119 za ra\u017c\u0105ce braki w zabezpieczeniach.<\/p>\n<\/li>\n<\/ul>\n Przegl\u0105d kar RODO z pierwszego p\u00f3\u0142rocza 2025 roku pokazuje wyra\u017any wzorzec. Niezale\u017cnie od bran\u017cy, wielko\u015bci organizacji czy kraju \u2014 naruszenia maj\u0105 wsp\u00f3lne \u017ar\u00f3d\u0142a:<\/p>\n Brak oceny skutk\u00f3w (DPIA)<\/strong> przed wdro\u017ceniem nowych rozwi\u0105za\u0144 \u2014 szczeg\u00f3lnie biometrii, analityki i transfer\u00f3w danych.<\/p>\n<\/li>\n Niedostateczne zabezpieczenia techniczne<\/strong> \u2014 brak MFA, luki w uwierzytelnianiu, brak log\u00f3w, b\u0142\u0119dy konfiguracyjne.<\/p>\n<\/li>\n Brak nadzoru nad partnerami zewn\u0119trznymi<\/strong> \u2014 odpowiedzialno\u015b\u0107 za dane nie ko\u0144czy si\u0119 na Twoich systemach.<\/p>\n<\/li>\n Lekcewa\u017cenie zasady proporcjonalno\u015bci<\/strong> \u2014 je\u015bli istnieje mniej inwazyjny spos\u00f3b, regulator oczekuje, \u017ce go wybierzesz.<\/p>\n<\/li>\n Brak transparentno\u015bci wobec u\u017cytkownik\u00f3w<\/strong> \u2014 niepe\u0142na lub myl\u0105ca informacja o przetwarzaniu danych to osobne naruszenie.<\/p>\n<\/li>\n<\/ol>\n Zweryfikuj, czy masz przeprowadzone DPIA<\/a> dla kluczowych proces\u00f3w przetwarzania danych.<\/p>\n<\/li>\n Sprawd\u017a zabezpieczenia techniczne \u2014 MFA, kontrola dost\u0119pu, logi, segmentacja danych.<\/p>\n<\/li>\n Przejrzyj umowy z podmiotami przetwarzaj\u0105cymi dane \u2014 czy masz wdro\u017cone mechanizmy kontroli.<\/p>\n<\/li>\n Przetestuj formularze i aplikacje webowe pod k\u0105tem wyciek\u00f3w danych do narz\u0119dzi analitycznych.<\/p>\n<\/li>\n Zaktualizuj polityk\u0119 prywatno\u015bci<\/a> \u2014 szczeg\u00f3lnie w zakresie transfer\u00f3w danych poza EOG.<\/p>\n<\/li>\n Upewnij si\u0119, \u017ce Tw\u00f3j zesp\u00f3\u0142 wie, jak reagowa\u0107 na incydent i jak rzetelnie zg\u0142osi\u0107 go do organu nadzorczego<\/a>.<\/p>\n<\/li>\n<\/ul>\n
\n1. Poczta Polska \u2014 27 mln z\u0142 (dane obywateli w \u201ewyborach kopertowych\")<\/h2>\n
Jakie naruszenie stwierdzi\u0142 organ<\/h3>\n
\n
Co to oznacza dla Twojej firmy<\/h3>\n
\n
\n2. Orange (Francja) \u2014 50 mln EUR (reklamy w skrzynce mailowej bez zgody)<\/h2>\n
Co si\u0119 sta\u0142o<\/h3>\n
Jakie naruszenia stwierdzi\u0142 organ<\/h3>\n
\n
Co to oznacza dla Twojej firmy<\/h3>\n
\n
\n3. TikTok (Irlandia) \u2014 530 mln EUR (transfer danych u\u017cytkownik\u00f3w do Chin)<\/h2>\n
\nJakie naruszenia stwierdzi\u0142 organ<\/h3>\n
\n
Co to oznacza dla Twojej firmy<\/h3>\n
\n
\n4. Vodafone (Niemcy) \u2014 45 mln EUR (luki bezpiecze\u0144stwa i brak nadzoru nad partnerami)<\/h2>\n
Co si\u0119 sta\u0142o<\/h3>\n
Brak nadzoru nad partnerami sprzeda\u017cowymi \u2014 15 mln EUR<\/h3>\n
\n
Luki w zabezpieczeniach technicznych \u2014 30 mln EUR<\/h3>\n
\n
Co to oznacza dla Twojej firmy<\/h3>\n
\n
\n5. LaLiga (Hiszpania) \u2014 1 mln EUR (biometria na stadionach bez DPIA)<\/h2>\n
Co si\u0119 sta\u0142o<\/h3>\n
Jakie naruszenia stwierdzi\u0142 organ<\/h3>\n
\n
Co to oznacza dla Twojej firmy<\/h3>\n
\n
\n
\n6. Generali Espa\u00f1a \u2014 4 mln EUR (wyciek danych klient\u00f3w i brak DPIA)<\/h2>\n
Jakie naruszenia stwierdzi\u0142 organ<\/h3>\n
\n
Co to oznacza dla Twojej firmy<\/h3>\n
\n
\n7. Autostrade per l'Italia \u2014 420 tys. EUR (Facebook jako narz\u0119dzie dyscyplinarne)<\/h2>\n
Jakie naruszenia stwierdzi\u0142 organ<\/h3>\n
\n
Co to oznacza dla Twojej firmy<\/h3>\n
\n
\n8. Istituto \u201eP. Galluppi\" (W\u0142ochy) \u2014 4 tys. EUR (odciski palc\u00f3w nauczycieli)<\/h2>\n
Co si\u0119 sta\u0142o<\/h3>\n
Dlaczego organ uzna\u0142 to za nielegalne<\/h3>\n
\n
Co to oznacza dla Twojej firmy<\/h3>\n
\n
\n9. Diskrimineringsombudsmannen (Szwecja) \u2014 9 tys. EUR (wyciek danych z formularza zg\u0142osze\u0144)<\/h2>\n
Co si\u0119 sta\u0142o<\/h3>\n
Skala problemu<\/h3>\n
\n
Co to oznacza dla Twojej firmy<\/h3>\n
\n
\n10. Sambla Group (Finlandia) \u2014 950 tys. EUR (wnioski kredytowe dost\u0119pne przez URL)<\/h2>\n
Co si\u0119 sta\u0142o<\/h3>\n
Jakie naruszenia stwierdzi\u0142 organ<\/h3>\n
\n
Co to oznacza dla Twojej firmy<\/h3>\n
\n
\nPodsumowanie \u2014 co \u0142\u0105czy te wszystkie sprawy<\/h2>\n
\n
Twoja checklista na drugie p\u00f3\u0142rocze 2025<\/h3>\n
\n