Pierwsze półrocze 2025 roku przyniosło falę kar RODO w całej Europie. Od rekordowych 530 mln EUR dla TikToka po 4 tys. EUR dla włoskiej szkoły — regulatorzy udowodnili, że przepisy działają niezależnie od skali organizacji. Poniżej znajdziesz przegląd najważniejszych decyzji, ich przyczyny i konkretne wnioski dla Twojego biznesu.
RODO nie zna wyjątków — kary dotknęły gigantów technologicznych, instytucje publiczne, ubezpieczycieli, a nawet szkoły.
Brak DPIA (oceny skutków) to powtarzający się błąd — pojawia się w sprawach LaLigi, Generali i nie tylko.
Niedostateczne zabezpieczenia techniczne kosztują najwięcej — luki w uwierzytelnianiu, brak kontroli dostępu i błędy konfiguracyjne odpowiadają za najwyższe kary.
Nadzór nad partnerami zewnętrznymi to Twoja odpowiedzialność — nie możesz przerzucić jej na podwykonawcę.
Dobre intencje nie zastępują zgodności z przepisami — nawet jeśli cel wydaje się słuszny (bezpieczeństwo na stadionach, rejestracja obecności), środki muszą być proporcjonalne i legalne.
Regulator: UODO (Polska) Kwota kary: 27 mln zł (Poczta Polska) + 100 zł (Minister Cyfryzacji)
Poczta Polska, działając na polecenie rządu, pozyskała dane ok. 30 milionów obywateli z rejestru PESEL w 2020 roku — imiona, nazwiska, adresy, numery PESEL. Problem: ustawa regulująca głosowanie korespondencyjne jeszcze nie obowiązywała. Brakowało podstawy prawnej.
Przetwarzanie danych bez podstawy prawnej — naruszenie zasady legalności.
Realne zagrożenie dla prawa do prywatności obywateli na masową skalę.
Nawet polecenie ze strony instytucji publicznej nie zwalnia z obowiązku weryfikacji podstawy prawnej przetwarzania danych.
Jeśli działasz w sektorze publicznym lub realizujesz zlecenia dla administracji — zawsze sprawdź, czy istnieje obowiązujący przepis pozwalający na przetwarzanie danych, zanim je pobierzesz.
Konsekwencje są nie tylko finansowe, ale i reputacyjne — nawet po czterech latach organ doprowadził sprawę do końca.
Regulator: CNIL (Francja) Kwota kary: 50 mln EUR + nakaz zaprzestania pod rygorem 100 tys. EUR dziennie
Orange wyświetlał reklamy w skrzynkach pocztowych użytkowników Mail Orange. Reklamy wyglądały niemal identycznie jak zwykłe wiadomości e-mail — bez oznaczeń, bez ostrzeżeń. Użytkownicy nie wyrażali na to zgody.
Brak zgody użytkowników na działania marketingowe.
Odczytywanie plików cookie nawet po wycofaniu zgody — niezgodne z francuskim prawem.
Brak oznaczenia treści reklamowych.
Jeśli wysyłasz komunikaty marketingowe — niezależnie od formy — potrzebujesz wyraźnej zgody odbiorcy.
„Sprytne" formaty reklamowe (np. reklamy udające maile) nie omijają obowiązku uzyskania zgody.
Wycofanie zgody przez użytkownika musi być skuteczne natychmiast — dotyczy to również plików cookie.
Regulator: DPC (Irlandia) Kwota kary: 530 mln EUR + 6-miesięczny termin na dostosowanie lub zawieszenie transferów
TikTok przekazywał dane osobowe europejskich użytkowników do spółki-matki i innych podmiotów w Chinach. Transfer odbywał się bez wymaganych przez RODO zabezpieczeń — brakowało mechanizmów gwarantujących poziom ochrony porównywalny z unijnym.
Transfer danych do kraju trzeciego bez odpowiednich zabezpieczeń.
Nieprawidłowe informowanie użytkowników o tym, dokąd trafiają ich dane i co się z nimi dzieje.
Jeśli korzystasz z narzędzi lub usług, które przesyłają dane poza EOG — zweryfikuj, czy masz wdrożone wymagane mechanizmy (np. standardowe klauzule umowne, ocena adekwatności).
Transparentność wobec użytkowników to nie opcja — musisz jasno komunikować, gdzie przetwarzasz ich dane.
Transfer danych do Chin, USA lub innych krajów trzecich wymaga dodatkowej analizy ryzyka i dokumentacji.
Regulator: BfDI (Niemcy) Kwota kary: 45 mln EUR (15 mln + 30 mln)
Vodafone GmbH dopuścił się uchybień w dwóch kluczowych obszarach:
Zewnętrzni agenci sprzedaży tworzyli fikcyjne umowy lub modyfikowali istniejące kontrakty bez zgody klientów.
Vodafone nie wdrożył wystarczających mechanizmów kontroli nad podmiotami przetwarzającymi dane.
Błędy w uwierzytelnianiu między portalem „MeinVodafone" a infolinią.
Nieautoryzowany dostęp do danych klientów, w tym do kart eSIM.
Odpowiedzialność za dane nie kończy się na Twoich systemach — obejmuje też partnerów zewnętrznych i podwykonawców.
Sprawdź, czy masz wdrożone mechanizmy weryfikacji i kontroli nad podmiotami przetwarzającymi dane w Twoim imieniu.
Przetestuj procesy uwierzytelniania — szczególnie na styku różnych kanałów obsługi (portal, infolinia, aplikacja).
Jak ujęła to niemiecka inspektorka, prof. Specht-Riemenschneider: „Investieren statt riskieren" — lepiej zainwestować w bezpieczeństwo niż w grzywny.
1 mln EUR + zakaz stosowania technologii
LaLiga wdrożyła systemy rozpoznawania twarzy i skanowania odcisków palców w „sektorach ultras" na stadionach. Cel: identyfikacja osób z zakazem stadionowym. Problem: brak proporcjonalności i brak wymaganej oceny skutków.
Przetwarzanie danych biometrycznych dziesiątek tysięcy kibiców — nieproporcjonalne do celu.
Brak przeprowadzenia DPIA (oceny skutków dla ochrony danych — wymaganej przez art. 35 RODO) przed wdrożeniem systemu.
Podobny efekt można było osiągnąć prostszymi środkami (imienne bilety, kontrola dokumentów).
Przed wdrożeniem biometrii — zawsze przeprowadź DPIA. Brak oceny skutków to osobne naruszenie, niezależne od wyniku analizy.
Sprawdź proporcjonalność. Jeśli istnieje mniej inwazyjny sposób osiągnięcia tego samego celu — wybierz go.
Pamiętaj o AI Act. Unijne rozporządzenie o sztucznej inteligencji wprowadza dodatkowe ograniczenia dla systemów zdalnej identyfikacji biometrycznej — zwłaszcza stosowanych w czasie rzeczywistym wobec szerokiego kręgu osób.
Wcześniej podobny system kosztował klub Osasuna 200 tys. EUR. Atlético Madryt całkowicie wycofało się z pomysłu po analizie ryzyk.
Regulator: AEPD (Hiszpania) Kwota kary: 4 mln EUR (pierwotnie 5 mln, obniżona o 20% za szybką wpłatę)
W październiku 2022 roku cyberprzestępca uzyskał dostęp do systemu obsługi klientów Generali, wykorzystując dane logowania jednego z brokerów. Wyciekły dane ponad 25 tysięcy klientów — numery PESEL/NIF, adresy, daty urodzenia, informacje o stanie cywilnym, kontach bankowych i numery telefonów. Część danych trafiła na Telegrama.
Brak uwierzytelniania dwuskładnikowego dla brokerów.
Brak logów dostępu w systemie.
Dane klientów obecnych i byłych przechowywane w jednym zbiorze, bez ograniczeń widoczności.
Brak DPIA mimo bardzo szerokiego zakresu przetwarzania.
Początkowo firma nie zgłosiła incydentu do organu nadzorczego, zaniżając jego skalę.
Wdróż MFA (uwierzytelnianie wieloskładnikowe) — szczególnie dla partnerów zewnętrznych mających dostęp do Twoich systemów.
Segmentuj dane — nie przechowuj wszystkiego w jednym zbiorze bez ograniczeń dostępu.
Włącz logi dostępu — musisz wiedzieć, kto, kiedy i do jakich danych miał dostęp.
Zgłaszaj incydenty rzetelnie — zaniżanie skali naruszenia pogarsza Twoją sytuację, nie poprawia jej.
Przeprowadź DPIA, jeśli przetwarzasz dane w szerokim zakresie — to obowiązek, nie rekomendacja.
Regulator: Garante (Włochy) Kwota kary: 420 tys. EUR
Spółka zarządzająca włoskimi autostradami wykorzystała materiały z prywatnego konta pracownicy na Facebooku oraz jej rozmowy z Messengera i WhatsAppa jako dowody w postępowaniu dyscyplinarnym. Informacje te — w tym prywatna korespondencja i komentarze — miały potwierdzać naruszenie obowiązków pracowniczych.
Naruszenie zasady legalności — brak podstawy prawnej do wykorzystania prywatnych danych pracownika w takim celu.
Naruszenie zasady ograniczenia celu — dane zostały użyte w zupełnie innym kontekście niż ten, w którym powstały.
Naruszenie zasady minimalizacji danych.
Publiczna dostępność informacji w sieci nie oznacza prawa do swobodnego ich wykorzystania.
Widoczność nie równa się przyzwoleniu. To, że coś jest publiczne w mediach społecznościowych, nie znaczy, że możesz tego użyć w postępowaniu dyscyplinarnym.
Nie prowadź „researchu" na profilach pracowników bez wyraźnej podstawy prawnej.
Granice między życiem prywatnym a zawodowym obowiązują — i są chronione przepisami RODO.
Jeśli planujesz wykorzystanie danych z mediów społecznościowych w relacji z pracownikiem — skonsultuj to wcześniej z prawnikiem.
Regulator: Garante (Włochy) Kwota kary: 4 tys. EUR + nakaz wyłączenia systemu
Szkoła średnia z Tropei wdrożyła system rejestracji obecności pracowników oparty na skanowaniu linii papilarnych. Szkoła argumentowała, że udział był dobrowolny i miał zwiększyć bezpieczeństwo.
We włoskim sektorze publicznym nie ma przepisów dopuszczających biometrię do rejestracji obecności (wcześniejsze uchylono w 2020 roku).
Zgoda pracownika w relacji z pracodawcą nie może być uznana za w pełni dobrowolną — ze względu na nierównowagę stron. To oznacza, że nawet jeśli pracownik „się zgodził", w świetle RODO ta zgoda nie miała mocy.
Naruszenie art. 6 RODO (legalność przetwarzania) i art. 9 RODO (przetwarzanie danych biometrycznych bez spełnienia wyjątku).
Zgoda pracownika to słaba podstawa prawna — relacja pracodawca–pracownik zakłada nierównowagę, więc zgoda rzadko będzie uznana za dobrowolną.
Przed wdrożeniem biometrii w miejscu pracy sprawdź krajowe przepisy — w wielu jurysdykcjach (w tym w Polsce) regulacje są restrykcyjne.
Wygoda nie zastąpi analizy prawnej — nawet „niewinny" czytnik odcisków palców może skończyć się kontrolą i mandatem.
Regulator: IMY (Szwecja) Kwota kary: 100 000 SEK (ok. 9 tys. EUR)
Szwedzki rzecznik ds. równości udostępniał na swojej stronie formularz do anonimowego zgłaszania przypadków dyskryminacji. Przez błąd konfiguracyjny część danych z formularza — w tym potencjalnie informacje o pochodzeniu etnicznym, zdrowiu czy wyznaniu — trafiała do zewnętrznego narzędzia analitycznego monitorującego ruch na stronie.
Incydent trwał prawie rok.
Dotyczył około 500 zgłoszeń.
Dane wrażliwe były przekazywane podmiotowi trzeciemu bez wiedzy użytkowników.
Sprawdź, jakie dane zbierają Twoje narzędzia analityczne. Konfiguracja Google Analytics, Hotjar czy podobnych narzędzi może nieintencjonalnie przechwytywać dane z formularzy.
Oddziel dane osobowe od systemów analitycznych — to wymóg art. 32 RODO.
Testuj formularze pod kątem prywatności — nie tylko pod kątem UX.
Dobre intencje nie zwalniają z odpowiedzialności. Jako administrator danych odpowiadasz za całość konfiguracji i nadzoru.
Regulator: Tietosuojavaltuutetun toimisto (Finlandia) Kwota kary: 950 tys. EUR
Internetowy pośrednik kredytowy Sambla Group miał błąd programistyczny w aplikacji webowej. Wystarczyło zmienić identyfikator w adresie URL przeglądarki, by bez autoryzacji zobaczyć cudze wnioski kredytowe — w tym dane o dochodach, wydatkach, stanie cywilnym i rachunkach bankowych.
Brak mechanizmów kontroli dostępu.
Brak prawidłowego uwierzytelniania użytkowników.
Naruszenie poufności, integralności i kontroli dostępu — fundamentów ochrony danych.
Przetestuj kontrolę dostępu w swoich aplikacjach — szczególnie pod kątem IDOR (Insecure Direct Object Reference), czyli możliwości podmiany identyfikatorów w URL.
Nie polegaj wyłącznie na zespole deweloperskim — zlecaj regularne testy bezpieczeństwa (pentesty).
Nie trzeba wielkiego cyberataku, by dane wyciekły — czasem wystarczy niefrasobliwość w architekturze systemu.
Szybka reakcja nie chroni przed karą — Sambla naprawiła lukę i zgłosiła incydent, ale organ i tak nałożył grzywnę za rażące braki w zabezpieczeniach.
Przegląd kar RODO z pierwszego półrocza 2025 roku pokazuje wyraźny wzorzec. Niezależnie od branży, wielkości organizacji czy kraju — naruszenia mają wspólne źródła:
Brak oceny skutków (DPIA) przed wdrożeniem nowych rozwiązań — szczególnie biometrii, analityki i transferów danych.
Niedostateczne zabezpieczenia techniczne — brak MFA, luki w uwierzytelnianiu, brak logów, błędy konfiguracyjne.
Brak nadzoru nad partnerami zewnętrznymi — odpowiedzialność za dane nie kończy się na Twoich systemach.
Lekceważenie zasady proporcjonalności — jeśli istnieje mniej inwazyjny sposób, regulator oczekuje, że go wybierzesz.
Brak transparentności wobec użytkowników — niepełna lub myląca informacja o przetwarzaniu danych to osobne naruszenie.
Zweryfikuj, czy masz przeprowadzone DPIA dla kluczowych procesów przetwarzania danych.
Sprawdź zabezpieczenia techniczne — MFA, kontrola dostępu, logi, segmentacja danych.
Przejrzyj umowy z podmiotami przetwarzającymi dane — czy masz wdrożone mechanizmy kontroli.
Przetestuj formularze i aplikacje webowe pod kątem wycieków danych do narzędzi analitycznych.
Zaktualizuj politykę prywatności — szczególnie w zakresie transferów danych poza EOG.
Upewnij się, że Twój zespół wie, jak reagować na incydent i jak rzetelnie zgłosić go do organu nadzorczego.
RODO to nie tylko obowiązek. To odpowiedzialność — a jej brak kosztuje. Nie tylko finansowo.
Przegląd obejmuje decyzje wydane do lipca 2025 r.*
Kiedy moja firma musi zrobić DPIA (ocenę skutków dla ochrony danych) i co grozi za jej brak? DPIA jest wymagana przed wdrożeniem rozwiązań opartych na biometrii, analityce, transferach danych poza EOG oraz wszędzie tam, gdzie przetwarzasz dane w szerokim zakresie — to obowiązek wynikający z art. 35 RODO, nie rekomendacja. Brak DPIA to osobne naruszenie, niezależne od wyniku samej analizy — LaLiga zapłaciła za to 1 mln EUR, a Generali España 4 mln EUR. Sprawdź, czy masz przeprowadzone DPIA dla każdego kluczowego procesu przetwarzania danych w Twojej firmie, zanim regulator zrobi to za Ciebie.
Jakie najczęstsze braki w zabezpieczeniach technicznych prowadzą do najwyższych kar RODO i co warto wdrożyć w pierwszej kolejności? Najwyższe kary wynikają z braku uwierzytelniania wieloskładnikowego (MFA), luk w kontroli dostępu, braku logów dostępu oraz błędów konfiguracyjnych — Vodafone zapłacił 30 mln EUR za luki w uwierzytelnianiu, a Sambla Group 950 tys. EUR za brak kontroli dostępu w aplikacji webowej. W pierwszej kolejności wdróż MFA dla wszystkich użytkowników (szczególnie partnerów zewnętrznych), włącz logi dostępu, segmentuj dane i zlecaj regularne testy bezpieczeństwa (pentesty) — nie polegaj wyłącznie na zespole deweloperskim.
Co muszę sprawdzić, jeśli moje narzędzia lub dostawcy transferują dane osobowe poza EOG (np. do USA albo Chin)? Zweryfikuj, czy masz wdrożone wymagane mechanizmy zabezpieczające transfer, takie jak standardowe klauzule umowne i ocena adekwatności — TikTok zapłacił 530 mln EUR za przesyłanie danych do Chin bez takich zabezpieczeń. Transfer danych do USA, Chin lub innych krajów trzecich wymaga dodatkowej analizy ryzyka, dokumentacji oraz jasnego komunikowania użytkownikom, gdzie ich dane są przetwarzane. Zaktualizuj politykę prywatności w zakresie transferów i sprawdź konfigurację narzędzi analitycznych, które mogą nieintencjonalnie przekazywać dane podmiotom trzecim poza EOG.
Czy mogę wyświetlać reklamy lub używać cookies po cofnięciu zgody użytkownika i jakie są typowe błędy, za które karzą regulatorzy? Nie — wycofanie zgody przez użytkownika musi być skuteczne natychmiast, zarówno w zakresie komunikatów marketingowych, jak i plików cookie. Orange zapłacił 50 mln EUR m.in. za odczytywanie cookies po wycofaniu zgody oraz wyświetlanie reklam udających zwykłe wiadomości e-mail bez oznaczenia i bez zgody użytkowników. Typowe błędy to brak wyraźnej zgody na działania marketingowe, stosowanie „sprytnych" formatów reklamowych omijających obowiązek informacyjny oraz ignorowanie cofnięcia zgody w systemach technicznych.
Czy pracodawca może wykorzystywać dane z Facebooka pracownika albo wdrożyć czytnik odcisków palców do ewidencji czasu pracy? Wykorzystanie danych z prywatnych profili pracowników w mediach społecznościowych nie ma podstawy prawnej — Autostrade per l'Italia zapłaciło 420 tys. EUR za użycie postów i wiadomości z Facebooka pracownicy w postępowaniu dyscyplinarnym, bo publiczna widoczność informacji nie oznacza prawa do swobodnego ich wykorzystania. Wdrożenie czytnika odcisków palców do rejestracji obecności jest w wielu jurysdykcjach nielegalne, a zgoda pracownika to słaba podstawa prawna, ponieważ relacja pracodawca–pracownik zakłada nierównowagę stron — włoska szkoła zapłaciła karę i musiała wyłączyć system. Przed wdrożeniem biometrii w miejscu pracy sprawdź krajowe przepisy i przeprowadź DPIA.
