Najważniejsze wnioski
- 25 maja 2026 r. minie 8 lat od wejścia w życie rozporządzenia RODO w Polsce i całej Unii Europejskiej – regulacja obowiązuje od 25 maja 2018 r.
- W 2025 roku UODO nałożył 32 kary o łącznej wartości 64,4 mln zł, co stanowi niemal pięciokrotny wzrost w stosunku do 13,9 mln zł w 2024 roku
- Liczba skarg obywateli wzrosła z 8056 w 2024 r. do 12 986 w 2025 r. (wzrost o około 61%), a zgłoszeń naruszeń ochrony danych z 14 842 do 22 435 (wzrost o około 51%)
- Poczta Polska S.A. otrzymała rekordową karę ponad 27 mln zł za bezpodstawne przetwarzanie danych osobowych obywateli przy organizacji wyborów korespondencyjnych w 2020 roku
- ING Bank Śląski S.A. ukarany kwotą 18,4 mln zł za nieuzasadnione skanowanie dokumentów tożsamości klientów
- W 2024 r. Polska zajęła 3. miejsce spośród 31 europejskich państw pod względem zgłoszonych naruszeń RODO według danych EROD
Osiem lat RODO w praktyce polskich przedsiębiorstw
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r., powszechnie znane jako RODO lub GDPR, wprowadziło jednolite standardy ochrony danych osobowych w całej Unii Europejskiej. Przepisy te obowiązują od 25 maja 2018 r., co oznacza, że 25 maja 2026 r. minie równo 8 lat ich stosowania w praktyce gospodarczej. Rozporządzenie zastąpiło wcześniejsze krajowe regulacje, wprowadzając spójny system kar, obowiązków administratorów danych oraz praw osób, których dane dotyczą.
RODO nałożyło na przedsiębiorstwa szereg wymogów technicznych i organizacyjnych, m.in. obowiązek prowadzenia rejestru czynności przetwarzania, wdrożenia odpowiednich zabezpieczeń, zgłaszania naruszeń oraz wyznaczania inspektorów ochrony danych w określonych przypadkach. Administrator danych to podmiot (firma, instytucja, organizacja), który decyduje o celach i sposobach przetwarzania danych osobowych. To na nim spoczywa odpowiedzialność za zgodność działań z przepisami oraz za ewentualne naruszenia. W ciągu minionych lat polskie organy nadzorcze zgromadziły bogate doświadczenie w egzekwowaniu tych przepisów, co ilustrują rosnące statystyki działalności Urzędu Ochrony Danych Osobowych.
Skargi obywateli – trzykrotny wzrost w ciągu trzech lat
Jednym z fundamentalnych praw przyznanych przez RODO jest możliwość składania skarg przez osoby, które uważają, że ich dane są przetwarzane niezgodnie z prawem. W Polsce funkcję organu nadzorczego pełni Urząd Ochrony Danych Osobowych (UODO), kierowany przez Prezesa UODO. Analiza danych z rocznych sprawozdań Prezesa UODO ujawnia dynamiczny wzrost liczby skarg: w 2023 r. wpłynęło 6962 skargi, w 2024 r. już 8056, a w 2025 r. aż 12 986 skarg. Oznacza to wzrost o około 61% rok do roku między 2024 a 2025 rokiem.
Tak znaczący wzrost liczby skarg świadczy o rosnącej świadomości społecznej w zakresie praw związanych z ochroną danych osobowych. Obywatele coraz częściej dostrzegają nieprawidłowości w działaniach administratorów danych i decydują się na formalne zgłoszenie sprawy organowi nadzorczemu. Jednocześnie obserwowany trend może wskazywać na rzeczywiste nasilenie praktyk naruszających przepisy RODO, szczególnie w kontekście cyfryzacji gospodarki i coraz szerszego wykorzystywania danych osobowych w marketingu, sprzedaży oraz świadczeniu usług online. Wzrost liczby skarg stanowi istotne wyzwanie dla UODO, który musi dysponować odpowiednimi zasobami kadrowymi i organizacyjnymi, by skutecznie rozpatrywać wszystkie zgłoszenia.
Zgłoszenia naruszeń ochrony danych – ponad 22 tysiące w 2025 roku
RODO zobowiązuje administratorów danych do zgłaszania organowi nadzorczemu wszelkich naruszeń ochrony danych osobowych, które mogą skutkować ryzykiem naruszenia praw lub wolności osób fizycznych. Naruszenie to może przyjąć różne formy: od przypadkowego wysłania wiadomości e-mail do niewłaściwego adresata, przez utratę niezaszyfrowanego nośnika danych, aż po celowy atak hakerski na systemy informatyczne. Zgodnie z danymi z rocznych sprawozdań UODO, w 2023 r. zgłoszono 14 069 naruszeń, w 2024 r. liczba ta wzrosła do 14 842, a w 2025 r. osiągnęła 22 435 zgłoszeń, co oznacza wzrost o około 51% w stosunku do roku poprzedniego.
Tak dynamiczny przyrost liczby zgłaszanych incydentów może wynikać z kilku czynników. Po pierwsze, administratorzy danych są coraz lepiej przygotowani do identyfikowania naruszeń i mają świadomość obowiązku ich zgłaszania w ciągu 72 godzin od stwierdzenia incydentu. Po drugie, liczba cyberataków i prób nieautoryzowanego dostępu do danych rośnie globalnie, co przekłada się również na polskie realia. Po trzecie, coraz bardziej złożone łańcuchy przetwarzania danych, w które zaangażowanych jest wielu podwykonawców i procesorów, zwiększają liczbę potencjalnych punktów podatności. Fakt, że w 2024 r. Polska zajęła 3. miejsce spośród 31 europejskich państw pod względem zgłoszonych naruszeń RODO według danych EROD, potwierdza wagę tego zjawiska w skali krajowej i europejskiej.
Kary finansowe – od 1 mln do 64,4 mln zł w trzy lata
Kary pieniężne stanowią najbardziej dotkliwy instrument egzekwowania przepisów RODO. Urząd Ochrony Danych Osobowych może nakładać sankcje sięgające nawet 20 mln euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która kwota jest wyższa. Analiza kar nałożonych przez UODO w ostatnich latach pokazuje eskalację zarówno liczby sankcji, jak i ich łącznej wartości. W 2023 r. UODO nałożył 31 kar o łącznej wartości 1 mln zł, w 2024 r. było to 27 kar na kwotę 13,9 mln zł, natomiast w 2025 r. liczba kar wyniosła 32, a ich łączna wartość osiągnęła 64,4 mln zł.
Warto zauważyć dysproporcję w tempie wzrostu poszczególnych wskaźników: liczba skarg między 2024 a 2025 rokiem wzrosła o około 61%, podczas gdy łączna wartość kar zwiększyła się niemal pięciokrotnie (z 13,9 mln zł do 64,4 mln zł, co daje wzrost o około 363%). Ta różnica wskazuje, że organy nadzorcze coraz częściej decydują się na nakładanie kar o znacząco wyższej wartości, proporcjonalnych do skali naruszeń i potencjalnych szkód dla obywateli. Najczęstsze przyczyny kar w latach 2024-2025 to brak odpowiednich zabezpieczeń technicznych oraz przetwarzanie danych bez podstawy prawnej – fundamentalne uchybienia, które podważają istotę całego systemu ochrony danych osobowych.
Rekordowa kara dla Poczty Polskiej – 27 mln zł za wybory kopertowe
Największą pojedynczą karą nałożoną przez UODO w 2025 roku była sankcja wobec Poczty Polskiej S.A. w wysokości ponad 27 mln zł. Kara ta dotyczyła bezpodstawnego przetwarzania danych osobowych obywateli przy organizacji wyborów korespondencyjnych, planowanych w 2020 roku. Sprawa miała swoje źródło w kontrowersyjnym procesie przygotowań do tzw. wyborów kopertowych, które ostatecznie się nie odbyły, ale w trakcie których Poczta Polska przetwarzała dane milionów obywateli bez wystarczającej podstawy prawnej.
Decyzja UODO w tej sprawie ma wymiar nie tylko finansowy, ale przede wszystkim precedensowy. Potwierdza, że nawet działania podejmowane przez podmioty publiczne, w domniemanym interesie państwa, muszą być zgodne z przepisami o ochronie danych osobowych. Brak jasnej i jednoznacznej podstawy prawnej do przetwarzania danych, nawet w kontekście realizacji zadań publicznych, stanowi poważne naruszenie RODO. Wysokość kary odzwierciedla skalę naruszeń – dane milionów osób zostały przetworzone bez ich zgody i bez odpowiedniej podstawy prawnej, co mogło narazić ich na ryzyko nadużyć. Ta sprawa pokazuje również, że organy nadzorcze nie różnicują podmiotów ze względu na ich publiczny czy prywatny charakter – standardy ochrony danych obowiązują wszystkich administratorów.
ING Bank Śląski ukarany 18,4 mln zł za skanowanie dokumentów
Drugą najwyższą karą nałożoną w 2025 roku była sankcja wobec ING Banku Śląskiego S.A. w wysokości 18,4 mln zł za nieuzasadnione skanowanie dokumentów tożsamości klientów. Sprawa ta dotyczyła praktyki banku polegającej na tworzeniu i przechowywaniu cyfrowych kopii dowodów osobistych klientów bez wystarczającego uzasadnienia oraz odpowiednich zabezpieczeń. Dokumenty tożsamości zawierają szczególnie wrażliwe dane osobowe, w tym numer PESEL, wizerunek oraz informacje identyfikacyjne, których nieuprawnione wykorzystanie może prowadzić do poważnych konsekwencji, w tym kradzieży tożsamości.
Kara nałożona na ING Bank Śląski potwierdza zasadę minimalizacji danych, która jest jedną z fundamentalnych reguł RODO. Administratorzy danych powinni zbierać i przetwarzać wyłącznie te dane, które są niezbędne do realizacji określonych celów. Skanowanie pełnych dokumentów tożsamości, gdy wystarczające byłoby zarejestrowanie tylko niezbędnych informacji, narusza tę zasadę. Ponadto, przechowywanie cyfrowych kopii dokumentów wiąże się z dodatkowymi ryzykami dla bezpieczeństwa danych, co wymaga wdrożenia wzmocnionych środków ochrony. Wysokość kary jest adekwatna do skali działalności banku oraz liczby potencjalnie dotkniętych osób, a także ma na celu powstrzymanie innych podmiotów sektora finansowego przed podobnymi praktykami.
Pozostała działalność UODO – kontrole, decyzje i zawiadomienia do prokuratury
Nakładanie kar finansowych to tylko jeden z elementów działalności organu nadzorczego. W 2025 roku UODO wydał łącznie 2076 decyzji, które obejmowały szeroki zakres spraw, od nakazów usunięcia nieprawidłowości, przez odmowy rejestracji administratorów, po rozstrzygnięcia w sprawach skarg obywateli. Urząd przeprowadził także kontrole u 56 podmiotów, weryfikując zgodność ich praktyk z wymogami RODO, oraz wystosował 54 wystąpienia do różnych instytucji i podmiotów, wskazując na stwierdzone nieprawidłowości i zalecając ich usunięcie.
Istotnym aspektem działalności UODO jest również współpraca z organami ścigania. W sytuacjach, gdy naruszenia przepisów o ochronie danych osobowych mogą wyczerpywać znamiona przestępstwa, Prezes UODO ma obowiązek zawiadomienia prokuratury. W 2025 roku UODO skierował 7 zawiadomień do prokuratury o popełnieniu przestępstwa, co świadczy o tym, że niektóre naruszenia RODO wykraczają poza zakres wykroczeń administracyjnych i mogą wiązać się z odpowiedzialnością karną. Dodatkowo Urząd udzielił odpowiedzi na 2231 pytań dotyczących stosowania przepisów o ochronie danych osobowych, pełniąc tym samym funkcję edukacyjną i doradczą dla administratorów i osób fizycznych.
Wnioski i perspektywy na kolejne lata
Dane z działalności UODO w latach 2023-2025 jednoznacznie wskazują na rosnącą skuteczność egzekwowania przepisów RODO w Polsce. Wzrost liczby skarg o 61%, zgłoszeń naruszeń o 51% oraz pięciokrotny wzrost wartości kar świadczą o tym, że zarówno obywatele, jak i organ nadzorczy coraz poważniej traktują kwestie ochrony danych osobowych. Rekordowe kary dla Poczty Polskiej i ING Banku Śląskiego pokazują, że żaden administrator – niezależnie od swojej wielkości czy charakteru – nie jest poza zasięgiem konsekwencji za naruszenia. Pozycja Polski jako trzeciego państwa w Europie pod względem liczby zgłoszonych naruszeń RODO w 2024 roku stawia przed krajowymi przedsiębiorcami i instytucjami publicznymi istotne wyzwanie.
W perspektywie zbliżającej się ósmej rocznicy wejścia w życie RODO można oczekiwać dalszej profesjonalizacji działań zarówno administratorów danych, jak i organów nadzorczych. Kluczowe będzie inwestowanie w zabezpieczenia techniczne, szkolenia personelu oraz wdrażanie procedur minimalizacji ryzyka naruszeń. Przedsiębiorstwa powinny traktować zgodność z RODO nie jako jednorazowy projekt, lecz jako ciągły proces doskonalenia praktyk ochrony danych. Rosnące kary finansowe oraz coraz bardziej świadomi swoich praw obywatele sprawiają, że koszt ignorowania przepisów o ochronie danych osobowych staje się coraz wyższy. Z drugiej strony, odpowiedzialne zarządzanie danymi osobowymi może stanowić przewagę konkurencyjną i budować zaufanie klientów w erze cyfrowej gospodarki.
Dyskusja