W 2025 roku Urząd Ochrony Danych Osobowych wydał ponad 2 tys. decyzji administracyjnych oraz nałożył kary pieniężne o łącznej wartości 64,5 mln zł na firmy i instytucje za naruszenie przepisów o ochronie danych osobowych. Kary były związane z cyberatakami i niewłaściwe funkcjonującym monitoringiem wizyjnym. Inne przyczyny to Cyberataki, nieprawidłowe zabezpieczenia, niewłaściwy transfer danych do państw trzecich (np. Chiny, USA) oraz ryzyka związane z AI.
To wyraźny wzrost kar administracyjnych wobec 2024 roku. Wówczas było to 1719 decyzji, w tym ponad 20 dotyczyło kar pieniężnych, łącznie na ponad 13,9 mln zł.
Najczęstsze naruszenia dotyczą problemów organizacyjnych i technicznych w zabezpieczaniu danych, a także nieprawidłowego powiadamiania osób i urzędu o naruszeniach. Zwykle są one związane z cyberatakami i niewłaściwym funkcjonującym monitoringiem wizyjnym. Część sankcji to efekt nieodpowiedniego zabezpieczenia statusu inspektorów ochrony danych osobowych.
Na co ludzie skarżą się UODO
W 2025 roku do UODO wpłynęło około 13 tys. skarg od osób fizycznych, czyli znacząco więcej niż w latach poprzednich. W 2023 roku było to ok. 7 tys., a w 2024 roku – ok. 8 tys. skarg.
Skargi najczęściej dotyczą nieuprawnionego ujawnienia danych, błędów ludzkich i niewystarczających zabezpieczeń systemów informatycznych.
Zdaniem prezesa UODO w kolejnych latach wyzwania związane z ochroną danych osobowych będą coraz poważniejsze, m.in. w związku ze zmianami legislacyjnymi w UE. Nową kwestią jest np. ochrona danych w związku z AI.
Z raportu DLA Piper „GDPR Fines and Data Breach Survey January 2026” wynika, że od 28 stycznia 2025 roku do 27 stycznia 2026 r. organy nadzorcze w Unii Europejskiej i Europejskim Obszarze Gospodarczym nałożyły około 1,2 mld euro kar za naruszenia RODO. Od 2018 roku ich łączna wysokość przekroczyła już 7 mld euro. Także w Europie rośnie liczba zgłoszeń i kwoty kar. Według ekspertów regulatorzy patrzą obecnie uważnie, jak firmy wykorzystują AI w kontekście ochrony danych.
„Zeszłoroczny poziom kar pokazuje, że europejskie organy regulacyjne pozostają bardzo aktywne. Tę aktywność widać szczególnie w obszarach takich, jak bezpieczeństwo informacji, międzynarodowe transfery danych, transparentność, a także w kwestii wykorzystania danych do rozwoju sztucznej inteligencji” – mówi Ewa Kurowska-Tober, partnerka kierująca zespołem prawa własności intelektualnej i nowych technologii (IPT) w DLA Piper w Warszawie.
O ponad jedną piątą wzrosła w 2025 roku liczba zgłoszeń naruszeń danych osobowych w Europie, osiągając średnio 443 zgłoszeń dziennie. Podobnie jak w ostatnich latach trzy kraje – Holandia, Niemcy i Polska zajmują czołowe miejsca pod względem liczby zgłoszonych naruszeń bezpieczeństwa danych. W 2025 roku w Holandii zgłoszono 39 773 naruszeń, a w Niemczech 34 467. W Polsce liczba zgłoszonych naruszeń wzrosła rok do roku o 4 779 przypadków, czyli o 33 proc. i wyniosła 19 065 – wynika z analiz DLA Piper.
„Silny wzrost liczby naruszeń pokazuje, jak ważne jest cyberbezpieczeństwo, coraz większa liczba cyberataków na systemy IT przekłada się na liczbę naruszeń – dodaje Ewa Kurowska-Tober. – Ta sytuacja powinna skłonić firmy do skupienia się na obszarze bezpieczeństwa danych w nadchodzącym roku, zaniedbanie oznacza rosnące ryzyko strat finansowych i wizerunkowych związanych z cyberatakami. Nie bez znaczenia pozostaje także fakt, że wraz z rozwojem sztucznej inteligencji pojawiają się nowe zagrożenia związane z ochroną danych, na które wiele organizacji nie jest dziś przygotowane”.
Irlandia pozostaje liderem pod względem wysokości kar nałożonych od momentu wejścia w życie RODO w maju 2018 roku. Urząd ochrony danych osobowych tego kraju nałożył już kary o łącznej wartości 4,04 mld EUR. Na drugim miejscu plasuje się Francja z łącznymi karami w wysokości 1,13 mld EUR, a na trzecim Luksemburg z 747 mln EUR. W Polsce łączna wartość kar wydanych od 2018 roku przez Prezesa Urzędu Ochrony Danych Osobowych wyniosła 22,3 mln EUR. Choć uwagę regulatorów w ostatnim roku w coraz większym stopniu przyciągały firmy świadczące usługi finansowe, telekomunikacyjne i dostawcy usług użyteczności publicznej, najwyższe kary w Europie nadal dotyczą podmiotów z branży technologicznej i mediów społecznościowych – dziewięć z dziesięciu najwyższych kar w historii otrzymały firmy właśnie z tego sektora.
„Patrząc na wysokość kar nałożonych w ostatnich kilku latach, wyraźnie widzimy, że europejscy regulatorzy nie ulegają presji, pomimo rosnącej krytyki ich działań spoza Europy, i nadal są skłonni twardo egzekwować przestrzeganie przepisów w zakresie ochrony danych” – mówi Piotr Czulak, counsel w zespole IPT w warszawskim biurze DLA Piper.
Kar związanych z wykorzystaniem danych osobowych nie uniknęły też firmy rozwijające produkty oparte na AI. Włoski organ nadzoru ukarał lokalnego przedsiębiorcę w związku z oferowaną przez niego usługą – chatbotem z interfejsem głosowym i pisemnym opartym na generatywnej sztucznej inteligencji. Regulator uznał, że firma naruszyła przepisy RODO, ponieważ nie określiła podstawy prawnej operacji przetwarzania danych, nie dostarczyła odpowiednich klauzul informacyjnych, a także nie wdrożyła żadnych mechanizmów weryfikacji wieku użytkowników.
„Europejscy regulatorzy nadal aktywnie monitorują wykorzystanie danych do szkolenia modeli językowych, ale znajdują się pod coraz większą presją, by ochrona danych nie stała na przeszkodzie innowacji zarówno w sektorze prywatnym, jak i publicznym. Propozycje zmian w prawie wysuwane w ostatnich miesiącach miałyby zakładać wyjątki od przepisów RODO związane z wykorzystaniem danych osobowych na potrzeby rozwoju AI na podstawie >>prawnie uzasadnionego interesu<<, z zachowaniem zabezpieczeń, takich jak minimalizacja danych, przejrzystość i prawo do sprzeciwu” – dodaje Piotr Czulak.
Raport DLA Piper objął 27 państw członkowskich Unii Europejskiej, a także Wielką Brytanię, Norwegię, Islandię i Liechtenstein.
Cały raport dotyczący naruszeń ochrony danych dostępny jest: DLA Piper GDPR Fines and Data Breach Survey: January 2026
Źródło: Newseria Biznes
