Firma e-commerce z Mazowsza otrzymała decyzję UODO z karą przekraczającą 100 000 zł – za brak właściwej podstawy prawnej przetwarzania danych klientów. Nie był to wyjątek. Urząd Ochrony Danych Osobowych konsekwentnie zwiększa liczbę i wysokość nakładanych sankcji, a profil naruszycieli wyraźnie się zmienia.

RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 – obowiązuje w Polsce bezpośrednio, a UODO jest krajowym organem nadzorczym. Maksymalna kara wynosi 20 000 000 EUR lub 4% globalnego rocznego obrotu. Tendencja egzekucyjna z ostatnich kwartałów pokazuje, że Urząd coraz częściej sięga po sankcje wobec podmiotów średniej wielkości, nie tylko korporacji.

Ten alert wyjaśnia, jakie naruszenia dominują w aktualnej praktyce UODO, kogo dotykają najczęściej i jakie działania należy podjąć natychmiast – zanim pojawi się wszczęcie postępowania.

Co zmieniło się w podejściu UODO do egzekwowania RODO?

Zmiana dotyczy trzech obszarów. Po pierwsze, Urząd aktywnie wszczyna postępowania z urzędu – nie czeka wyłącznie na skargi osób fizycznych. Po drugie, UODO coraz chętniej nakłada kary łączne, obejmując jedną decyzją kilka naruszeń równocześnie. Po trzecie, kontrole następują szybciej po zgłoszeniu naruszenia przez sam podmiot – co oznacza, że obowiązkowe powiadomienie UODO w ciągu 72 godzin (art. 33 RODO) może uruchomić pełne postępowanie wyjaśniające.

Regulacja wyprzedza rynek – i dotyczy to nie tylko RODO. Równolegle wchodzi w życie AI Act (Rozporządzenie UE 2024/1689), który nakłada nowe obowiązki na podmioty wdrażające systemy sztucznej inteligencji, oraz DORA (Rozporządzenie UE 2022/2554), obowiązujące od 17 stycznia 2025 r. dla podmiotów finansowych. Każde z tych rozporządzeń tworzy nowe punkty styku z ochroną danych – i nowe ryzyko kar.

W praktyce – wiele firm o tym zapomina – zgłoszenie naruszenia do UODO nie jest wyrazem dobrej woli, lecz obowiązkiem prawnym. Jego brak stanowi odrębne naruszenie, karane niezależnie od pierwotnego incydentu.

Kogo dotykają kary i jakie naruszenia dominują?

Profil podmiotów karanych przez UODO obejmuje dziś nie tylko duże korporacje. Wśród adresatów decyzji pojawiają się spółki z o.o. zatrudniające kilkudziesięciu pracowników, podmioty z sektora e-commerce, placówki medyczne oraz firmy świadczące usługi SaaS. Kancelaria IP Warszawa obserwuje rosnące zainteresowanie tym tematem wśród klientów z sektora technologicznego.

Najczęstsze kategorie naruszeń w ostatnich decyzjach UODO to:

  • brak lub wadliwa podstawa prawna przetwarzania danych (art. 6 RODO)
  • nieprawidłowe umowy powierzenia przetwarzania z procesorami (art. 28 RODO)
  • niedostateczne zabezpieczenia techniczne i organizacyjne (art. 32 RODO)
  • brak lub opóźnione zgłoszenie naruszenia do UODO (art. 33 RODO)
  • naruszenia praw osób, których dane dotyczą – w tym prawa do usunięcia danych

Szczególnie narażone są firmy oferujące usługi cyfrowe. Umowy SaaS zawierają często klauzule dotyczące przetwarzania danych, które nie spełniają wymogów art. 28 RODO – brakuje precyzyjnego określenia zakresu, celu i czasu przetwarzania. Jeśli Państwa firma korzysta z zewnętrznych dostawców oprogramowania, warto sprawdzić, czy umowy SaaS zawierają kluczowe klauzule wymagane na polskim rynku.

Spółka IT z Małopolski – wiosna 2025 r. – otrzymała decyzję UODO z karą blisko 80 000 zł za brak aktualnej umowy powierzenia z dostawcą infrastruktury chmurowej. Umowa istniała, ale nie obejmowała nowych kategorii danych wprowadzonych po rozszerzeniu usługi. Detal – a konsekwencje nieodwracalne dla reputacji.

Co zrobić teraz – lista działań z terminami?

Konkretna sytuacja Państwa firmy może różnić się od opisanych przypadków. Jednak pewne działania są uniwersalne i powinny zostać wdrożone bez zbędnej zwłoki – zanim UODO wszczynie postępowanie z urzędu. Brak reakcji zamyka drogę do dobrowolnego usunięcia naruszenia, co UODO uwzględnia przy miarkowaniu kary.

Lista działań do podjęcia w ciągu 30 dni:

  • Przegląd rejestrów czynności przetwarzania – weryfikacja podstaw prawnych dla każdej kategorii danych
  • Audyt umów powierzenia z wszystkimi procesorami – aktualizacja klauzul zgodnie z art. 28 RODO
  • Test procedury zgłaszania naruszeń – czy zespół wie, jak i kiedy powiadomić UODO w ciągu 72 godzin?
  • Ocena ryzyka dla systemów AI wdrożonych lub planowanych – pod kątem AI Act i RODO łącznie
  • Weryfikacja polityki retencji danych – czy dane są usuwane zgodnie z zadeklarowanymi okresami?

Firmy z sektora finansowego muszą działać szybciej. DORA nałożyła od 17 stycznia 2025 r. obowiązek zarządzania ryzykiem ICT i raportowania incydentów do KNF – a każdy incydent ICT może jednocześnie stanowić naruszenie RODO. Podwójne ryzyko regulacyjne wymaga skoordynowanego podejścia.

Warto przy tym pamiętać, że ochrona danych osobowych nie funkcjonuje w próżni prawnej. Dane klientów, pracowników czy partnerów biznesowych są nierozerwalnie związane z innymi obszarami regulacyjnymi – w tym z prawem zagospodarowania przestrzennego przy inwestycjach deweloperskich, gdzie planowanie przestrzenne i zasady zagospodarowania w Polsce wymagają odrębnej analizy compliance. Firma deweloperska z Krakowa – jesień 2024 r. – odkryła, że jej system CRM przechowywał dane potencjalnych nabywców bez ważnej podstawy prawnej przez ponad 18 miesięcy. Koszt korekty był wielokrotnie niższy niż potencjalna kara.

Konkretna sytuacja Państwa spółki wymaga oceny, zanim UODO podejmie działania z urzędu. Zwlekanie z audytem danych to ryzyko nieodwracalnych konsekwencji finansowych i reputacyjnych.

Jeśli Państwa firma przetwarza dane osobowe klientów lub pracowników i nie przeprowadzała przeglądu compliance RODO w ciągu ostatnich 12 miesięcy – przeprowadzimy szybki audyt, identyfikację luk i plan naprawczy z terminami: info@kordeckipartners.com.

Często zadawane pytania

P: Czy UODO może nałożyć karę bez wcześniejszego ostrzeżenia?

O: Tak. UODO może wszcząć postępowanie z urzędu i wydać decyzję nakładającą karę bez uprzedniego wezwania do usunięcia naruszenia. Rozporządzenie 2016/679 nie przewiduje obowiązkowego etapu ostrzeżenia przed sankcją finansową. Dobrowolne usunięcie naruszenia przed wydaniem decyzji może jednak wpłynąć na miarkowanie kary.

P: Jak szybko trzeba zgłosić naruszenie ochrony danych do UODO?

O: Artykuł 33 Rozporządzenia 2016/679 nakłada obowiązek zgłoszenia naruszenia do organu nadzorczego w ciągu 72 godzin od jego stwierdzenia. Termin liczy się od momentu, gdy administrator powziął wiedzę o naruszeniu. Przekroczenie tego terminu stanowi odrębne naruszenie i może być podstawą dodatkowej kary.

P: Czy małe firmy są realnie zagrożone karami UODO?

O: Tak. UODO nakłada kary na podmioty każdej wielkości – kryterium jest charakter naruszenia, nie rozmiar firmy. Dla małych podmiotów istotne jest, że artykuł 83 ustęp 2 Rozporządzenia 2016/679 nakazuje uwzględnienie przy miarkowaniu kary między innymi rozmiaru przedsiębiorstwa. Nie zwalnia to jednak z odpowiedzialności – zmniejsza jedynie potencjalną wysokość sankcji.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych, prawa technologicznego i compliance cyfrowego. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.