Firma e-commerce z Mazowsza otrzymała w sierpniu 2024 roku zawiadomienie o wszczęciu postępowania przez Urząd Ochrony Danych Osobowych. Powód: skargi użytkowników na brak odpowiedzi na żądania usunięcia danych. Prezes UODO wydał decyzję w ciągu czterech miesięcy. Kara – 180 000 zł – zaskoczyła zarząd, który był przekonany, że polityka prywatności na stronie internetowej wystarczy.

Urząd Ochrony Danych Osobowych (UODO) systematycznie zaostrza egzekucję przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, czyli RODO. Kary nakładane przez Prezesa UODO sięgają milionów złotych, a spektrum naruszeń obejmuje coraz więcej sektorów – od e-commerce, przez fintech, po ochronę zdrowia. Podmioty, które lekceważą obowiązki wynikające z RODO, narażają się na odpowiedzialność finansową, reputacyjną i operacyjną jednocześnie.

Ten materiał analizuje trzy anonimizowane sprawy z polskiej praktyki egzekucyjnej UODO. Pokazuje, jakie błędy popełniają organizacje, jak przebiega postępowanie i jakie lekcje można z nich wyciągnąć. Omawiamy też kontekst regulacyjny wyznaczany przez AI Act i DORA, które nakładają się na obowiązki z RODO w sektorze technologicznym i finansowym.

Jakie naruszenia RODO najczęściej prowadzą do kar UODO?

Analiza decyzji Prezesa UODO z lat 2022–2024 wskazuje trzy dominujące kategorie naruszeń. Po pierwsze – brak odpowiedzi na żądania podmiotów danych w ustawowym terminie 30 dni. Po drugie – niedostateczne zabezpieczenia techniczne skutkujące wyciekiem danych. Po trzecie – brak lub wadliwa podstawa prawna przetwarzania danych marketingowych. W każdej z tych kategorii UODO nakłada kary bez ostrzeżenia, jeśli wcześniej prowadził już postępowanie wyjaśniające.

Sprawa pierwsza dotyczyła spółki z sektora e-commerce. Spółka przetwarzała dane 200 000 klientów, lecz nie wdrożyła procedury obsługi żądań wynikających z art. 17 RODO (prawo do usunięcia danych). Żądania trafiały na ogólną skrzynkę e-mail i nie były przypisywane do konkretnego pracownika. UODO ustalił, że odpowiedzi nie udzielono w 34 przypadkach. Kara wyniosła 180 000 zł. Dodatkowo Prezes UODO nakazał wdrożenie rejestru żądań w terminie 60 dni.

W praktyce – wiele firm o tym zapomina – brak procedury wewnętrznej jest traktowany przez UODO jako dowód na systemowy charakter naruszenia. Systemowe naruszenie oznacza wyższą karę. To nieodwracalna konsekwencja zaniedbania organizacyjnego, nie technicznego.

Sprawa druga objęła podmiot z sektora ochrony zdrowia. Doszło do wycieku danych medycznych 15 000 pacjentów wskutek ataku ransomware. Spółka nie zgłosiła naruszenia do UODO w ciągu 72 godzin, jak wymaga RODO. Zgłoszenie nastąpiło po 11 dniach. UODO nałożył karę w wysokości 420 000 zł – głównie za opóźnienie w zgłoszeniu, nie za sam wyciek. Uważamy, że bezpieczniejszym rozwiązaniem jest posiadanie gotowego szablonu zgłoszenia i wyznaczonego zastępcy Inspektora Ochrony Danych.

Jak wygląda postępowanie przed UODO i ile trwa?

Postępowanie egzekucyjne UODO składa się z kilku etapów. Zaczyna się od skargi podmiotu danych lub z inicjatywy własnej Prezesa UODO. Następuje wszczęcie postępowania i wezwanie do złożenia wyjaśnień – zazwyczaj z terminem 14 dni. Potem UODO analizuje dokumentację, prowadzi czynności sprawdzające i wydaje decyzję. Od decyzji przysługuje wniosek o ponowne rozpatrzenie sprawy, a następnie skarga do Wojewódzkiego Sądu Administracyjnego (WSA).

Czas trwania postępowania wynosi od 3 do 18 miesięcy. Sprawy proste – jak brak odpowiedzi na żądanie – zamykają się szybciej. Sprawy dotyczące wycieków danych lub naruszeń systemowych trwają dłużej. W 2024 roku UODO skrócił średni czas postępowania o około 20% dzięki nowym procedurom wewnętrznym.

Sprawa trzecia – z sektora fintech – ilustruje, jak kosztowne może być bierne czekanie. Spółka otrzymała wezwanie do wyjaśnień i odpowiedziała po 21 dniach, przekraczając termin o tydzień. UODO potraktował to jako utrudnianie postępowania. Kara wzrosła o 30% w stosunku do wstępnych szacunków spółki. Łączna sankcja wyniosła 290 000 zł. Aktywna, terminowa współpraca z UODO realnie obniża ryzyko wyższej kary.

  • Odpowiedz na wezwanie UODO w terminie – standardowo 14 dni, bez wyjątków.
  • Wyznacz osobę odpowiedzialną za kontakt z UODO przed wszczęciem postępowania.
  • Przygotuj dokumentację przetwarzania danych przed pierwszym pismem urzędu.
  • Nie czekaj na decyzję – wdrożenie działań naprawczych w toku postępowania łagodzi karę.
  • Skonsultuj strategię odpowiedzi z kancelarią IP Warszawa lub specjalistą RODO.

Kontekst regulacyjny zmienia się dynamicznie. DORA (Rozporządzenie UE 2022/2554), które weszło w życie 17 stycznia 2025 roku dla podmiotów finansowych, nakłada obowiązki zarządzania ryzykiem ICT i raportowania incydentów do KNF. Incydent ICT może jednocześnie stanowić naruszenie RODO. Podmioty finansowe muszą koordynować zgłoszenia do UODO i KNF, bo terminy i wymagania różnią się między sobą.

Jakie lekcje wynikają z polskiej praktyki egzekucyjnej RODO?

Trzy omówione sprawy wskazują na powtarzający się wzorzec. Organizacje inwestują w polityki prywatności widoczne na stronie internetowej, ale zaniedbują procesy wewnętrzne. Tymczasem UODO ocenia nie dokumenty, lecz rzeczywiste działania operacyjne. Rejestr czynności przetwarzania, procedura obsługi żądań i plan reagowania na incydenty to minimum, które musi funkcjonować w praktyce, nie tylko na papierze.

Lekcja pierwsza: ochrona danych to proces ciągły. Jednorazowe wdrożenie z 2018 roku nie wystarczy. UODO oczekuje regularnych audytów i aktualizacji dokumentacji. Lekcja druga: Inspektor Ochrony Danych (IOD) musi mieć realną pozycję w organizacji – dostęp do zarządu i zasoby do działania. Nominacja IOD wyłącznie dla formalności nie chroni przed karą.

Lekcja trzecia dotyczy nowych technologii. AI Act (Rozporządzenie UE 2024/1689), który wszedł w życie 1 sierpnia 2024 roku, nakłada dodatkowe obowiązki na systemy AI wysokiego ryzyka – w tym systemy scoringowe, rekrutacyjne i biometryczne. Systemy te przetwarzają dane osobowe, więc ich wdrożenie bez oceny skutków dla ochrony danych (DPIA) narusza jednocześnie RODO i AI Act. Więcej o harmonogramie wdrożenia AI Act dla polskich firm można przeczytać w naszej analizie AI Act dla polskich firm.

Znak towarowy i ochrona danych mogą się przenikać w przypadku systemów identyfikacji wizualnej opartych na biometrii. Przedsiębiorcy wdrażający takie rozwiązania muszą uwzględnić zarówno przepisy prawa własności intelektualnej, jak i RODO. Zagadnienia podatkowe związane z karami RODO – w tym kwestia zaliczenia kar administracyjnych do kosztów uzyskania przychodu – omawia nasza praktyka podatkowa.

Trendy egzekucyjne wskazują na wzrost aktywności UODO w sektorze technologicznym i marketingowym. Rok 2025 przyniesie kolejne postępowania związane z cookies, profilowaniem i systemami AI. Organizacje, które nie zaktualizowały swoich procesów ochrony danych po wejściu w życie AI Act i DORA, powinny przeprowadzić przegląd zgodności nie później niż w ciągu najbliższych 90 dni.

Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny – zwłaszcza gdy organizacja przetwarza dane w środowisku AI lub podlega regulacjom DORA. Zaniedbanie tej oceny może zamknąć drogę do łagodniejszego traktowania przez UODO w razie postępowania.

Jeśli Państwa spółka otrzymała wezwanie od UODO, wdraża systemy AI wysokiego ryzyka lub przetwarza dane w sektorze finansowym podlegającym DORA – przeprowadzimy ocenę zgodności, przygotujemy dokumentację i będziemy reprezentować Państwa w postępowaniu: info@kordeckipartners.com.

Często zadawane pytania

P: Czy kara RODO nałożona przez UODO może zostać zaliczona do kosztów uzyskania przychodu w CIT?

O: Co do zasady, kary administracyjne – w tym kary RODO – nie stanowią kosztów uzyskania przychodu na gruncie ustawy o CIT. Wynika to z ogólnej zasady wyłączenia kar i sankcji z kosztów podatkowych. Warto jednak przeanalizować, czy wydatki poniesione na wdrożenie działań naprawczych (np. nowe systemy IT, szkolenia) mogą być zaliczone do kosztów – tu ocena jest indywidualna.

P: Ile czasu ma UODO na wydanie decyzji po wszczęciu postępowania?

O: Kodeks postępowania administracyjnego przewiduje termin jednego miesiąca dla spraw prostych i dwóch miesięcy dla spraw skomplikowanych. W praktyce postępowania UODO dotyczące naruszeń systemowych trwają od sześciu do osiemnastu miesięcy. Przekroczenie ustawowych terminów przez UODO nie zwalnia jednak podmiotu z obowiązku współpracy i nie uniemożliwia nałożenia kary.

P: Czy małe firmy są objęte tymi samymi karami RODO co duże przedsiębiorstwa?

O: Tak – rozporządzenie RODO (Rozporządzenie UE 2016/679) nie przewiduje zwolnienia dla małych podmiotów. Prezes UODO bierze pod uwagę wielkość organizacji jako jeden z czynników miarkowania kary, ale nie jako podstawę do jej całkowitego umorzenia. Małe firmy z ograniczonymi zasobami powinny skupić się na trzech priorytetach: rejestrze czynności przetwarzania, procedurze obsługi żądań i planie reagowania na incydenty.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, zgodności z RODO, AI Act i DORA. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.