Firma e-commerce z Mazowsza otrzymuje decyzję UODO z karą 180 000 zł. Powód? Brak aktualnej umowy powierzenia przetwarzania danych z zewnętrznym dostawcą hostingu. Sprawa trwała osiem miesięcy. Decyzja stała się ostateczna, a kara – wymagalna w ciągu 14 dni od jej doręczenia.
Urząd Ochrony Danych Osobowych (UODO) zmienił podejście do egzekwowania przepisów rozporządzenia RODO (Rozporządzenie UE 2016/679). Organ coraz częściej nakłada kary na podmioty średniej wielkości, nie tylko na największe korporacje. Progi odpowiedzialności wynoszą do 10 mln EUR lub 2% globalnego obrotu (naruszenia organizacyjne) albo do 20 mln EUR lub 4% obrotu (naruszenia fundamentalnych praw podmiotów danych).
Ten alert opisuje trzy zmiany w praktyce egzekucyjnej UODO, wskazuje, kto jest dziś najbardziej narażony, i podaje konkretne działania do podjęcia w ciągu 30 dni.
Co zmieniło się w praktyce egzekucyjnej UODO?
UODO przez lata koncentrował się na dużych administratorach danych – bankach, ubezpieczycielach, operatorach telekomunikacyjnych. To się zmieniło. Od 2023 r. organ prowadzi więcej postępowań wobec firm z sektora MŚP, podmiotów medycznych i administratorów danych w modelu SaaS. Trzy tendencje są szczególnie widoczne.
Po pierwsze, UODO aktywnie reaguje na skargi podmiotów danych. Każda skarga uruchamia procedurę wyjaśniającą, a administrator ma zazwyczaj 30 dni na odpowiedź. Brak odpowiedzi lub odpowiedź niekompletna niemal automatycznie eskaluje sprawę do postępowania administracyjnego.
Po drugie, organ sprawdza zgodność dokumentacji z rzeczywistą praktyką przetwarzania. Polityki prywatności napisane „na papier" i nieodzwierciedlające faktycznych procesów to dziś jeden z najczęstszych powodów wszczęcia kontroli. UODO porównuje treść rejestru czynności przetwarzania (RCP) z faktycznym przepływem danych – rozbieżności skutkują zarzutami naruszenia art. 30 RODO.
Po trzecie, rośnie liczba kontroli sektorowych. UODO zapowiada plany kontrolne na dany rok. W 2025 r. priorytetem były podmioty przetwarzające dane zdrowotne oraz firmy stosujące profilowanie. W 2026 r. organ sygnalizuje zainteresowanie systemami AI w rozumieniu Rozporządzenia UE 2024/1689 (AI Act) – zwłaszcza tam, gdzie algorytmy wpływają na decyzje dotyczące osób fizycznych. Firmy wdrażające systemy AI powinny dziś traktować audyt RODO jako element zgodności z AI Act.
Warto też odnotować powiązanie z regulacją DORA (Rozporządzenie UE 2022/2554), która od 17 stycznia 2025 r. obowiązuje podmioty finansowe. Incydent ICT zgłaszany do KNF na podstawie DORA może jednocześnie stanowić naruszenie ochrony danych osobowych wymagające zgłoszenia do UODO w ciągu 72 godzin. Podwójna ścieżka raportowania to nowe ryzyko operacyjne dla sektora finansowego.
Kto jest dziś najbardziej narażony na karę RODO?
Profil typowego adresata kary UODO zmienił się istotnie. Nie chodzi już wyłącznie o gigantów rynkowych. Narażone są przede wszystkim trzy grupy podmiotów.
Pierwsza to firmy przetwarzające dane w chmurze bez aktualnych umów powierzenia (art. 28 RODO). Umowa powierzenia musi precyzyjnie określać zakres, cel i środki przetwarzania. Jeśli dostawca SaaS zmienił warunki usługi, a administrator nie zaktualizował umowy – ryzyko jest realne i bezpośrednie.
Druga grupa to podmioty, które nie realizują praw podmiotów danych w terminie. Na odpowiedź na żądanie dostępu, sprostowania lub usunięcia danych administrator ma co do zasady 30 dni (z możliwością przedłużenia o kolejne 60 dni w sprawach złożonych). Przekroczenie terminu bez uzasadnienia to naruszenie, które UODO traktuje poważnie.
Trzecia grupa to administratorzy stosujący systemy monitoringu pracowników lub klientów bez spełnienia obowiązku informacyjnego z art. 13 RODO. Monitoring wizyjny, śledzenie aktywności online, systemy oceny wydajności oparte na danych – każdy z tych instrumentów wymaga jasnej podstawy prawnej i poinformowania osób, których dane dotyczą.
- Brak lub nieaktualna umowa powierzenia z dostawcą IT lub chmury
- Rejestr czynności przetwarzania nieodzwierciedlający rzeczywistości
- Przekroczenie 30-dniowego terminu odpowiedzi na żądania podmiotów danych
- Brak klauzul informacyjnych przy wdrożeniu monitoringu lub profilowania
- Nieudokumentowane podstawy prawne przetwarzania danych marketingowych
Firma produkcyjna z Podkarpacia wdrożyła latem 2024 r. system kontroli czasu pracy oparty na biometrii. Pracownicy nie otrzymali kompletnej informacji o celach przetwarzania. Skarga do UODO wpłynęła w ciągu tygodnia od uruchomienia systemu. Postępowanie trwa – i może zakończyć się karą sięgającą 4% rocznego obrotu firmy.
Odpowiedzialność za zaległości podatkowe i odpowiedzialność za naruszenia RODO mają jeden wspólny mianownik: obie mogą dotknąć osobiście zarząd. Więcej o mechanizmach odpowiedzialności osobistej przeczytasz w artykule o odpowiedzialności za zaległości podatkowe na podstawie art. 116 Ordynacji.
Jeśli Państwa firma przetwarza dane osobowe w Polsce i nie przeprowadziła audytu RODO w ciągu ostatnich 12 miesięcy, konkretna luka w dokumentacji może dziś generować ryzyko kary, której nie da się cofnąć po wszczęciu postępowania przez UODO. W sprawie naruszenia znaku towarowego i środków prawnych w Polsce – podobnie jak w sprawach RODO – liczy się szybka reakcja i kompletna dokumentacja.
Jeśli Państwa spółka przetwarza dane osobowe klientów lub pracowników i nie ma pewności co do aktualności umów powierzenia, rejestru czynności przetwarzania lub podstaw prawnych – przeprowadzimy szybki audyt zgodności i wskażemy działania priorytetowe: info@kordeckipartners.com.
Często zadawane pytania
P: Czy UODO może nałożyć karę bez wcześniejszego ostrzeżenia?
O: Tak. Urząd Ochrony Danych Osobowych może wydać decyzję administracyjną nakładającą karę finansową bez uprzedniego ostrzeżenia, jeśli naruszenie jest poważne lub trwałe. W praktyce organ często poprzedza decyzję wezwaniem do złożenia wyjaśnień, jednak nie ma obowiązku stosowania stopniowania sankcji. Decyzja staje się wykonalna po upływie terminu na wniesienie skargi do sądu administracyjnego lub po jej prawomocnym utrzymaniu.
P: Ile czasu ma administrator na zgłoszenie naruszenia ochrony danych do UODO?
O: Artykuł 33 rozporządzenia RODO nakłada obowiązek zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego w ciągu 72 godzin od jego stwierdzenia. Termin ten jest nieprzekraczalny i biegnie od momentu, gdy administrator powziął wiedzę o naruszeniu – nie od chwili jego faktycznego wystąpienia. Przekroczenie terminu 72 godzin jest samodzielną podstawą do nałożenia kary, niezależnie od skutków naruszenia.
P: Czy małe firmy i jednoosobowe działalności gospodarcze podlegają karom RODO?
O: Tak. Rozporządzenie RODO nie przewiduje wyłączenia dla małych podmiotów. Jedynym wyjątkiem od obowiązku prowadzenia rejestru czynności przetwarzania jest podmiot zatrudniający mniej niż 250 osób, który przetwarza dane tylko incydentalnie i nie przetwarza danych wrażliwych. W praktyce większość firm – nawet jednoosobowych – przetwarza dane pracowników lub klientów w sposób regularny, co oznacza pełne zastosowanie przepisów rozporządzenia i potencjalną odpowiedzialność wobec UODO.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, zgodności z RODO i regulacjami technologicznymi. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.