Firma z branży e-commerce z Mazowsza otrzymuje pismo z Urzędu Ochrony Danych Osobowych. Kontrola wszczęta z urzędu, bez uprzedzenia. Powód? Brak aktualnej dokumentacji przetwarzania danych i niezgłoszone naruszenie bezpieczeństwa. Kara administracyjna – do 20 milionów euro lub 4% rocznego obrotu – staje się realna, nie teoretyczna.

Urząd Ochrony Danych Osobowych (UODO) wyraźnie zmienił podejście egzekucyjne. Organ coraz częściej wszczyna postępowania z urzędu, nakłada kary na podmioty przetwarzające dane bez należytej podstawy prawnej i egzekwuje obowiązki informacyjne. Podstawą prawną pozostaje Rozporządzenie UE 2016/679 (RODO), które stosuje się bezpośrednio w Polsce. Termin na zgłoszenie naruszenia danych do UODO wynosi 72 godziny od jego wykrycia.

Ten alert wyjaśnia, co zmieniło się w praktyce UODO, kogo dotyczą nowe priorytety egzekucyjne i jakie kroki podjąć natychmiast. Ochrona danych osobowych przestała być formalnym wymogiem – stała się realnym ryzykiem finansowym.

Co zmieniło się w podejściu UODO do egzekucji kar?

UODO przez kilka lat po wejściu RODO w życie działał ostrożnie. Wydawał upomnienia, prowadził kampanie edukacyjne, rzadziej sięgał po najwyższe sankcje. Ten etap dobiegł końca. Urząd systematycznie zwiększa liczbę postępowań administracyjnych i coraz częściej kończy je decyzją nakładającą karę finansową.

Zmiana dotyczy trzech obszarów. Po pierwsze, UODO aktywnie monitoruje skargi konsumentów i wszczyna kontrole na ich podstawie. Po drugie, urząd prowadzi kontrole sektorowe – w ostatnich kwartałach pod lupą znalazły się branże: finansowa, medyczna i e-commerce. Po trzecie, UODO współpracuje z organami ochrony danych z innych państw UE w ramach mechanizmu spójności, co oznacza, że naruszenia transgraniczne są ścigane skoordynowanie.

W praktyce – wiele firm o tym zapomina – UODO może wszcząć postępowanie nie tylko po skardze, lecz również po lekturze mediów lub analizie publicznych rejestrów. Wystarczy, że polityka prywatności na stronie internetowej jest nieaktualna lub brakuje klauzuli informacyjnej w formularzu kontaktowym.

Nowe trendy egzekucyjne w Polsce wpisują się w szerszy kontekst. AI Act (Rozporządzenie UE 2024/1689) wszedł w życie 1 sierpnia 2024 r. i nakłada dodatkowe obowiązki na podmioty stosujące systemy sztucznej inteligencji przetwarzające dane osobowe. DORA (Rozporządzenie UE 2022/2554), obowiązujące od 17 stycznia 2025 r., wymaga od instytucji finansowych raportowania incydentów ICT do KNF – a incydenty ICT często wiążą się z naruszeniem danych osobowych. Ochrona danych stała się elementem szerszego systemu compliance, nie odrębną wyspą.

Kogo dotyczą nowe priorytety UODO i jakie kary grożą?

UODO koncentruje działania egzekucyjne na kilku kategoriach podmiotów. Administratorzy danych przetwarzający dane wrażliwe – dane zdrowotne, biometryczne, dotyczące wyroków skazujących – są w grupie najwyższego ryzyka. Podmioty przetwarzające dane na dużą skalę, w szczególności platformy e-commerce, operatorzy marketingu bezpośredniego i firmy technologiczne, stanowią drugi priorytet. Trzecia kategoria to administratorzy, którzy nie wdrożyli rejestru czynności przetwarzania (RCP) ani nie wyznaczyli Inspektora Ochrony Danych (IOD), mimo że mają taki obowiązek.

Progi kar są dwupoziomowe. Naruszenia mniej poważne – brak RCP, brak IOD, uchybienia formalne – zagrożone są karą do 10 milionów euro lub 2% rocznego obrotu. Naruszenia poważne – przetwarzanie bez podstawy prawnej, naruszenie zasad zgody, brak realizacji praw podmiotów danych – zagrożone są karą do 20 milionów euro lub 4% rocznego obrotu. UODO stosuje wyższy z tych dwóch progów.

Firma produkcyjna z Dolnego Śląska, jesienią 2024 r., otrzymała decyzję nakazującą usunięcie danych pracowników przetwarzanych bez ważnej podstawy prawnej. Kara finansowa była niższa niż maksymalna, lecz koszty wdrożenia naprawczego przekroczyły kilkadziesiąt tysięcy złotych. Podobna sytuacja spotkała biuro rachunkowe z Małopolski, które nie zgłosiło naruszenia bezpieczeństwa danych klientów w terminie 72 godzin – UODO nałożył karę i zobowiązał do przeprowadzenia audytu.

Znak towarowy i kancelaria IP Warszawa to pojęcia, które coraz częściej pojawiają się w kontekście RODO – agencje reklamowe i kancelarie IP przetwarzają dane klientów i partnerów w ramach obsługi znaków towarowych. Brak umów powierzenia przetwarzania z podwykonawcami to jeden z najczęstszych błędów wykrywanych przez UODO w tej branży. Warto przy tym pamiętać, że obowiązki compliance nakładane przez AI Act dotyczą również systemów używanych do monitorowania naruszeń praw własności intelektualnej.

Co zrobić natychmiast – lista działań priorytetowych

Zmiana podejścia UODO nie pozostawia czasu na odkładanie decyzji. Każdy administrator danych powinien w ciągu najbliższych 30 dni zweryfikować trzy obszary: dokumentację, procedury i umowy. Brak działania oznacza, że w przypadku kontroli firma nie będzie mogła wykazać zgodności – a to właśnie ciężar dowodu spoczywa na administratorze, nie na UODO.

  • Zaktualizuj rejestr czynności przetwarzania (RCP) – uwzględnij nowe systemy IT, narzędzia AI i integracje z podmiotami trzecimi.
  • Zweryfikuj podstawy prawne przetwarzania danych – szczególnie w zakresie zgód marketingowych i danych pracowniczych.
  • Sprawdź, czy umowy powierzenia przetwarzania z podwykonawcami są aktualne i zawierają klauzule wymagane przez RODO.
  • Wdróż lub zaktualizuj procedurę zgłaszania naruszeń – termin 72 godzin na zgłoszenie do UODO jest nieprzekraczalny.
  • Oceń, czy Twoja organizacja ma obowiązek wyznaczenia IOD – jeśli tak, a IOD nie został wyznaczony, zrób to niezwłocznie.

Dla podmiotów objętych DORA dodatkowym wymogiem jest integracja procedur zgłaszania incydentów ICT z procedurami RODO. Incydent bezpieczeństwa informatycznego niemal zawsze wiąże się z naruszeniem danych osobowych. Brak skoordynowanego podejścia oznacza ryzyko podwójnego naruszenia – wobec KNF i UODO jednocześnie. Szczegółowe informacje o obowiązkach compliance w zakresie technologii znajdziesz w materiale o harmonogramie wdrożenia AI Act dla polskich firm.

Przedsiębiorcy prowadzący pełną księgowość powinni pamiętać, że dane finansowe przetwarzane w systemach JPK_CIT również podlegają RODO. Zasady bezpieczeństwa danych w tym obszarze omawia przewodnik o JPK_CIT i przygotowaniu przed terminem.

Konkretna sytuacja Państwa firmy może wymagać natychmiastowej oceny ryzyka. Brak udokumentowanej zgodności z RODO w momencie kontroli UODO jest nieodwracalnym błędem proceduralnym – organ nie czeka na uzupełnienie dokumentacji po wszczęciu postępowania.

Jeśli Państwa spółka przetwarza dane osobowe na dużą skalę lub stosuje systemy AI i nie ma pewności co do aktualności dokumentacji RODO – przeprowadzimy szybki audyt zgodności i wskażemy działania priorytetowe: info@kordeckipartners.com.

Często zadawane pytania

P: Czy UODO może nałożyć karę na małą firmę bez wcześniejszego ostrzeżenia?

O: Tak. Rozporządzenie UE 2016/679 nie przewiduje obowiązku uprzedniego ostrzeżenia przed nałożeniem kary administracyjnej. UODO może wszcząć postępowanie i wydać decyzję nakładającą karę w ramach jednego postępowania. Małe podmioty nie są automatycznie chronione przed sankcjami – organ uwzględnia wielkość firmy jako jeden z wielu czynników miarkowania kary, lecz nie jako przesłankę wyłączającą odpowiedzialność.

P: Ile kosztuje audyt RODO i czy jest obowiązkowy?

O: Audyt zgodności z RODO nie jest wprost wymagany przez przepisy jako odrębna procedura, lecz administrator ma obowiązek wykazać zgodność z zasadami rozporządzenia – co w praktyce wymaga udokumentowanej weryfikacji. Koszt audytu zależy od skali przetwarzania i złożoności systemów IT. Brak audytu w sytuacji, gdy firma przetwarza dane wrażliwe lub dane na dużą skalę, jest traktowany przez UODO jako brak należytej staranności.

P: Czy AI Act zmienia obowiązki RODO dla firm stosujących sztuczną inteligencję?

O: AI Act (Rozporządzenie UE 2024/1689) nie zastępuje RODO, lecz nakłada dodatkowe wymagania. Systemy AI wysokiego ryzyka – na przykład używane w rekrutacji, scoringu kredytowym lub biometrii – muszą spełniać zarówno wymogi AI Act w zakresie przejrzystości i nadzoru ludzkiego, jak i wszystkie obowiązki wynikające z RODO dotyczące podstawy prawnej przetwarzania i praw podmiotów danych. Oba reżimy stosuje się równolegle.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, prawa technologii i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Autor: Jakub Górski specjalizuje się w prawie własności intelektualnej, technologiach i regulacjach AI.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.