Firma logistyczna z Mazowsza otrzymała decyzję UODO z karą przekraczającą 100 000 zł – za brak odpowiedniej umowy powierzenia danych z podwykonawcą. Sprawa nie była skomplikowana. Dane były, umowa nie była. Urząd Ochrony Danych Osobowych coraz częściej sięga po wysokie sankcje w sprawach, które organizacje traktowały jako formalność.

Prezes Urzędu Ochrony Danych Osobowych (UODO) dysponuje uprawnieniem do nakładania administracyjnych kar pieniężnych na podstawie art. 83 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 – RODO. Maksymalna kara wynosi 20 mln EUR lub 4% globalnego obrotu rocznego. Trend egzekucyjny w Polsce wyraźnie zmierza ku sektorom przetwarzającym dane wrażliwe i podmiotom zaniedbującym dokumentację procesów.

Poniżej omawiamy, co się zmieniło w podejściu UODO, kogo dotykają sankcje najdotkliwiej i jakie działania należy podjąć natychmiast.

Co zmieniło się w podejściu UODO do egzekucji kar?

UODO przez pierwsze lata stosowania RODO wydawał stosunkowo nieliczne decyzje nakładające kary. Od 2022 r. tempo wyraźnie wzrosło. Urząd coraz rzadziej poprzestaje na upomnieniu – zamiast tego wydaje decyzje administracyjne z sankcją finansową już przy pierwszym stwierdzonym naruszeniu. To zmiana jakościowa, nie tylko ilościowa.

Trzy obszary przyciągają szczególną uwagę inspektorów. Po pierwsze – brak lub wadliwe umowy powierzenia przetwarzania danych, wymagane na podstawie art. 28 RODO. Po drugie – naruszenia bezpieczeństwa danych, które administrator zgłasza z opóźnieniem przekraczającym 72 godziny. Po trzecie – niewystarczające środki techniczne i organizacyjne, zwłaszcza w podmiotach korzystających z chmury obliczeniowej lub outsourcingu IT.

W praktyce – wiele firm o tym zapomina – UODO analizuje nie tylko fakt naruszenia, ale też to, czy organizacja potrafiła wykazać zgodność przed jego wystąpieniem. Brak rejestru czynności przetwarzania, nieaktualna analiza ryzyka albo brak szkoleń pracowników to okoliczności obciążające, które wprost podnoszą wysokość kary. Podmioty z sektora finansowego obserwują równolegle rosnące wymagania wynikające z DORA – zarządzania ryzykiem ICT, co tworzy nakładające się reżimy compliance.

Kogo dotykają sankcje UODO najdotkliwiej?

Profil podmiotów karanych przez UODO zmienił się w ciągu ostatnich dwóch lat. Początkowo dominowały duże korporacje z sektora bankowego i telekomunikacyjnego. Dziś coraz więcej decyzji dotyczy średnich przedsiębiorstw, podmiotów leczniczych, firm HR i platform e-commerce. Próg obrotu przestał być tarczą ochronną.

Szczególnie narażone są cztery kategorie podmiotów:

  • Administratorzy danych wrażliwych – dane zdrowotne, biometryczne, dotyczące wyroków skazujących (art. 9 i art. 10 RODO).
  • Podmioty korzystające z narzędzi AI do profilowania lub podejmowania zautomatyzowanych decyzji – tu krzyżują się obowiązki RODO i nadchodzące wymagania AI Act (Rozporządzenie UE 2024/1689).
  • Firmy IT i SaaS działające jako procesorzy danych – odpowiadają za własne naruszenia bezpieczeństwa, nawet jeśli to klient jest administratorem.
  • Pracodawcy przetwarzający dane kandydatów i pracowników bez wyraźnej podstawy prawnej.

Spółka z branży rekrutacyjnej z Trójmiasta – jesień 2024 r. – otrzymała decyzję UODO z karą rzędu 80 000 zł za przechowywanie CV kandydatów przez okres przekraczający cel rekrutacji. Brak polityki retencji danych okazał się kosztowny. Warto też pamiętać, że UODO może nałożyć karę odrębnie na administratora i procesora za to samo zdarzenie. Łączne sankcje potrafią wielokrotnie przekroczyć próg, który organizacja uznawała za „akceptowalne ryzyko".

Podmioty działające w sektorze finansowym muszą jednocześnie spełniać wymagania DORA (Rozporządzenie UE 2022/2554) w zakresie zarządzania ryzykiem ICT oraz raportowania incydentów do KNF. Incydent bezpieczeństwa może więc generować równoległe postępowania – przed UODO i przed KNF. Złożoność tego krajobrazu regulacyjnego sprawia, że izolowane podejście do RODO przestało wystarczać.

Jakie działania podjąć natychmiast?

Reakcja na zmieniony trend egzekucyjny UODO nie powinna być jednorazowym audytem. Powinna być procesem. Jednak w perspektywie najbliższych 30 dni trzy działania mają charakter priorytetowy.

Pierwszym jest weryfikacja umów powierzenia przetwarzania. Każdy podmiot, któremu przekazujesz dane osobowe – chmura, payroll, CRM, marketing automation – musi mieć aktualną umowę zgodną z art. 28 RODO. Umowy sprzed 2021 r. często nie spełniają aktualnych wymagań dotyczących podpowierzenia i środków bezpieczeństwa.

Sprawdź, czy Twoja organizacja jest gotowa na kontrolę UODO. Minimalna lista dokumentów to:

  • Rejestr czynności przetwarzania (art. 30 RODO) – aktualny i kompletny.
  • Ocena skutków dla ochrony danych (DPIA) dla procesów wysokiego ryzyka.
  • Procedura zgłaszania naruszeń bezpieczeństwa – z terminem 72 godzin.
  • Dokumentacja szkoleń pracowników z ostatnich 12 miesięcy.
  • Umowy powierzenia ze wszystkimi procesorami.

Drugie działanie to przegląd polityki retencji. UODO konsekwentnie karze za przechowywanie danych dłużej niż wynika to z celu przetwarzania. Trzecie – analiza narzędzi AI i automatyzacji pod kątem obowiązku informacyjnego i podstawy prawnej profilowania. Tu przecinają się RODO i AI Act, który od sierpnia 2026 r. nakłada dodatkowe obowiązki na dostawców systemów wysokiego ryzyka. Więcej o sporach wynikających z naruszeń compliance znajdziesz w materiale o mediacji w sporach gospodarczych.

Ochrona danych to nie tylko kwestia zgodności z RODO – to element szerszej strategii zarządzania ryzykiem prawnym. Znak towarowy, własność intelektualna, dane klientów – każdy z tych aktywów wymaga odrębnej ochrony. Kancelaria IP Warszawa, która łączy doświadczenie w prawie technologicznym z praktyką ochrony danych, może ocenić ekspozycję Twojej organizacji całościowo.

Konkretna sytuacja Państwa firmy wymaga indywidualnej oceny – szczególnie gdy naruszenie już wystąpiło lub gdy UODO wszczął postępowanie. Zaniechanie działań na tym etapie może zamknąć drogę do skutecznej obrony i nieodwracalnie pogorszyć pozycję w postępowaniu administracyjnym.

Jeśli Państwa spółka przetwarza dane osobowe w skali wymagającej DPIA, korzysta z narzędzi AI lub otrzymała wezwanie od UODO – przeprowadzimy szybki przegląd dokumentacji i wskażemy priorytety naprawcze: info@kordeckipartners.com.

Często zadawane pytania

P: Czy UODO może nałożyć karę bez wcześniejszego ostrzeżenia?

O: Tak. Rozporządzenie 2016/679 nie wymaga uprzedniego upomnienia jako warunku nałożenia kary administracyjnej. UODO może wydać decyzję nakładającą sankcję finansową bezpośrednio po stwierdzeniu naruszenia, choć w praktyce organ bierze pod uwagę współpracę administratora i podjęte działania naprawcze jako okoliczności łagodzące. Warto zatem reagować szybko i dokumentować każdy krok.

P: Ile kosztuje dostosowanie dokumentacji RODO dla średniej firmy?

O: Koszt zależy od skali przetwarzania, liczby systemów IT i aktualnego stanu dokumentacji. Dla firmy zatrudniającej 50–200 pracowników, korzystającej z kilku narzędzi chmurowych, pełne wdrożenie lub aktualizacja dokumentacji zajmuje zwykle od 4 do 8 tygodni i wiąże się z nakładami rzędu kilku do kilkunastu tysięcy złotych. Koszt kary za zaniedbanie wielokrotnie przekracza koszt prewencji.

P: Czy RODO i AI Act nakładają się na siebie w przypadku systemów rekomendacyjnych?

O: Tak – to częste nieporozumienie. Systemy rekomendacyjne i scoring kredytowy przetwarzają dane osobowe, więc podlegają RODO. Jednocześnie AI Act (Rozporządzenie UE 2024/1689), który wszedł w życie 1 sierpnia 2024 r., kwalifikuje część tych systemów jako wysokiego ryzyka i nakłada obowiązek oceny zgodności oraz rejestracji. Organizacja musi spełnić oba reżimy – nie jeden z nich.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych, prawa technologicznego i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.