Firma technologiczna z Mazowsza otrzymuje decyzję Urzędu Ochrony Danych Osobowych z karą finansową przekraczającą kilka milionów złotych. Powód? Brak odpowiedniej dokumentacji procesów przetwarzania danych i nieaktualne klauzule zgód. To nie jest scenariusz z przyszłości – to rzeczywistość polskiego rynku w 2025 i 2026 roku. UODO coraz skuteczniej egzekwuje przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 – czyli RODO – i zmienia priorytety kontrolne w odpowiedzi na nowe technologie.
RODO nakłada na administratorów danych obowiązki dokumentacyjne, techniczne i organizacyjne, których naruszenie grozi karą do 20 000 000 EUR lub 4% globalnego rocznego obrotu – w zależności od tego, która kwota jest wyższa. UODO w Polsce prowadzi coraz więcej postępowań z urzędu, skupiając się na sektorach: fintech, e-commerce, ochrony zdrowia i administracji publicznej. Trendy egzekucyjne w latach 2024–2026 wskazują wyraźnie na wzrost kar nakładanych za uchybienia techniczne i brak reakcji na incydenty.
Poniżej omawiamy krajobraz regulacyjny, instrumenty egzekucji, pułapki praktyczne oraz scenariusze transgraniczne. Na końcu każdej sekcji znajdą Państwo konkretne wnioski operacyjne. Artykuł kierujemy do przedsiębiorców, działów prawnych i inspektorów ochrony danych, którzy chcą zrozumieć, jak UODO działa dziś – i jak będzie działał jutro.
Jak wygląda krajobraz egzekucyjny RODO w Polsce?
UODO działa na podstawie RODO jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia (UE) 2016/679. W Polsce nadzór ten jest scentralizowany – jeden organ, bez regionalnych odpowiedników. To odróżnia Polskę od Niemiec, gdzie funkcjonuje szesnaście landowych organów nadzorczych. Centralizacja ma skutek praktyczny: decyzje UODO kształtują jednolity standard dla całego rynku.
W latach 2023–2025 UODO przeprowadziło kilkadziesiąt postępowań zakończonych decyzjami o nałożeniu kar. Sektor finansowy i ubezpieczeniowy odpowiada za znaczną część nałożonych sankcji. Ochrona zdrowia i administracja publiczna to kolejne obszary priorytetowe. W praktyce – wiele firm o tym zapomina – UODO może wszcząć postępowanie nie tylko na skutek skargi osoby fizycznej, ale też z własnej inicjatywy.
Trzy główne instrumenty egzekucji to: decyzja nakazowa (zobowiązująca do działania), decyzja o karze pieniężnej oraz upomnienie. Upomnienie brzmi łagodnie, ale poprzedza często właściwą karę przy kolejnym naruszeniu. Czas postępowania wynosi zazwyczaj od 6 do 18 miesięcy – choć w sprawach skomplikowanych przekracza dwa lata. Odwołanie od decyzji UODO kieruje się do Wojewódzkiego Sądu Administracyjnego, a kasacja – do Naczelnego Sądu Administracyjnego (NSA).
Jednym z wyraźnych trendów jest wzrost liczby postępowań dotyczących naruszeń bezpieczeństwa danych (ang. data breach). Administrator ma 72 godziny od stwierdzenia naruszenia na zgłoszenie go do UODO. Przekroczenie tego terminu skutkuje odrębnym naruszeniem – niezależnym od samego incydentu. To podwójne ryzyko, które często jest niedoceniane przez organizacje bez wdrożonej procedury reagowania na incydenty.
Dla porównania: regulacje MiCA dotyczące kryptoaktywów w Polsce pokazują podobny trend – unijne rozporządzenia są coraz intensywniej egzekwowane przez krajowe organy nadzoru, a polskie firmy nie mogą liczyć na pobłażliwość wynikającą z „nowości" przepisów.
Jakie naruszenia RODO najczęściej kończą się karą UODO?
Analiza decyzji UODO z lat 2022–2025 wskazuje pięć kategorii naruszeń, które dominują w postępowaniach zakończonych karą pieniężną. Każda z nich odpowiada konkretnemu obowiązkowi wynikającemu z RODO. Znajomość tych kategorii pozwala ocenić ryzyko własnej organizacji bez czekania na kontrolę.
Pierwsza kategoria to brak lub nieadekwatność rejestru czynności przetwarzania (art. 30 RODO). To obowiązek pozornie prosty – w praktyce firmy prowadzą rejestry nieaktualne, niekompletne lub przygotowane przez zewnętrznego konsultanta bez późniejszej aktualizacji. UODO weryfikuje rejestr jako punkt wyjścia każdej kontroli. Brak aktualnego rejestru sygnalizuje organowi, że organizacja nie zarządza przetwarzaniem świadomie.
Druga kategoria – brak lub wadliwa podstawa prawna przetwarzania. Szczególnie dotyczy to marketingu bezpośredniego, profilowania oraz udostępniania danych podmiotom trzecim. Zgoda musi być dobrowolna, konkretna, świadoma i jednoznaczna. Wiele firm stosuje domyślnie zaznaczone checkboxy lub łączy zgodę na przetwarzanie z akceptacją regulaminu – oba rozwiązania UODO kwestionuje.
Trzecia kategoria to naruszenia bezpieczeństwa danych i ich nieterminowe zgłaszanie. Firma z branży e-commerce z Wielkopolski jesienią 2024 roku zapłaciła karę za niezgłoszenie wycieku danych klientów w terminie 72 godzin – mimo że sama skala naruszenia była ograniczona. Czwarta kategoria obejmuje brak realizacji praw osób, których dane dotyczą – przede wszystkim prawa dostępu (art. 15 RODO) i prawa do usunięcia danych. Piąta – nieprawidłowości przy transferach danych do państw trzecich, szczególnie do USA bez aktualnego mechanizmu transfer impact assessment.
- Brak aktualnego rejestru czynności przetwarzania (art. 30 RODO)
- Wadliwa lub nieistniejąca podstawa prawna przetwarzania
- Nieterminowe zgłoszenie naruszenia bezpieczeństwa (72 godziny)
- Niezrealizowanie praw osób, których dane dotyczą
- Nieprawidłowy transfer danych do państw trzecich
Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie audytu wewnętrznego przed kontrolą UODO niż reagowanie po wszczęciu postępowania. Audyt prewencyjny trwa zazwyczaj 4–6 tygodni i kosztuje wielokrotnie mniej niż kara oraz koszty postępowania.
Konkretna sytuacja Państwa firmy może wiązać się z naruszeniami w kilku kategoriach jednocześnie. Każde niezidentyfikowane uchybienie zwiększa ryzyko, że decyzja UODO będzie nieodwracalna w skutkach finansowych i reputacyjnych.
Jeśli Państwa spółka przetwarza dane klientów lub pracowników i nie przeprowadziła audytu RODO w ciągu ostatnich 18 miesięcy – przeprowadzimy przegląd dokumentacji, ocenę podstaw prawnych i plan naprawczy: info@kordeckipartners.com.
Jak AI Act i DORA zmieniają pole egzekucji ochrony danych?
Rozporządzenie (UE) 2024/1689 – czyli AI Act – weszło w życie 1 sierpnia 2024 roku. Przepisy dotyczące systemów wysokiego ryzyka stosuje się od sierpnia 2026 roku. Jednak już teraz zmienia ono logikę oceny zgodności dla firm stosujących sztuczną inteligencję. Systemy AI używane do rekrutacji, scoringu kredytowego i biometrii to systemy wysokiego ryzyka wymagające oceny zgodności. Każdy taki system przetwarza dane osobowe – co automatycznie aktywuje RODO obok AI Act.
W praktyce oznacza to podwójną ekspozycję regulacyjną. UODO może prowadzić postępowanie na podstawie RODO, a równolegle – po wdrożeniu krajowych przepisów wykonawczych do AI Act – organ nadzoru ds. AI może wszcząć odrębną procedurę. Polska nie wyznaczyła jeszcze docelowego organu nadzoru ds. AI. To niepewność, którą firmy powinny uwzględnić w planowaniu zgodności już teraz.
Rozporządzenie (UE) 2022/2554 – DORA – obowiązuje od 17 stycznia 2025 roku. Dotyczy podmiotów finansowych: banków, firm inwestycyjnych, ubezpieczycieli i dostawców usług ICT dla sektora finansowego. DORA nakłada obowiązek zarządzania ryzykiem ICT i raportowania incydentów do KNF. Incydent ICT często jest jednocześnie naruszeniem bezpieczeństwa danych w rozumieniu RODO. Obowiązek zgłoszenia do KNF (na podstawie DORA) i do UODO (na podstawie RODO) biegnie równolegle – z różnymi terminami i formularzami.
Firma fintech z Krakowa wiosną 2025 roku stanęła przed dokładnie taką sytuacją: incydent ransomware wymagał jednoczesnego raportowania do trzech organów. Brak skoordynowanej procedury spowodował przekroczenie terminu zgłoszenia do UODO – co przełożyło się na wszczęcie odrębnego postępowania.
Dla firm działających transgranicznie – szczególnie w sektorze finansowym i technologicznym – nakładanie się regulacji RODO, AI Act i DORA tworzy złożone pole zgodności. Więcej o tym, jak regulacje unijne wpływają na transgraniczne struktury korporacyjne, piszemy w analizie dotyczącej transgranicznego połączenia spółek i dyrektywy UE o mobilności.
Jakie są pułapki praktyczne i jak się przed nimi chronić?
Złożoność przepisów RODO nie polega na trudności ich zrozumienia – polega na trudności ich utrzymania w czasie. Dokumentacja zgodna z RODO w dniu wdrożenia może stać się niezgodna po 12 miesiącach bez aktualizacji. UODO ocenia stan na dzień kontroli – nie na dzień wdrożenia programu compliance.
Pierwsza pułapka to fałszywe poczucie bezpieczeństwa po jednorazowym wdrożeniu RODO. Wiele firm przeprowadziło projekty compliance w 2018 roku i nie wróciło do dokumentacji od tamtej pory. Tymczasem zmieniły się procesy przetwarzania, dostawcy, systemy IT i samo orzecznictwo. UODO w postępowaniach z 2024 i 2025 roku wielokrotnie wskazywał na brak przeglądów dokumentacji jako okoliczność obciążającą.
Druga pułapka dotyczy umów powierzenia przetwarzania (art. 28 RODO). Firma korzysta z usług chmurowych, narzędzi marketingowych, systemów HR – każdy z tych dostawców przetwarza dane osobowe w imieniu administratora. Umowa powierzenia musi spełniać wymagania art. 28 ust. 3 RODO. Brak umowy lub umowa niespełniająca wymagań to samodzielna podstawa do kary – niezależnie od tego, czy doszło do naruszenia danych.
Trzecia pułapka: brak Inspektora Ochrony Danych (IOD) tam, gdzie jest wymagany. Art. 37 RODO nakłada obowiązek wyznaczenia IOD na organy publiczne, podmioty przetwarzające dane na dużą skalę oraz podmioty przetwarzające szczególne kategorie danych. UODO weryfikuje ten obowiązek w każdym postępowaniu dotyczącym podmiotów z tych kategorii. Kara za brak IOD może wynosić do 10 000 000 EUR.
Czwarta pułapka to niewystarczające środki techniczne i organizacyjne (art. 32 RODO). Szyfrowanie danych w spoczynku, pseudonimizacja, kontrola dostępu, testy penetracyjne – to nie sugestie, lecz obowiązki. UODO w kilku decyzjach z 2024 roku zakwestionował brak dwuskładnikowego uwierzytelnienia w systemach przetwarzających dane wrażliwe.
Co przygotować, zanim UODO zapuka do drzwi:
- Aktualny rejestr czynności przetwarzania z datą ostatniej weryfikacji
- Komplet umów powierzenia przetwarzania z wszystkimi dostawcami
- Procedura reagowania na naruszenia bezpieczeństwa (z testem 72-godzinnym)
- Dokumentacja ocen skutków dla ochrony danych (DPIA) dla procesów wysokiego ryzyka
- Dowód wyznaczenia i zgłoszenia IOD (jeśli obowiązek dotyczy organizacji)
Jak wygląda egzekucja RODO w kontekście transgranicznym i znaku towarowego?
Dla firm działających w kilku państwach UE zasada „wiodącego organu nadzorczego" (ang. lead supervisory authority, LSA) z art. 56 RODO oznacza, że organ właściwy wyznacza się według lokalizacji głównej jednostki organizacyjnej. Jeśli polska spółka przetwarza dane z kilku krajów, ale jej główna siedziba jest w Polsce – UODO może być organem wiodącym. To ważna kwestia dla firm rozważających strukturę holdingową.
W praktyce mechanizm LSA działa wolno. Procedura współpracy i spójności między organami nadzorczymi (art. 60–66 RODO) może trwać ponad rok. W tym czasie administrator musi współpracować z organem wiodącym i organami, których obywatele są dotknięci naruszeniem. Dla polskich firm obsługujących klientów z Niemiec, Francji czy Czech to realne ryzyko równoległych postępowań.
Zagadnienie znaku towarowego pojawia się w kontekście RODO w dwóch sytuacjach. Po pierwsze – firmy prowadzące kampanie oparte na danych (profilowanie, reklama behawioralna) nierzadko przetwarzają dane osobowe w ramach ochrony własności intelektualnej i zarządzania marką. Dane klientów zbierane przy rejestracji produktu objętego znakiem towarowym muszą spełniać wymogi RODO. Po drugie – naruszenie marki w internecie często wiąże się z przetwarzaniem danych osobowych przez naruszającego, co może wymagać wniosku do UODO o nakazanie ujawnienia danych.
Zagraniczny inwestor wchodzący na rynek polski – np. z Niemiec lub USA – powinien uwzględnić, że polska kancelaria IP Warszawa obsługująca zarówno rejestrację znaku towarowego, jak i program RODO, oferuje koordynację, której nie zapewni kilka wyspecjalizowanych podmiotów działających niezależnie. Regulacja wyprzedza rynek – i firmy, które integrują zgodność z RODO z ochroną IP, budują trwalszą pozycję.
Warto też pamiętać, że transfer danych do USA po wyroku Schrems II wymaga aktualnego mechanizmu prawnego. Data Privacy Framework obowiązuje od lipca 2023 roku, ale jego trwałość jest przedmiotem dyskusji politycznej. Firmy transferujące dane do USA powinny mieć przygotowane standardowe klauzule umowne (SCC) jako plan awaryjny.
Często zadawane pytania
P: Jak długo trwa postępowanie UODO i kiedy zapada decyzja o karze?
O: Standardowe postępowanie administracyjne przed UODO trwa od 6 do 18 miesięcy, licząc od wszczęcia. Sprawy złożone – dotyczące dużych administratorów lub naruszeń systemowych – mogą przekroczyć 24 miesiące. Decyzja o karze staje się ostateczna po upływie terminu do wniesienia skargi do Wojewódzkiego Sądu Administracyjnego (30 dni od doręczenia). Wniesienie skargi nie wstrzymuje automatycznie wykonania decyzji – do jej wstrzymania potrzebne jest odrębne postanowienie sądu.
P: Czy małe firmy i jednoosobowe działalności gospodarcze podlegają karom RODO?
O: Tak – Rozporządzenie (UE) 2016/679 nie przewiduje generalnego wyłączenia dla małych podmiotów. UODO wielokrotnie nakładał kary na podmioty zatrudniające kilku pracowników. Skala kary jest co prawda niższa niż dla korporacji, ale samo wszczęcie postępowania i koszty obsługi prawnej mogą być dotkliwe dla małej firmy. Powszechnym błędem jest przekonanie, że UODO interesuje się wyłącznie dużymi administratorami – to nieprawda, szczególnie gdy naruszenie dotyczy danych wrażliwych lub dużej liczby osób.
P: Co to jest DPIA i kiedy jest obowiązkowa?
O: DPIA (Data Protection Impact Assessment) to ocena skutków dla ochrony danych, wymagana na podstawie artykułu 35 Rozporządzenia (UE) 2016/679, gdy przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Obowiązek ten dotyczy przede wszystkim: systematycznej i rozległej oceny czynników osobowych (w tym profilowania), przetwarzania na dużą skalę danych szczególnych kategorii oraz systematycznego monitorowania miejsc publicznie dostępnych. UODO opublikował listę rodzajów operacji wymagających DPIA – jej zignorowanie to jeden z najczęstszych błędów compliance w Polsce.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, zgodności z RODO, wdrożeń AI Act i DORA oraz ochrony własności intelektualnej. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Konkretna sytuacja Państwa firmy wymaga oceny, która uwzględnia aktualny stan dokumentacji, skalę przetwarzania i profil ryzyka. Brak działania przed kontrolą UODO może zamknąć drogę do skutecznej obrony w postępowaniu administracyjnym.
Jeśli Państwa spółka przetwarza dane osobowe klientów lub pracowników i chce ocenić ryzyko egzekucyjne UODO – przeprowadzimy audyt zgodności z RODO, przegląd umów powierzenia i rekomendacje dla IOD: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.