Zgodnie z naszą tradycją na początku roku na naszym blogu publikujemy artykuł zawierający podsumowanie wydanych przez Prezesa UODO w ubiegłym roku decyzji administracyjnych nakładających kary pieniężne za naruszenie przepisów RODO.
W ubiegłym roku polski organ nadzorczy wydał 15 decyzji nakładających kary pieniężne na 18 podmiotów, których łączna suma wyniosła aż 64 295 171,25 zł (informacja na dzień publikacji artykułu). Dla porównania:
- W 2024 roku Prezes UODO wydał 20 decyzji nakładających administracyjne kary pieniężne, których łączna suma wynosiła ponad 13,6 mln zł;
- W 2023 roku Prezes UODO wydał 30 decyzji nakładających administracyjne kary pieniężne, których łączna suma wynosiła ponad 1,2 mln zł;
- W 2022 roku Prezes UODO wydał 13 decyzji nakładających administracyjne kary pieniężne, których łączna suma wynosiła ponad 6,1 mln zł;
- W 2021 roku Prezes UODO wydał 14 decyzji nakładających administracyjne kary pieniężne, których łączna suma wynosiła ponad 2,2 mln zł;
- W 2020 roku Prezes UODO wydał 10 decyzji nakładających administracyjne kary pieniężne, których łączna suma wynosiła prawie 3,5 mln zł;
- W 2019 roku Prezes UODO wydał 8 decyzji nakładających administracyjne kary pieniężne, których łączna suma wynosiła ponad 4 mln zł.
Do tej pory łączna suma kar nałożonych przez Prezesa UODO wynosi około 94 mln zł, a decyzji było 110.
Najwyższa administracyjna kara pieniężna nałożona przez Prezesa UODO w 2025 r. wynosiła 27 124 816 zł. Powodem jej nałożenia było przetwarzanie bez podstawy prawnej danych około 30 mln obywateli Polski z bazy PESEL przy organizacji tzw. wyborów kopertowych w kwietniu i maju 2020 r. Natomiast najniższa – to kara o wysokości 5 000 zł nałożona z powodu zbyt późnego zgłoszenia naruszenia ochrony danych osobowych do Prezesa UODO (z przekroczeniem maksymalnego terminu 72 godzin od jego wykrycia).
Statystyki dotyczące kar pieniężnych nałożonych przez UODO w 2025 roku
Z 15 decyzji Prezesa UODO o ukaraniu administratorów danych osobowych:
- 6 dotyczyło podmiotów publicznych;
- 9 dotyczyło sektora prywatnego;
- 2 dotyczyły osób fizycznych prowadzących działalność gospodarczą;
- 6 zostało wydanych wskutek wpłynięcia skarg;
- 8 wydanych zostało w związku ze zgłoszeniem naruszenia ochrony danych osobowych;
- aż 8 nałożonych kar było rezultatem niewdrożenia wystarczających środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzanych danych.
Należy mieć na uwadze, że jedną decyzją Prezes UODO może ukarać więcej niż jeden podmiot.
Poniżej prezentujemy zestawienie wszystkich nałożonych w ubiegłym roku kar pieniężnych za naruszenia przepisów RODO.
1) Centrum Medyczne
Wysokość kary: 687 534,75 PLN i 458 356,50 PLN
Decyzja Prezesa UODO z 17 stycznia 2025 r.
Pierwszym podmiotem ukaranym w 2025 r. było Centrum Medyczne X. Powodem ukarania było zamontowanie urządzeń rejestrujących obraz na 2 salach oddziału neonatologii oraz niezastosowanie środków technicznych i organizacyjnych odpowiadających ryzyku dla danych przetwarzanych na kartach pamięci znajdujących się w urządzeniach monitorujących.
W lipcu 2023 roku Centrum Medyczne zgłosiło do Prezesa UODO naruszenie ochrony danych osobowych. Polegało ono (jak wskazano w decyzji) na „zagubieniu bądź kradzieży kart pamięci z 2 urządzeń monitoringu wizyjnego, które rejestrowały obraz w 2 salach Oddziału”. Niemal w tym samym czasie na jednym z portali internetowych opublikowany został artykuł dotyczący praktyk Centrum Medycznego w związku ze stosowanym przez ten podmiot systemem monitoringu.
Z zacytowanej w decyzji Prezesa UODO treści artykułu wynika, że dziennikarze pozyskali następujące informacje od pracownika placówki: „(…) na oddziale (…), na którym pracuję, dyrekcja zamontowała >>w routerze oraz w zegarkach<< ukryte kamery. Miały mikrofon, co jest zabronione. O ich instalacji nie byliśmy w żaden sposób poinformowani. (…) Na kamerach zostały zarejestrowane nasze prywatne rozmowy oraz z pewnością wizerunki pacjentów – noworodków i wcześniaków, o czym ich rodzice nie mają pojęcia”.
Prezes UODO w związku z otrzymaniem zgłoszenia oraz powzięciem informacji z artykułu prasowego wszczął postępowanie wyjaśniające. W jego wyniku ustalono, że wprowadzony przez Centrum Medyczne w okresie od 1 do 23 lipca 2023 roku na oddziale neonatologii monitoring rejestrował obraz ukazujący zarówno matki oraz noworodki podczas dokonywania intymnych czynności, między innymi takich jak karmienie dzieci (również piersią) czy ich pielęgnacja. Zgodnie z wyjaśnieniami przekazanymi przez placówkę, dzieci, których wizerunek został utrwalony na nagraniach, nie wymagały już intensywnej terapii, a więc stan ich zdrowia nie był zagrożony. Po przeanalizowaniu podstaw prawnych Prezes UODO stwierdził, że wdrożony przez Centrum Medyczne monitoring wizyjny został wprowadzony niezgodnie z obowiązującymi przepisami, a ponadto miał charakter niejawny. O prowadzonej rejestracji obrazu nie zostali poinformowani pacjenci ani pracownicy placówki. W związku z opisanymi naruszeniami przepisów RODO, Prezes UODO nałożył na Centrum Medyczne karę w wysokości 687 534,75 zł.
Niezależnie od powyższego ustalono, że karty pamięci, na których znajdowały się nagrania nie zostały zaszyfrowane, a wykorzystane do rejestracji obrazu urządzenia nie zostały skonfigurowane w sposób odpowiadający wymaganiom obowiązującym w placówce. Dodatkowo (jak wynika z decyzji) przekazana przez Centrum Medyczne analiza ryzyka „nie określała środków bezpieczeństwa, mających na celu zmitygowanie ryzyk związanych z prowadzonym przez Placówkę monitoringiem wizyjnym”. Tym samym, Prezes UODO po stwierdzeniu naruszenia przepisów związanych z brakiem wdrożenia odpowiednich środków bezpieczeństwa nałożył na Centrum Medyczne karę w wysokości 458 356,50 zł.
2) Radio X
Wysokość kary: 56 824,00 PLN
Decyzja Prezesa UODO z 6 marca 2025 r.
Wydana decyzja była konsekwencją naruszeń przepisów o ochronie danych osobowych, do których doszło przy publikacji materiału prasowego z 2022 r. W opublikowanym materiale ujawniono informacje dotyczące przestępstwa molestowania seksualnego. Radio wskazało, że ofiarą był syn posłanki. Sposób przedstawienia sprawy umożliwiał identyfikację tej osoby, co stanowiło ingerencję w jej prywatność. Po ujawnieniu tych informacji ofiara popełniła samobójstwo, a sprawa stała się również przedmiotem postępowania prowadzonego przez prokuraturę.
Po zapoznaniu się z doniesieniami medialnymi Prezes UODO wszczął kontrolę w Radiu. W jej toku stwierdzono liczne nieprawidłowości organizacyjne i proceduralne. Administrator danych nie przeprowadził analizy ryzyka dla operacji przetwarzania danych osobowych związanych z działalnością redakcyjną, mimo że przetwarzanie to dotyczyło szczególnie wrażliwych informacji. Dodatkowo, choć w Radiu istniała dokumentacja z zakresu ochrony danych osobowych, w praktyce nie była ona stosowana.
Organ nadzorczy wskazał także na brak odpowiednich środków technicznych i organizacyjnych. Radio nie opracowało jasnych zasad postępowania z materiałami prasowymi zawierającymi dane osobowe, w tym procedur weryfikacji treści przed publikacją. Ponadto nośniki zawierające dane osobowe, wykorzystywane poza siedzibą administratora, nie były zabezpieczone poprzez szyfrowanie.
W uzasadnieniu decyzji Prezes UODO przypomniał również o obowiązku wynikającym z Prawa prasowego, zgodnie z którym publikowanie informacji z prywatnej sfery życia jest co do zasady niedopuszczalne bez zgody osoby, której dotyczą, chyba że informacje te pozostają w bezpośrednim związku z jej działalnością publiczną.
Poza nałożeniem kary pieniężnej organ zobowiązał Radio do usunięcia stwierdzonych nieprawidłowości i wdrożenia odpowiednich środków organizacyjnych oraz technicznych w terminie 60 dni. Decyzja ta stanowi wyraźny sygnał, że także działalność medialna wymaga realnego, a nie wyłącznie formalnego, stosowania zasad ochrony danych osobowych.
3) Minister Cyfryzacji i Poczta Polska S.A.
Wysokość kary: 100 000,00 PLN i 27 124 816,00 PLN
Decyzja Prezesa UODO z 17 marca 2025 r.
Prezes UODO nałożył dwie administracyjne kary pieniężne w wysokości 100 000 zł oraz 27 124 816 zł (!) odpowiednio na Ministra Cyfryzacji oraz Pocztę Polską S.A. Powodem nałożenia kar było przetwarzanie bez podstawy prawnej danych około 30 mln obywateli Polski z bazy PESEL przy organizacji tzw. wyborów kopertowych w kwietniu i maju 2020 r.
Wówczas Prezes Rady Ministrów polecił Poczcie Polskiej S.A. realizację niezbędnych czynności zmierzających do przeprowadzenia wyborów Prezydenta Rzeczypospolitej Polskiej w trybie korespondencyjnym. Następnie Minister Cyfryzacji udostępnił Poczcie Polskiej (na złożony przez nią wniosek) dane osobowe zgromadzone w rejestrze PESEL w zakresie: „numeru PESEL, imion, nazwisk, ostatniego aktualnego adresu zameldowania na pobyt stały (a gdy go brak: ostatniego nieaktualnego), adresu zameldowania na pobyt czasowy (wraz z deklarowanym terminem tego pobytu), a także aktualnie zarejestrowanego wyjazdu czasowego poza granice kraju wszystkich osób pełnoletnich [do] 10 maja 2020 r., które w dniu wygenerowania danych posiadały w ww. rejestrze zarejestrowane obywatelstwo polskie, figurowały jako osoby żyjące i dla których wskazanym krajem zamieszkania była Polska”. Kryteria powyższe spełniało około 30 mln osób.
Działania te spotkały się z reakcją Rzecznika Praw Obywatelskich, który złożył do Wojewódzkiego Sądu Administracyjnego w Warszawie dwie skargi. Pierwsza dotyczyła polecenia Poczcie Polskiej realizacji działań zmierzających do przeprowadzenia wyborów w trybie korespondencyjnym. Druga natomiast dotyczyła udostępnienia Poczcie Polskiej z rejestru PESEL danych osobowych obywateli. Sąd po przeprowadzeniu postępowania wydał dwa prawomocne wyroki (jeden został utrzymany w mocy przez Naczelny Sąd Administracyjny). Wynika z nich, że w trakcie organizacji wyborów kopertowych doszło do bezprawnego udostępnienia przez Ministra Cyfryzacji danych osobowych 30 mln dorosłych polskich obywateli Poczcie Polskiej oraz przetwarzania przez tę Spółkę tychże danych bez podstawy prawnej.
W następstwie udostępnienia powyższych danych osobowych do Prezesa UODO wpłynęło 178 skarg na nieprawidłowości w procesie przetwarzania danych osobowych – zarówno przez Ministra Cyfryzacji, jak i Pocztę Polską. Biorąc pod uwagę tak znaczącą ilość skarg, Prezes UODO wszczął z urzędu postępowanie administracyjne dotyczące działań Ministra Cyfryzacji i Poczty Polskiej. Pomocne w ustaleniu stanu faktycznego były dla organu nadzorczego wyroki wydane przez WSA w Warszawie. Prezes UODO uznał udostępnienie danych z rejestru PESEL za bezpodstawne. W dacie przekazania danych nie istniał przepis prawa powszechnie obowiązującego, który uprawniałby Ministra Cyfryzacji do ich udostępnienia Poczcie Polskiej w celu przygotowania wyborów. Organ wskazał, że decyzja Prezesa Rady Ministrów nie mogła stanowić samodzielnej podstawy przetwarzania danych osobowych w rozumieniu art. 6 ust. 1 RODO. W konsekwencji zarówno udostępnienie danych przez Ministra, jak i ich dalsze przetwarzanie przez Pocztę Polską odbywało się z naruszeniem zasady legalności.
Kara nałożona na Ministra Cyfryzacji to maksymalna kara finansowa, jaka jest przewidziana ustawowo dla podmiotów sektora publicznego w Polsce. W przypadku kary dla Poczty Polskiej organ wydał najwyższą jak dotąd karę za naruszenie przepisów RODO (do tej pory najwyższa kara wynosiła prawie 5 mln. zł i została nałożona na Fortum Marketing and Sales Polska S.A.).
4) Komendant Główny Policji
Wysokość kary: 75 000,00 PLN
Decyzja Prezesa UODO z 19 marca 2025 r.
Powodem ukarania Komendanta Głównego Policji było ujawnienie na konferencji prasowej danych osobowych (w tym informacji nt. zdrowia) kobiety, która dokonała aborcji farmakologicznej. Sprawa dotyczy incydentu z 2023 r. Media ujawniły wtedy, że kobieta kontaktowała się z numerem 112 i zgłaszała, że ma kłopoty psychiczne, a wcześniej usunęła ciążę metodą farmakologiczną. Następnie trafiła na pogotowie, gdzie wkrótce pojawili się funkcjonariusze policji. Zabrali jej laptop i telefon komórkowy, kazali rozebrać do naga i chcieli być obecni podczas badania wykonywanego na pogotowiu.
Działania policjantów wzbudziły zainteresowanie opinii publicznej. Z tego powodu Komendant Główny Policji zwołał konferencję prasową. Tłumacząc działania podwładnych ujawnił informacje dotyczące zdrowia kobiety oraz inne dane na jej temat (w tym m.in. informacje o leczeniu psychiatrycznym, które odbyła). Choć nie wskazano imienia i nazwiska kobiety, to w kontekście wcześniejszych doniesień medialnych oraz zakresu ujawnionych informacji możliwe było zidentyfikowanie tej osoby, co zdaniem Prezesa UODO – stanowiło naruszenie przepisów o ochronie danych osobowych.
W związku z incydentem kobieta złożyła skargę na działanie Komendanta Głównego Policji do Prezesa UODO. Organ nadzorczy po przeprowadzeniu postępowania stwierdził, że funkcjonariusz publiczny nie miał żadnych podstaw prawnych do ujawnienia danych skarżącej. Jak podkreślono w uzasadnieniu decyzji „Stwierdzone w niniejszej sprawie naruszenie przepisów RODO ma znaczną wagę i poważny charakter, ponieważ doszło do publicznego udostępnienia bez podstawy prawnej przez Komendanta danych osobowych osoby, której Policja miała udzielić pomocy. Komendant, jako organ właściwy w sprawach ochrony bezpieczeństwa ludzi oraz utrzymania bezpieczeństwa i porządku publicznego i osoba stojąca na czele formacji przeznaczonej do realizacji tych zadań, jest podmiotem, który powinien szczególnie dbać o dobro takich osób i bezpieczeństwo ich danych osobowych”.
5) Pan G.M. prowadzący Zakład Pogrzebowy
Wysokość kary: 29 043,00 PLN i 4 630 PLN
Decyzja Prezesa UODO z 1 kwietnia 2025 r.
Ukaranie administratora było konsekwencją niewdrożenia odpowiednich środków organizacyjnych i technicznych w celu ochrony danych osobowych zawartych w dokumentach związanych z realizacją usług pogrzebowych. W wyniku tych zaniedbań doszło do naruszenia ochrony danych osobowych, a administrator dodatkowo nie dopełnił obowiązku zgłoszenia naruszenia do organu nadzorczego.
W listopadzie 2022 r. Policja znalazła na poboczu drogi 10 pudeł z dokumentacją papierową należącą do przedsiębiorcy prowadzącego Zakład Pogrzebowy. Wśród nich znajdowały się różnego rodzaju dokumenty dotyczące pochówku, w tym 82 upoważnienia zawierające dane osobowe członków rodzin zmarłych, takie jak imiona i nazwiska oraz inne dane identyfikacyjne. W toku wyjaśnień ustalono, że dokumenty były przewożone przez pracownika administratora na tzw. odkrytej pace samochodu. W trakcie transportu pudła spadły z pojazdu, a ponieważ pracownik nie dokonał ich przeliczenia, nie zorientował się, że część dokumentów została utracona.
W toku postępowania prowadzonego przez Prezesa UODO ustalono, że analiza ryzyka nie została przeprowadzona w sposób prawidłowy. Ponadto „nie zawierała opisu zagrożeń związanych z bezpieczeństwem przetwarzanych danych osobowych, oceny prawdopodobieństwa wystąpienia zdarzenia skutkującego naruszeniem ochrony danych osobowych ani też skutków wystąpienia zagrożenia dla osób fizycznych, których dane dotyczą”.
W toku postępowania przed Prezesem UODO wyszło na jaw, że administrator danych nie przewidział ryzyka i środków bezpieczeństwa, które powinien zastosować podczas przewożenia dokumentacji papierowej zawierającej dane osobowe. Zdaniem UODO „Gdyby analiza ryzyka była zrobiona poprawnie, do incydentu mogłoby nie dojść. Gdyby bowiem administrator przeprowadził taką analizę, a ona uwzględniałaby zagrożenia związane z transportem dokumentacji, to mógłby wdrożyć procedurę dotyczącą transportu i cyklicznie sprawdzać, czy jest przestrzegana. To minimalizowałoby ryzyko naruszenia ochrony danych osobowych. Oczywiście i wtedy mogłoby dojść do incydentu. Niemniej w takiej sytuacji administrator mógłby wykazać, że przestrzegał RODO”.
6) Gminny Ośrodek Pomocy Społecznej i Wójt Gminy
Wysokość kary: 5 000,00 PLN i 10 000,00 PLN
Decyzja Prezesa UODO z 3 czerwca 2025 r.
W 2022 r. w Gminnym Ośrodku Pomocy Społecznej doszło do incydentu bezpieczeństwa polegającego na ataku ransomware, w wyniku którego czasowo utracono dostęp do danych osobowych około 1500 osób. Zakres danych był szeroki i obejmował szczegółowe informacje dotyczące beneficjentów pomocy społecznej. Incydent został zgłoszony do Urzędu Ochrony Danych Osobowych, jednak zgłoszenie nastąpiło z opóźnieniem.
Postępowanie wykazało, że zarówno GOPS jako administrator danych, jak i Wójt Gminy jako podmiot przetwarzający dane nie zapewnili odpowiednich środków technicznych i organizacyjnych, mimo że w analizie ryzyka wskazano możliwość wystąpienia ataku ransomware. Ryzyko to zostało jednak zbagatelizowane – wykorzystywano system operacyjny bez wsparcia producenta, a kopie zapasowe były wykonywane w sposób nieprawidłowy, na tym samym środowisku, które zostało zaszyfrowane w trakcie ataku. W konsekwencji kopie zapasowe nie spełniły swojej funkcji ochronnej, a dane musiały być odtwarzane z pomocą podmiotu zewnętrznego.
Dodatkowo Prezes UODO wskazał na brak regularnych kontroli ze strony administratora w zakresie sposobu przetwarzania danych przez podmiot przetwarzający. Gdyby GOPS realizował obowiązek nadzoru w sposób należyty, nieprawidłowości w zakresie zabezpieczeń mogłyby zostać wykryte i usunięte przed wystąpieniem incydentu. W efekcie Prezes UODO nałożył administracyjne kary pieniężne: 5 000 zł na GOPS oraz 10 000 zł na Wójta Gminy, podkreślając, że rzetelna analiza ryzyka oraz skuteczne procedury kontrolne mogły zapobiec naruszeniu.
7) Uniwersytecki Dziecięcy Szpital Kliniczny w Białymstoku
Wysokość kary: 66 500,00 PLN
Decyzja Prezesa UODO z 17 czerwca 2025 r.
Powodem ukarania Szpitala było niewdrożenie odpowiednich środków technicznych i organizacyjnych. Sprawa swój początek miała w maju 2020 r., kiedy Szpital dokonał zgłoszenia naruszenia ochrony danych osobowych. Polegało ono na utracie poufności danych około 2 000 osób, do której doszło w wyniku ataku ransomware.
W związku z otrzymanym zgłoszeniem Prezes UODO wszczął postępowanie i ustalił, że administrator nie przeprowadził rzetelnej analizy ryzyka. Po pierwsze, ocenę ryzyka wykonano z perspektywy interesów Szpitala jako organizacji, a nie z punktu widzenia ochrony praw i wolności osób, których dane są przetwarzane. Po drugie, nie wskazano konkretnych procesów przetwarzania danych ani nie powiązano ich z rzeczywistymi zagrożeniami i podatnościami, co uniemożliwiało rzetelną ocenę ryzyka. Po trzecie, zaproponowane środki zaradcze miały charakter ogólny i nie wynikały bezpośrednio z rozpoznanych zagrożeń, przez co nie zapewniały adekwatnego poziomu ochrony danych osobowych.
Wyjaśniając stosowane zabezpieczenia, administrator powoływał się na audyt przeprowadzony pod kątem zgodności z ustawą o Krajowym Systemie Cyberbezpieczeństwa. Według Prezesa UODO „(…) pomimo, że wymagania wynikające z przepisów dotyczących cyberbezpieczeństwa oraz ochrony danych osobowych mogą częściowo się pokrywać (np. w zakresie szeroko rozumianego bezpieczeństwa systemów informatycznych), stanowią one odrębne obszary regulacyjne”. Z uwagi na to przeprowadzony przez administratora audyt nie może być traktowany jako wystarczające potwierdzenie spełnienia wymogów RODO.
Dodatkowo szpital nie wdrożył skutecznych procedur testowania i zabezpieczania kopii zapasowych, ani nie udokumentował regularnych testów skuteczności środków bezpieczeństwa.
8) M. Sp. z o.o. i C Sp. z o.o.
Wysokość kary: 16 932 657,00 PLN i 183 858,00 PLN
Decyzja Prezesa UODO z 23 czerwca 2025 r.
Prezes UODO nałożył na M. Sp. z o.o. administracyjne kary pieniężne w łącznej wysokości 16 932 657 zł oraz udzielił upomnienia za naruszenie przepisów RODO. W tej samej sprawie kary nałożono również na podmiot przetwarzający – C. Sp. z o.o. – w łącznej kwocie 183 858 zł.
Sprawa dotyczyła naruszenia ochrony danych osobowych zgłoszonego w lipcu 2020 r., polegającego na udostępnieniu w publicznym katalogu pliku zawierającego dane pracowników oraz franczyzobiorców M. Sp. z o.o. Zakres ujawnionych danych był bardzo szeroki i obejmował m.in. imiona i nazwiska, numery PESEL lub paszportów, dane dotyczące czasu pracy, stanowisk oraz rodzaju wykonywanej pracy. Za udostępnienie pliku odpowiadał podmiot przetwarzający świadczący usługi zarządzania grafikami pracy.
W toku postępowania Prezes UODO ustalił, że administrator przed powierzeniem przetwarzania danych nie przeprowadził analizy ryzyka, a podmiot przetwarzający nie wdrożył odpowiednich środków technicznych i organizacyjnych, co bezpośrednio przyczyniło się do naruszenia. Dodatkowo, mimo zawarcia umowy powierzenia przetwarzania danych osobowych przewidującej możliwość audytów i kontroli, administrator faktycznie nie realizował obowiązku nadzoru nad procesorem.
Organ nadzorczy wskazał także na dalsze naruszenia, w tym korzystanie przez procesora z usług kolejnego podmiotu bez zawarcia umowy dalszego powierzenia przetwarzania, a także na niewłaściwe włączenie inspektorów ochrony danych w te kwestie. Mimo ich formalnego wyznaczenia, nie byli oni angażowani we wszystkie sprawy dotyczące przetwarzania danych osobowych.
9) Pan A.Z. prowadzący Hotel
Wysokość kary: 18 941 PLN
Decyzja Prezesa UODO z 23 czerwca 2025 r.
Do UODO wpłynęła skarga pracownika hotelu, który zarzucił pracodawcy przetwarzanie jego danych biometrycznych bez podstawy prawnej.
W toku postępowania wyjaśniającego Prezes UODO wielokrotnie zwracał się do administratora o zajęcie stanowiska oraz przedstawienie wyjaśnień dotyczących zasad, celu i podstaw prawnych przetwarzania danych biometrycznych pracowników. Pomimo skutecznego doręczenia korespondencji, administrator nie udzielił żadnej odpowiedzi, czym uniemożliwił organowi nadzorczemu ocenę zgodności przetwarzania danych z przepisami RODO.
W kierowanej korespondencji Prezes UODO wskazał konsekwencje prawne braku współpracy z organem nadzorczym, w tym możliwość nałożenia administracyjnej kary pieniężnej. Mimo odebrania pisma z tą informacją administrator zignorował obowiązek udzielenia informacji i nie przedstawił żadnych wyjaśnień ani dokumentów.
W konsekwencji Prezes UODO wydał w dniu 23 czerwca 2025 r. decyzję administracyjną, w której nałożył na administratora karę pieniężną w wysokości 18 941 zł. Podstawą ukarania nie była bezpośrednio ocena legalności przetwarzania danych biometrycznych, lecz naruszenie obowiązku współpracy z organem nadzorczym, polegające na niezapewnieniu dostępu do danych osobowych oraz niedostarczeniu informacji niezbędnych do realizacji ustawowych zadań Prezesa UODO.
W uzasadnieniu decyzji podkreślono, że obowiązek współpracy z organem nadzorczym ma charakter fundamentalny i ciąży na każdym administratorze danych, niezależnie od wielkości podmiotu czy skali przetwarzania. Brak odpowiedzi na pisma organu nadzorczego uniemożliwia skuteczne sprawowanie nadzoru nad przestrzeganiem przepisów o ochronie danych osobowych i sam w sobie stanowi poważne naruszenie RODO, uzasadniające nałożenie kary administracyjnej.
10) ZOZ w Pyskowicach
Wysokość kary: 32 832,00 PLN
Decyzja Prezesa UODO z 4 lipca 2025 r.
Powodem ukarania ZOZ było nieprzeprowadzenie rzetelnej analizy ryzyka oraz niewdrożenie odpowiednich środków technicznych i organizacyjnych.
Sprawa miała swój początek w sierpniu 2021 r., kiedy to administrator zgłosił do Prezesa UODO naruszenie ochrony danych osobowych. Doszło do niego w wyniku kradzieży samochodu wykorzystywanego przez lekarza podczas realizacji wizyt domowych. W skradzionym pojeździe znajdowała się niezabezpieczona dokumentacja medyczna ośmiorga pacjentów, obejmująca m.in. imiona i nazwiska, daty urodzenia, adresy zamieszkania, numery PESEL oraz dane szczególnej kategorii dotyczące stanu zdrowia.
Postępowanie prowadzone przez organ nadzorczy wykazało, że administrator nie zidentyfikował zagrożeń związanych z transportem dokumentacji medycznej, takich jak ryzyko kradzieży, zgubienia lub nieuprawnionego dostępu, ani nie uwzględnił tych okoliczności w analizie ryzyka. W konsekwencji nie wdrożono adekwatnych środków technicznych i organizacyjnych, które mogłyby ograniczyć prawdopodobieństwo naruszenia lub zmniejszyć jego skutki. W szczególności zabrakło zabezpieczeń fizycznych dokumentacji przewożonej poza siedzibą administratora.
Ponadto organ nadzorczy ustalił, że obowiązujące u administratora procedury ochrony danych miały charakter ogólny oraz nie odnosiły się wprost do przetwarzania danych osobowych w ramach wizyt domowych. Procedury te nie traktowały prywatnych samochodów personelu medycznego jako obszaru przetwarzania danych osobowych i nie zawierały konkretnych zasad dotyczących transportu, przechowywania ani zabezpieczania dokumentacji medycznej poza placówką, co w praktyce uniemożliwiało zapewnienie odpowiedniego poziomu ochrony danych pacjentów.
11) ING Bank Śląski
Wysokość kary: 18 416 400 PLN
Decyzja Prezesa UODO z 23 lipca 2025 r.
Powodem ukarania banku było nadmierne skanowanie dowodów tożsamości klientów i potencjalnych klientów (nawet w sytuacjach takich jak reklamacje) bez uprzedniej analizy konieczności takiego działania.
Skanowanie dowodów tożsamości przez banki i inne instytucje obowiązane jest legalne wyłącznie wtedy, gdy wynika z rzeczywistych obowiązków określonych w ustawie AML (czyli ustawie o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu). Warunkiem jest przeprowadzenie indywidualnej oceny ryzyka prania pieniędzy i finansowania terroryzmu, a następnie zastosowanie odpowiednich środków bezpieczeństwa finansowego. Dopiero w sytuacji, gdy instytucja wykaże, że do przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu konieczne jest sporządzanie kopii dokumentów tożsamości, może żądać ich przekazania w celu zeskanowania. Według Prezesa UODO działanie administratora stanowiło naruszenie podstawowych zasad RODO, w tym zasady legalności, celowości i minimalizacji danych.
Skala naruszeń była znacząca – bank miał w 2020 roku blisko 4,72 miliona klientów, w tym ponad 4,2 miliona klientów indywidualnych i niemal pół miliona klientów korporacyjnych. Praktyka kopiowania dokumentów trwała około 18 miesięcy – od 1 kwietnia 2019 r. do 23 września 2020 r. – i mogła objąć bardzo dużą liczbę osób (które wchodziły w relację z bankiem w tym okresie). Chociaż nie stwierdzono indywidualnych szkód po stronie klientów, masowe kopiowanie dokumentów generowało wysokie ryzyko nadużyć, takich jak np. kradzież tożsamości. W konsekwencji tych naruszeń Prezes UODO nałożył na bank karę w wysokości 18 416 400 zł – jedną z najwyższych w historii polskiego organu nadzorczego.
12) Spółka X
Wysokość kary: 11 365 PLN
Decyzja Prezesa UODO z 12 września 2025 r.
Powodem ukarania Spółki było powierzenie pełnienia funkcji inspektora ochrony danych prezesowi zarządu, co w ocenie organu nadzorczego „nie daje gwarancji, że obowiązki związane z ochroną danych osobowych w organizacji będą wykonywane w sposób niezależny i obiektywny”. Sprawa wyszła na jaw po zgłoszeniu organowi nadzorczemu naruszenia ochrony danych osobowych. Doszło do niego w wyniku przekazania pacjentowi dokumentacji medycznej innej osoby. To właśnie z treści dokonanego zgłoszenia wynikało, że funkcję IOD pełni prezes zarządu.
W toku postępowania spółka argumentowała, że „obecne rozwiązanie uważamy za optymalne, gwarantujące najlepszą opiekę merytoryczną osób, których dane dotyczą, spółki jako administratora oraz IOD-a”. Urząd nie podzielił jednak tego stanowiska. W ocenie organu nadzorczego łączenie funkcji kierowniczej z rolą inspektora podważa bezstronność i niezależność jego działań, co jest sprzeczne z istotą tej instytucji.
Rolą IOD jest monitorowanie zgodności procesów przetwarzania z przepisami RODO, doradzanie administratorowi, a także wskazywanie nieprawidłowości i rekomendowanie działań naprawczych. Jeżeli IOD jest jednocześnie członkiem kierownictwa, nie może on skutecznie i obiektywnie pełnić funkcji kontrolnej, ponieważ sam odpowiada za procesy, które powinien nadzorować.
Decyzja Prezesa UODO potwierdza, że niezależność inspektora ochrony danych nie jest kwestią formalną, lecz kluczowym elementem systemu ochrony danych osobowych. Przypadek Spółki X stanowi wyraźny sygnał dla innych organizacji, że błędna interpretacja przepisów oraz pozorne oszczędności w zakresie powoływania IOD mogą skutkować dotkliwymi sankcjami finansowymi.
13) B. Sp. z o.o.
Wysokość kary: 40 514 PLN
Decyzja Prezesa UODO z 15 października 2025 r.
Spółka medyczna została ukarana, ponieważ nie zgłosiła naruszenia ochrony danych w wymaganym maksymalnym terminie 72 godzin od jego stwierdzenia.
Sprawa została zapoczątkowana w grudniu 2023 r., gdy do Prezesa UODO wpłynęło pismo radcy prawnego reprezentującego pacjentkę. Wynikało z niego, że dokument zawierający dane osobowe tej pacjentki oraz jej męża omyłkowo został przesłany do niewłaściwej osoby. Była nią pacjentka ukaranego podmiotu o tożsamym imieniu.
W związku z powzięciem informacji Prezes UODO wszczął postępowanie. W jego wyniku ustalił, że naruszenie powinno zostać zgłoszone w przewidzianym prawem terminie. Ponadto Prezes UODO stwierdził, że administrator nie zawiadomił niezwłocznie osób, których dane zostały ujawnione, choć taki obowiązek wystąpił w przedmiotowym stanie faktycznym.
14) Komornik Sądowy
Wysokość kary: 7 700 PLN i 13 200 PLN
Decyzja Prezesa UODO z 23 października 2025 r.
Wskazaną wyżej decyzją Prezes UODO nałożył na komornika sądowego administracyjne kary pieniężne w łącznej wysokości niemal 21 tys. zł. Pierwsza z nich (wynosząca 7700 zł) była konsekwencją niezgłoszenia Prezesowi UODO naruszenia ochrony danych osobowych bez zbędnej zwłoki. Z kolei druga (wynosząca 13 200 zł) dotyczyła niezawiadomienia o naruszeniu podmiotu danych.
Sprawa dotyczyła komornika sądowego, który przez pomyłkę wysłał pismo o zajęciu wynagrodzenia niewłaściwej osobie. W przesyłce znajdowały się dane takie jak: imię i nazwisko, numer PESEL, adres oraz wysokość zajęcia komorniczego. Organ nadzorczy dowiedział się o incydencie od nieuprawnionego odbiorcy, który poinformował o błędzie również komornika sądowego.
Mimo otrzymanej informacji komornik nie podjął żadnych działań związanych z incydentem — nie zawiadomił organu nadzorczego ani osoby, której dane ujawniono. Co więcej, nie przeprowadził analizy ryzyka naruszenia praw lub wolności osoby fizycznej, co jest obowiązkowym elementem oceny każdego incydentu dotyczącego danych osobowych. Administrator uznał jedynie, że „małe prawdopodobieństwo” wystąpienia negatywnych skutków zwalnia go z obowiązku zgłoszenia naruszenia. Prezes UODO uznał jednak, że była to ocena nieuzasadniona, ponieważ komornik w ogóle nie przeprowadził analizy ryzyka, a jedynie powołał się na własne przypuszczenia.
W toku postępowania komornik wyjaśniał, że pomyłka była jednostkowym zdarzeniem wśród tysięcy wysyłanych listów, a fakt, że omyłkowy odbiorca zachował się odpowiedzialnie zgłaszając zdarzenie do UODO oraz administratora, miał świadczyć o braku ryzyka. Prezes UODO jednoznacznie wskazał, że nie podziela przedstawionych argumentów. Jak wskazano we wpisie na stronie UODO „W przypadku przesyłki skierowanej do niewłaściwej osoby poprawnie przeprowadzona analiza ryzyka wykazałaby powstanie wysokiego ryzyka naruszenia praw lub wolności osób, których dane dotyczą. A to oznacza, że zarówno Prezes UODO jak i osoba, które dane dotyczą, powinni być o incydencie powiadomieni”.
Organ podkreślił także, że zawiadamianie osób, których dane dotyczą, ma istotne znaczenie praktyczne. Pozwala im bowiem nie tylko zrozumieć zagrożenie, ale także podjąć działania zaradcze — takie jak zastrzeżenie numeru PESEL czy monitorowanie aktywności kredytowej. Nie każdy ma świadomość, jakie kroki mogą zwiększyć bezpieczeństwo, dlatego jasna i rzetelna informacja od administratora jest kluczowa.
15) Państwowy Powiatowy Inspektor Sanitarny
Wysokość kary: 20 000 PLN
Decyzja Prezesa UODO z 15 listopada 2025 r.
Powodem ukarania administratora było niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych oraz brak działań w zakresie monitorowania, testowania i oceny skuteczności stosowanych środków.
Sprawa została zapoczątkowana w październiku 2023 r., kiedy to administrator dokonał zgłoszenia naruszenia ochrony danych osobowych. Doszło do niego w wyniku zgubienia przez byłego pracownika prywatnego niezabezpieczonego pendrive’a zawierającego dane osobowe ponad 4 200 osób. Informacje te pochodziły z prowadzonych przez inspektorat postępowań administracyjnych i obejmowały zarówno dane identyfikacyjne (imię i nazwisko, adres, PESEL), jak i dane szczególnej kategorii, w tym informacje o stanie zdrowia.
W związku z otrzymaniem zgłoszenia Prezes UODO ustalił, że administrator nie posiadał adekwatnych procedur ani środków technicznych zabezpieczających przetwarzanie danych na nośnikach przenośnych. Inspektorat nie zidentyfikował w analizie ryzyka zagrożeń związanych z używaniem przez pracowników prywatnych nośników danych ani nie powiązał tych zagrożeń z procesami przetwarzania danych osobowych. W konsekwencji brakowało skutecznych zabezpieczeń, takich jak m.in. szyfrowanie przenośnych nośników.
Organ nadzorczy wskazał również, że administrator nie prowadził systematycznych działań mających na celu przegląd stosowanych środków bezpieczeństwa. Brak takich działań sprawia, że Inspektorat nie był w stanie wykazać, iż zabezpieczenia były adekwatne do poziomu ryzyka związanego z przetwarzaniem danych osobowych.
Prezes UODO w decyzji podkreślił, że korzystanie z nośników zewnętrznych przez pracowników — zwłaszcza w kontekście dużych zasobów danych osobowych i danych wrażliwych — wiąże się z wysokim ryzykiem naruszenia poufności i dostępności danych, jeżeli nie są stosowane odpowiednie zabezpieczenia techniczne i organizacyjne (takie jak m.in. szyfrowanie).
Podsumowanie
Mimo że w 2025 roku nie odnotowano wzrostu liczby publikowanych decyzji w porównaniu do lat wcześniejszych, miniony rok należy ocenić jako bardzo istotny pod względem wysokości nakładanych administracyjnych kar pieniężnych. Zestawienie pokazuje, że łączna suma sankcji była bardzo wysoka i wyniosła aż 64 295 171,25 zł, co oznacza, że była ona wyższa niż łączna suma kar dotychczas nałożonych przez Prezesa UODO. Świadczy to o wyraźnym zaostrzeniu polityki egzekwowania przepisów RODO oraz coraz częstszym sięganiu po dolegliwe sankcje finansowe jako podstawowy instrument dyscyplinujący podmioty przetwarzające dane osobowe.
Z analizy decyzji wynika, że kary nakładane są zarówno na podmioty prywatne, jak i na jednostki sektora publicznego oraz osoby fizyczne, co potwierdza, że Prezes UODO nie różnicuje poziomu odpowiedzialności wyłącznie ze względu na charakter podmiotu, lecz koncentruje się na wadze naruszenia i jego skutkach dla osób, których dane dotyczą.
Jeżeli chodzi o przedmiot rozstrzygnięć, w dalszym ciągu dominują naruszenia związane z niewdrożeniem odpowiednich środków technicznych i organizacyjnych, brakiem właściwej reakcji na incydenty bezpieczeństwa, w tym niezgłaszaniem naruszeń ochrony danych osobowych w wymaganym terminie.
Warto również zwrócić uwagę, że w 2025 roku zapadło kilka decyzji, w których nałożone administracyjne kary pieniężne przekraczały kwotę kilku milionów złotych. Pokazuje to wyraźnie, że ryzyko związane z nieprzestrzeganiem przepisów RODO nie ma już charakteru wyłącznie teoretycznego, lecz może stanowić realną dolegliwość również dla administratorów, w tym przypadku – finansową.
Z naszych obserwacji wynika także, że decyzje mogą być publikowane na stronie UODO z opóźnieniem. Oznacza to, że rzeczywista skala działań organu nadzorczego może być jeszcze większa niż wynika to z aktualnie dostępnych informacji. W związku z tym Czytelnicy mogą się spodziewać, iż niniejszy artykuł zostanie zaktualizowany, jeśli okaże się, że nałożonych w minionym roku kar jest jednak więcej.
W 2026 roku będziemy nadal monitorować praktykę decyzyjną Prezesa UODO i na bieżąco analizować publikowane decyzje, zwracając szczególną uwagę na kierunki interpretacyjne, wysokość nakładanych sankcji oraz obszary, w których najczęściej dochodzi do naruszeń. Podsumowanie tych obserwacji zostanie przedstawione w kolejnym artykule z tej serii.