Najwyższe z kar sięgają milionów złotych. Jak poinformował prezes UODO, minister Mirosław Wróblewski, sankcje te są konsekwencją nieprzestrzegania zasad bezpieczeństwa danych, a także lekceważenia obowiązków wynikających z RODO.
Kary za brak zabezpieczeń i nielegalny monitoring
Centrum Medyczne Ujazdek w Krakowie zostało ukarane karą w wysokości 1,145 mln zł za ukrycie kamer monitoringu w zegarach ściennych na oddziale neonatologii. Kamery nagrywały pacjentki w intymnych sytuacjach – podczas karmienia i przewijania noworodków – bez ich wiedzy i zgody. Nagrania zniknęły, a administrator nie był w stanie wyjaśnić, co się z nimi stało.
– To było naruszenie wyjątkowo poważne, dotyczące najbardziej wrażliwych danych, w tym informacji o stanie zdrowia i intymności pacjentek – podkreślił Wróblewski. – Kara jest sygnałem, że takich praktyk nie można tolerować, nawet jeśli mówimy o sektorze ochrony zdrowia.
Brak zabezpieczenia danych – problem nie tylko dużych firm
Nie wszystkie kary dotyczą spektakularnych przypadków. Jedna z sankcji, w wysokości 29 tys. zł, została nałożona na przedsiębiorcę za niewłaściwe zabezpieczenie dokumentacji podczas transportu. Dane tysięcy osób były przewożone w sposób niechroniony – bez szyfrowania, zabezpieczenia nośników czy choćby zamknięcia przestrzeni ładunkowej.
– Administrator odpowiada także za błędy ludzkie, w tym za brak przeszkolenia pracowników – wyjaśnił szef UODO. – Dziś dane osobowe to nie tylko kwestia prywatności, ale również bezpieczeństwa państwa.
17 milionów dla McDonald’s, 18 milionów dla ING
UODO ukarał również duże podmioty. McDonald’s Polska zapłaci 16,9 mln zł, a ING Bank Śląski – 18,4 mln zł. Wysokość kar zależy nie tylko od rodzaju naruszenia, ale też od wielkości przedsiębiorstwa i jego obrotów.
– Kary muszą być proporcjonalne i realne, inaczej nikt nie traktowałby RODO poważnie – tłumaczył Wróblewski. – W Irlandii organy ochrony danych nakładają na Big Techy kary sięgające 500 milionów euro, więc nasze decyzje wpisują się w europejski standard.
RODO to nie dokument na półkę
Według prezesa UODO, najczęstsze naruszenia dotyczą braku rzeczywistych zabezpieczeń systemów i nieaktualizowania procedur. – Wielu administratorów ograniczyło się do stworzenia regulaminu RODO na papierze – powiedział. – Tymczasem system ochrony danych musi działać w praktyce: być regularnie audytowany, monitorowany i dostosowywany do zmian technologicznych.
Wróblewski podkreślił, że ochrona danych osobowych i cyberbezpieczeństwo to dziś obszary ściśle powiązane. UODO i Ministerstwo Cyfryzacji wprowadzają właśnie jeden punkt kontaktowy dla zgłaszania incydentów cyberbezpieczeństwa i naruszeń danych osobowych.
Coraz więcej skarg od obywateli
Świadomość Polaków w zakresie ochrony danych rośnie. W 2024 roku do UODO wpłynęło ponad 8 tysięcy skarg, a w 2025 roku – już kilkanaście tysięcy. Większość z nich dotyczy indywidualnych przypadków, w których firmy lub instytucje niewłaściwie przetwarzały dane klientów lub pracowników.
Kontrole i wsparcie dla przedsiębiorców
Kontrole UODO mogą mieć charakter planowy lub doraźny – często wynikają ze skarg obywateli albo z informacji przekazanych przez inne instytucje. W tym roku priorytetem są podmioty medyczne oraz przetwarzanie wizerunku dzieci i młodzieży.
Urząd prowadzi także działania edukacyjne. – Przez cały tydzień działa nasza infolinia, a na stronie internetowej UODO są dostępne poradniki i materiały wyjaśniające – mówi Wróblewski. – Obecnie konsultujemy też potrzeby małych i średnich przedsiębiorstw w kontekście wprowadzania systemów sztucznej inteligencji zgodnie z zasadami RODO.
AI i dane osobowe – nowe wyzwanie
UODO już przygotowuje wytyczne dotyczące przetwarzania danych przez systemy sztucznej inteligencji. – To temat przyszłości, ale trzeba się do niego przygotować z rozwagą – zaznaczył Wróblewski. – Polscy przedsiębiorcy podchodzą do AI ostrożnie, i słusznie, bo stawka jest wysoka.
