W ostatnich latach Prezes Urzędu Ochrony Danych Osobowych (UODO) znacząco zaostrzył praktykę nakładania kar za naruszenia przepisów RODO. Dane z raportów z lat 2024–2025 pokazują wyraźny trend: firmy w Polsce płacą coraz wyższe kary, a najczęstsze błędy administratorów wynikają nie tylko z uchybień formalnych, ale przede wszystkim z realnych zaniedbań w zakresie bezpieczeństwa danych osobowych.
Karą podlegają zarówno podmioty prywatne jak i publiczne. Małe i duże. Wobec nikogo organ nadzorczy nie stosuje taryfy ulgowej. Jeszcze do niedawna najczęstszymi naruszeniami ochrony prywatności były błędy ludzkie jak publiczne udostepnienie danych, wysyłka do niewłaściwego adresata czy zagubienie nośnika z danymi osobowymi.
Decyzja Urzędu wskazują, że aktualnie administratorzy danych mają problemy z:
– właściwym doborem podstawy prawnej do przetwarzania danych osobowych,
– niezawiadamianiu osób o naruszeniu danych osobowych,
– brakiem odpowiednich zabezpieczeń administracyjnych i technicznych,
– przetwarzaniem danych bez właściwej podstawy prawnej,
W bieżącym roku a (mamy marzec) zostały nałożone 3 znaczące kary na podmioty, w których by można było domniemywać, że ochrona prywatności jest zapewniona na najwyższym poziomie. A jednak uchybienia Rozporządzenia były znaczące.
Naruszenie Zasady Rozliczalności – art. 5 ust. 2 RODO.
Spółka Restaurant Partner Polska prowadząca aplikację Glovo otrzymała 19 lutego 2026r karę administracyjną w wysokości 5,89 mln zł. (Decyzja jeszcze nie jest prawomocna).
Kara ta jest następstwem kontroli Prezesa UODO obejmującej sposób przetwarzania danych użytkowników aplikacji mobilnej „Glovo – dostawa jedzenie i inne”. Organ nadzorczy zbadał podstawy prawne, cele i zakres przetwarzania danych użytkowników aplikacji. W trakcie kontroli ustalono, że w sytuacjach podejrzenia oszustwa spółka przewidywała dodatkową weryfikację i domagała się przesłania skanu lub zdjęcia dokumentu tożsamości, m.in. w przypadku zgłoszenia przez kuriera dowożącego przesyłkę próby kradzieży zamówienia przez klienta, użycia fałszywych pieniędzy, niezgodności danych karty płatniczej z danymi użytkownika. Podobnie było, gdy kurier podejrzewał, że w zleconej przesyłce mogą być nielegalne substancje. Spółka wskazywała jako podstawę prawną art. 6 ust. 1 lit. f RODO, czyli na przetwarzanie niezbędne do celów wynikających z prawnie uzasadnionego interesu administratora, tj. w tym przypadku weryfikacji tożsamości osoby podejrzanej o oszustwo.
Prezes UODO tej argumentacji nie podzielił. Podkreślił, że przetwarzanie danych osobowych wymaga spełnienia jednej z przesłanek z art. 6 ust. 1 RODO. W ocenie organu nadzorczego powołanie się przez spółkę na „uzasadniony interes administratora” było niewystarczające w świetle szerokiego zakresu przetwarzanych przez nią danych osobowych znajdujących się w dokumentach tożsamości. Prezes UODO zaznaczył także, że przeciwdziałanie oszustwom nie może odbywać się kosztem naruszenia zasady minimalizacji danych.
W konsekwencji ustaleń UODO stwierdził, że administrator naruszył art. 6 ust. 1 RODO, gdyż przetwarzał nadmiarowe dane, w dodatku bez podstawy prawnej i nieadekwatne do założonych celów. W ocenie Prezesa UODO brak legalności przetwarzania danych oznacza też naruszenie zasady rozliczalności (art. 5 ust. 2 RODO).
Brak zawarcia umowy powierzenia przetwarzania danych osobowych – naruszenie art. 28 ust. 3 rozporządzenia oraz brak upoważnień dla pracowników – naruszenie art. 29 oraz art. 32 ust. 4 rozporządzenia.
Firma DPD Polska otrzymała 5 lutego 2026r od Prezesa UODO dwie kary administracyjne o łącznej wysokości ponad 11 mln zł (6,25 mln zł oraz 5,2 mln zł). Główne uchybienia to brak umów powierzenia przetwarzania danych z zewnętrznymi przewoźnikami oraz wady w systemie upoważnień pracowników. (Decyzja jest jeszcze nieprawomocna). Decyzja jest skutkiem kontroli UODO obejmującej przetwarzaniem danych osobowych w związku ze świadczeniem usług kurierskich. Czynności kontrolne pokazały, że między oddziałami spółki DPD przesyłki dostarczali przewoźnicy zewnętrzni (tzw. przewoźnicy LNH). Administrator nie zawarł jednak z tymi przewoźnikami wymaganych przez RODO umów powierzenia przetwarzania danych, argumentując to faktem, że przedmiotem umowy była tylko czynność przewozu przesyłek, nie łączyła się z przetwarzaniem przez przewoźników LNH danych osobowych. Prezes UODO tej argumentacji nie przyjął podkreślając, że przewoźnik podczas transportu staje się podmiotem przetwarzającym dane. DPD Polska nie zawierając z ww. przewoźnikami umów powierzenia przetwarzania, naruszył art. 28 ust. 3 RODO. Za to przewinienie została nałożona kara w wysokości 6,25 mln zł.
Drugim naruszeniem DPD Polska było nieudzielanie pracownikom skutecznie i prawidłowo upoważnień do przetwarzania danych. Nowym pracownikom w DPD Polska upoważnienia były udzielane automatycznie przez system informatyczny po odbyciu przez nich szkolenia w zakresie zasad ochrony danych osobowych na elektronicznej platformie edukacyjnej. Zaliczenie testu powodowało automatyczne wygenerowanie pliku z treścią sugerującą, że jest to upoważnienie do przetwarzania danych, jednak niezawierające istotnych elementów takich jak imię i nazwisko pracownika oraz podpis osoby udzielającej upoważnienia. Wobec powyższego, PUODO uznał, że generowanego automatycznie z systemu pliku o niejasnej treści nie można zakwalifikować jako upoważnienia do przetwarzania danych. Powyższa praktyka stanowiła z kolei naruszenie art. 32 ust. 4 i art. 29 RODO i za nią Prezes UODO przyznał karę w wysokości 5,20 mln PLN.
Decyzje te i kary są jednymi z najwyższych kar nałożonych przez UODO, wskazując na surowe podejście do kwestii zabezpieczenia danych w logistyce. Spodziewane jest zaskarżenie decyzji Prezesa UODO przez Spółkę.
Brak niezależności sprawowania funkcji IOD – naruszenie art. 38 ust. 3 RODO
26 stycznia 2026r Poczta Polska otrzymała blisko milionową karę ((978 tys. zł) za brak zapewnienia niezależności sprawowania funkcji inspektora ochrony danych (IOD). Kara ta jest efektem postępowania wyjaśniającego z urzędu, które zostało wszczęte na skutek zgłoszenia przez Pocztę Polską naruszenia ochrony danych polegającego na uzyskaniu przez osobę nieuprawnioną dostępu do danych osobowych zawartych w dokumencie PIT-11. W toku postępowania organ nadzorczy ustalił, że doszło do konfliktu interesu polegającego na braku możliwości zapewnienia niezależności działania IOD z uwagi na jednoczesne sprawowanie przez niego stanowiska kierowniczego oraz merytorycznego bezpośrednio związanego z przetwarzaniem danych osobowych. Spółka w swoich wyjaśnieniach nie była w stanie potwierdzić, że były przeprowadzone analizy braku konfliktów interesów w zakresie funkcji pełnionych przez IOD. W żadnym z aktów wewnętrznychm nie określono pierwszeństwa sprawowanej funkcji przez IOD w przypadku zaistnienia konfliktu pomiędzy jego zadaniami oraz innymi obowiązkami wykonywanymi na rzecz administratora poza zakresem właściwym IOD. Organ nadzorczy podkreślił, iż wytyczne dot. funkcji IOD wskazują na wymóg unikania konfliktu interesów, który jest ściśle związany z wymogiem wykonywania zadań IOD w sposób niezależny. Organ zwrócił uwagę, że samo powołanie funkcji IOD oraz umiejscowienie go w strukturze organizacji jest niewystarczające, jeśli rzeczywisty zakres jego kompetencji i obowiązków prowadzi do sytuacji, w której kontroluje one swojewłasne decyzje i działania. Decyzja ta pokazuje, że łączenie funkcji IOD z innymi stanowiskami kierowniczymi, nawet w obszarze szeroko rozumianego bezpieczeństwa informacji, wiąże się z istotnym ryzykiem prawnym
Warto zaznaczyć, że to nie pierwsza decyzja UODO wobec Poczty Polskiej. Poprzednie kończyły się upomnieniami lub nakazem dostosowania operacji przetwarzania danych do przepisów RODO.
Poczta Polska od w/w decyzji złożyła odwołanie.
Dlaczego firmy nadal popełnią błędy?
Analizując decyzje UODO, wysokie kary oraz świadomość naszego w społeczeństwa w kwestii ochrony danych osobowych należałoby sobie zadać pytanie, dlaczego firmy nadal popełniają błędy. Analiza ta wskazuje na kilka kluczowych powodów:
- Brak regularnych audytów.
Wiele organizacji wdrożyło RODO w 2018 r., ale nie aktualizuje dokumentacji, procedur ani środków bezpieczeństwa. - Brak procedur i polityk dostosowanych do aktualnych realiów organizacji.
W dużej ilości firm dokumentacja była stworzona w 2018r i nigdy potem nie aktualizowana. - Niedostateczna rola Inspektora Ochrony Danych.
IOD bywa traktowany formalnie, a nie operacyjnie – co prowadzi do braku nadzoru nad procesami. Zarządy często nie dzielą się z nim informacjami o nowych projektach czy kierunkach działań firmy. - Brak kultury bezpieczeństwa wśród pracowników. Wielu pracowników odbyło szkolenia w 2018 r i potem temat Rodo odszedł w zapomnienie, a błędy ludzkie to jeden z głównych czynników naruszeń (np. nieprawidłowa wysyłka e-maili, brak szyfrowania dokumentów czy pozostawiania dokumentów na biurku w czasie przerwy na lunch).
- Zbyt słabe zabezpieczenia IT
Firmy inwestują w systemy dopiero po incydencie – kiedy naruszenie jest już faktem. Nie aktualizują wcześniej systemów, segmentacji sieci czy szyfrowania.
Kary za naruszenia RODO w Polsce rosną lawinowo – zarówno pod względem liczby, jak i wartości. Dane z lat 2024–2025 pokazują wyraźnie, że UODO koncentruje się na realnych zagrożeniach dla osób, których dane dotyczą, a nie na formalnych brakach w dokumentacji.
Naruszenia dotyczą głównie niewłaściwego zabezpieczenia danych, błędów w podstawach prawnych przetwarzania oraz braku właściwej reakcji na incydenty.
Dla polskich firm oznacza to jedno:
RODO to nie jednorazowy projekt, lecz stały proces zarządzania ryzykiem.
Autor
Agnieszka Bogumił-Jankowska Menadżer • Ekspert ds. komunikacji i rozwoju • Koordynator Relacji z Klientem
