Dr Tymoteusz Zych
2025-07-16
0 Comments
By Kinga Kaniewska

Wprowadzenie

Ochrona danych osobowych stała się jednym z kluczowych obszarów działalności każdej firmy, organizacji i instytucji publicznej.

Od momentu wejścia w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, czyli tzw. RODO, zarówno przedsiębiorcy, jak i podmioty publiczne muszą liczyć się z poważnymi konsekwencjami za naruszenia przepisów dotyczących przetwarzania danych osobowych. 

Podstawy prawne odpowiedzialności za naruszenie RODO

Podstawowym aktem prawnym regulującym zasady ochrony danych osobowych w Polsce i w Unii Europejskiej jest RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.). Zgodnie z art. 83 RODO, każdy organ nadzorczy (w Polsce: Prezes Urzędu Ochrony Danych Osobowych – PUODO) ma prawo nakładać administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.

Najważniejsze przepisy dotyczące kar:

  • Art. 83 ust. 4–6 RODO – określa katalog naruszeń i maksymalne wysokości kar.
  • Art. 58 ust. 2 lit. i RODO – przyznaje organowi nadzorczemu uprawnienie do nakładania kar administracyjnych.
  • Art. 102 ustawy z 10 maja 2018 r. o ochronie danych osobowych – wskazuje zasady stosowania kar pieniężnych w Polsce.

Wysokość kar za naruszenie RODO

RODO przewiduje dwie główne grupy naruszeń, różniące się maksymalną wysokością kary pieniężnej:

Naruszenia o mniejszej wadze – do 10 mln euro lub 2% rocznego światowego obrotu

Do tej kategorii zaliczamy np. naruszenia związane z:

  • brakiem prowadzenia rejestru czynności przetwarzania,
  • niezgłoszeniem inspektora ochrony danych,
  • niewypełnieniem obowiązków w zakresie dokumentowania przetwarzania danych.

Naruszenia o większej wadze – do 20 mln euro lub 4% rocznego światowego obrotu

Tę kategorię stanowią najpoważniejsze naruszenia, takie jak:

  • przetwarzanie danych osobowych bez podstawy prawnej,
  • naruszenie podstawowych praw osób, których dane dotyczą,
  • brak zapewnienia odpowiednich środków technicznych i organizacyjnych chroniących dane.

Wysokość kary jest uzależniona od tego, która z powyższych wartości jest wyższa.

Kryteria wymierzania kary przez PUODO

Organ nadzorczy, wymierzając karę za naruszenie RODO, uwzględnia szereg okoliczności, w tym:

  • charakter, wagę i czas trwania naruszenia,
  • cel przetwarzania,
  • kategorię danych osobowych, których dotyczy naruszenie,
  • stopień winy administratora lub podmiotu przetwarzającego,
  • działania podjęte w celu zminimalizowania szkody,
  • wcześniejsze naruszenia,
  • stopień współpracy z organem nadzorczym,
  • kategorie danych osobowych, których dotyczyło naruszenie,
  • sposób, w jaki organ dowiedział się o naruszeniu.

Przykład z praktyki:

Przykład: PUODO nałożył karę 3,8 mln zł na spółkę Morele.net za niewdrożenie odpowiednich środków technicznych, co skutkowało wyciekiem danych. Spółka nie szyfrowała części danych osobowych, nie dysponowała dwuskładnikowym uwierzytelnianiem. W decyzji podkreślono m.in. wagę naruszenia, skalę i długi okres trwania nieprawidłowości.

Przykłady naruszeń RODO i kar w Polsce

Najgłośniejsze kary w praktyce PUODO:

  1. Kara dla Morele.net – 4,9 mln zł
    Najwyższa w Polsce kara do tej pory – za niewystarczające zabezpieczenie danych osobowych klientów, w wyniku czego doszło do ich wycieku.
  2. Kara dla Bisnode Polska – 943 tys. zł
    Spółka nie dopełniła obowiązku informacyjnego wobec osób, których dane osobowe pozyskała z ogólnodostępnych źródeł (KRS, CEIDG), co stanowiło naruszenie art. 14 RODO.
  3. Kara dla Virgin Mobile Polska – 1,96 mln zł
    Nałożona za brak wdrożenia odpowiednich środków technicznych i organizacyjnych oraz niezapewnienie bezpieczeństwa danych klientów.

Kto może zostać ukarany za naruszenie RODO?

Administracyjne kary pieniężne mogą być nałożone zarówno na administratorów danych, jak i podmioty przetwarzające (np. firmy zewnętrzne, które realizują usługi na rzecz administratora), a także na podmioty publiczne (choć tu istnieją istotne ograniczenia co do wysokości kary – patrz: art. 102 ustawy o ochronie danych osobowych).

W praktyce ukarane mogą być zarówno duże korporacje, jak i niewielkie firmy rodzinne, szkoły czy placówki medyczne.

Odpowiedzialność indywidualna – czy grozi kara osobista?

Kary finansowe na podstawie RODO nakładane są na osoby prawne (np. spółki, instytucje), a nie bezpośrednio na osoby fizyczne (pracowników).

Jednak odpowiedzialność dyscyplinarna lub porządkowa pracownika, a nawet odpowiedzialność karna (w przypadku umyślnego działania na szkodę firmy) jest możliwa na podstawie innych przepisów, w szczególności kodeksu pracy i kodeksu karnego.

Kary nie tylko finansowe – inne środki stosowane przez PUODO

Poza administracyjnymi karami pieniężnymi, Prezes UODO może nakładać inne środki, m.in.:

  • nakaz dostosowania sposobu przetwarzania danych do wymogów RODO,
  • ostrzeżenie,
  • nakaz wprowadzenia określonych środków ochrony danych,
  • zakaz przetwarzania danych osobowych,
  • nakaz usunięcia danych osobowych.

Ochrona przed karą – jak się bronić? Czy zawsze trzeba płacić?

Po wydaniu decyzji przez PUODO, ukarany podmiot ma prawo złożyć odwołanie do sądu administracyjnego. W praktyce warto dokładnie przeanalizować decyzję organu, wskazać ewentualne nieprawidłowości, podnieść argumenty dotyczące nadmiernej wysokości kary, braku szkody lub nieproporcjonalności sankcji. Pomoc prawnika specjalizującego się w ochronie danych osobowych może być w takich sytuacjach kluczowa.

Orzecznictwo

Wyrok Trybunału Sprawiedliwości z dnia 5 grudnia 2023 r., sygn. akt C-807/21

Art. 58 ust. 2 lit. i oraz art. 83 ust. 1-6 RODO należy interpretować w ten sposób, że stoją one na przeszkodzie uregulowaniu krajowemu, na mocy którego administracyjna kara pieniężna może zostać nałożona na osobę prawną działającą w charakterze administratora danych za naruszenie, o którym mowa w art. 83 ust. 4-6 tego rozporządzenia, tylko wtedy, gdy naruszenie to zostało uprzednio przypisane zidentyfikowanej osobie fizycznej.

Art. 83 RODO należy interpretować w ten sposób, że administracyjna kara pieniężna może zostać nałożona na podstawie tego przepisu wyłącznie wtedy, gdy zostanie wykazane, że administrator danych, będący jednocześnie osobą prawną i przedsiębiorstwem, dopuścił się, umyślnie lub nieumyślnie, naruszenia, o którym mowa w ust. 4-6 tego artykułu.

Wyrok Naczelnego Sądu Administracyjnego z dnia 9 lutego 2023 r., sygn. akt III OSK 3945/21

Sankcji administracyjnej za naruszenie obowiązków wskazanych w art. 32 RODO podlega nie ten, kto jako administrator albo podmiot przetwarzający dopuścił do nieuprawnionego przetwarzania danych osobowych, a tylko podmiot, który nie dochował odpowiedniego, w danych okolicznościach, standardu środków bezpieczeństwa.

FAQ – najczęściej zadawane pytania

Czy za naruszenie RODO każdorazowo grozi wysoka kara pieniężna?

Nie. Kara finansowa jest tylko jednym z narzędzi, którymi dysponuje PUODO. W wielu przypadkach organ stosuje upomnienie, ostrzeżenie lub nakaz poprawy praktyk.

Czy mikroprzedsiębiorca może zostać ukarany tak samo jak wielka korporacja?

Tak, jednak przy wymierzaniu kary PUODO uwzględnia rozmiar działalności, liczbę przetwarzanych danych i możliwości finansowe przedsiębiorcy.

Czy każda naruszenie przepisów o ochronie danych wiąże się z obowiązkiem zgłoszenia do PUODO?

Nie każde naruszenie musi być zgłoszone, ale większość poważnych incydentów (np. wyciek danych) wymaga notyfikacji zarówno organu, jak i osób, których dane dotyczą.

Czy można uniknąć kary za naruszenie RODO?

Podstawą jest wdrożenie i egzekwowanie odpowiednich procedur ochrony danych, szkolenie pracowników oraz szybka reakcja na incydenty. 

Czy można odwołać się od decyzji o nałożeniu kary?

Tak, każda decyzja PUODO podlega kontroli sądowej, a sądy niejednokrotnie obniżały wysokość kar lub uchylały je całkowicie, gdy uznawały je za nieproporcjonalne.

Podsumowanie

Kary za naruszenie RODO mają przede wszystkim charakter prewencyjny i dyscyplinujący, jednak mogą stanowić poważne zagrożenie finansowe dla przedsiębiorców i innych podmiotów przetwarzających dane osobowe.

Kluczowe znaczenie ma prawidłowe wdrożenie procedur ochrony danych, regularne audyty i szkolenia pracowników.

Odpowiedzialność za naruszenie RODO jest realna i dotyczy wszystkich podmiotów – bez względu na wielkość, branżę czy formę prowadzonej działalności.

Potrzebujesz wsparcia w zakresie ochrony danych osobowych lub masz pytania dotyczące RODO? Skontaktuj się z kancelarią specjalizującą się w ochronie danych – profesjonalne wsparcie to najlepszy sposób na uniknięcie dotkliwych kar.

Zapraszamy do kontaktu pod numerem telefonu +48 726 003 505.

Autor

Kinga Kaniewska

Kinga Kaniewska

aplikantka radcowska

Specjalizuje się w prawie medycznym. Autorka artykułów z zakresu prawa medycznego i ochrony praw pacjenta. Łączy wiedzę prawniczą z podejściem interdyscyplinarnym i społecznym zaangażowaniem.

Cookies
Obsługujemy pliki cookies. Jeśli uważasz, że to jest ok, po prostu kliknij "Akceptuj wszystko". Możesz też wybrać, jakie chcesz ciasteczka, klikając "Ustawienia". Przeczytaj naszą politykę cookie
Ustawienia Zaakceptuj wszystko
Cookies
Wybierz, jakie pliki cookies chcesz zaakceptować. Twój wybór zostanie zachowany przez rok. Przeczytaj naszą politykę cookie
Zapisz Zaakceptuj wszystko