Najwyższe kary RODO w Polsce – podsumowanie 2025 roku

Początek stycznia to dobry moment, aby spojrzeć wstecz i wyciągnąć wnioski z minionego okresu w obszarze ochrony danych osobowych. To, co wydarzyło się w 2025, przejdzie do historii polskiego RODO – najwyższa kara za naruszenie przepisów sięgnęła bowiem ponad 27 milionów złotych.

Poczta Polska – rekordowe 27 milionów kary za naruszenie RODO

W marcu 2025 roku UODO podjął bezprecedensową decyzję, nakładając na Pocztę Polską sankcję w wysokości ponad 27 milionów złotych, a na resort cyfryzacji 100 tysięcy złotych. Decyzja dotyczyła incydentu z kwietnia 2020 roku, kiedy to dane z rejestru PESEL trafiły do Poczty bez wymaganej podstawy prawnej.

Problem pojawił się, gdy Ministerstwo Cyfryzacji udostępniło spółce pocztowej kompletne informacje o wszystkich dorosłych Polakach – ich identyfikatory PESEL, dane personalne i adresy zamieszkania. Stało się to przed uchwaleniem odpowiednich przepisów, które miały legalizować takie działania w kontekście planowanego głosowania korespondencyjnego.

Sądy administracyjne obu instancji potwierdziły naruszenie przepisów, a organ nadzorczy wykorzystał te orzeczenia jako podstawę do wymierzenia rekordowej sankcji. Tutaj warto zaznaczyć, że początkowo rozważano karę przekraczającą 100 milionów złotych.

ING Bank – 18,4 miliona kary za skanowanie dowodów

W sierpniu 2025 roku instytucja bankowa otrzymała sankcję na kwotę 18,4 miliona złotych. To najwyższa kara nałożona dotychczas na przedsiębiorstwo prywatne w Polsce.

Przez ponad rok, od wiosny 2019 do jesieni 2020, placówka finansowa stosowała praktykę powszechnego kopiowania dokumentów tożsamości. Procedura obejmowała każdego klienta – niezależnie od charakteru sprawy, nawet gdy chodziło o zgłoszenie usterki technicznej bankomatu.

Organ nadzorczy stwierdził, że bank działał automatycznie, bez indywidualnej weryfikacji potrzeby zabezpieczenia się przed ryzykiem nielegalnych transakcji finansowych. Przepisy AML wymagają bowiem przeprowadzenia analizy dla każdego przypadku osobno – nie przewidują rutynowego kopiowania dokumentów wszystkich osób. Bank złamał fundamentalne reguły: legalności operacji na danych, ich ograniczania do niezbędnego minimum oraz określonego celu wykorzystania.

McDonald's – prawie 17 milionów kary za wyciek danych

Czerwiec 2025 przyniósł decyzję UODO o nałożeniu na sieć restauracji McDonald’s sankcji finansowej sięgającej niemal 17 milionów złotych. Chodziło o incydent bezpieczeństwa, w którym informacje o zatrudnionych osobach stały się publicznie dostępne.

Sieć gastronomiczna zleciła zewnętrznemu dostawcy usług PR obsługę systemu planowania zmian roboczych. Kluczowy błąd polegał na tym, że przed przekazaniem wrażliwych informacji nie sprawdzono, czy firma posiada odpowiednie kompetencje i środki do ich ochrony.

Latem 2020 roku nieprawidłowa konfiguracja techniczna spowodowała udostępnienie w internecie tysięcy rekordów zawierających: tożsamość pracowników, ich identyfikatory państwowe, dokumenty podróży, szczegółowe rozkłady czasu pracy. Organ nadzorczy wskazał na szereg uchybień: brak wcześniejszej oceny zagrożeń, pominięcie Inspektora Ochrony Danych przy wyborze partnera oraz gromadzenie nadmiarowych informacji o zatrudnionych.

Rekordowe kary RODO w 2025 roku

Nie da się ukryć, że miniony rok wyznaczył nowe standardy. UODO przestał wydawać symboliczne upomnienia – kary zaczęły realnie zagrażać stabilności przedsiębiorstw. Rozpoczynając 2026 rok warto zadać sobie pytanie: czy Twoja firma jest gotowa na ewentualną kontrolę? Jeśli masz wątpliwości co do zgodności z przepisami, przeprowadź audyt RODO, zanim zrobi to organ nadzorczy.