Viktoria ComplianceStart Assessment
Powrót do bloga
RODO7 min readJanuary 15, 2026

Egzekwowanie przepisów RODO w 2025 roku: Które naruszenia kosztują najwięcej - i jak ich uniknąć?

Egzekwowanie przepisów RODO nasiliło się w 2025 r., a organy nadzorcze w całym EOG wydały ponad 2100 decyzji w sprawie egzekwowania przepisów, a łączna kwota grzywien w tym roku kalendarzowym przekroczyła 2,1 mld EUR. Tendencja jest jednoznaczna: organy regulacyjne nie zwalniają tempa. Dla MŚP zrozumienie, które naruszenia pociągają za sobą najcięższe kary, ma zasadnicze znaczenie dla ustalenia priorytetów inwestycji w zapewnienie zgodności.

Egzekwowanie prawa w 2025 r. w skrócie

Kilka kluczowych statystyk ukształtowało krajobraz egzekwowania prawa w 2025 roku:

  • Łączna kwota nałożonych grzywien: Około 2,1 mld EUR we wszystkich organach ochrony danych EOG
  • Liczba decyzji egzekucyjnych: Ponad 2100, wzrost o około 18% od 2024 r.
  • Największa pojedyncza grzywna: 1,2 mld EUR nałożona przez irlandzką Komisję Ochrony Danych (DPC)
  • Najbardziej aktywne organy ochrony danych pod względem liczby decyzji: Hiszpański AEPD, włoski Garante, rumuński ANSPDCP i węgierski NAIH
  • Najbardziej aktywne organy ochrony danych według wartości grzywny: Irlandzki DPC, francuski CNIL, włoski Garante i luksemburski CNPD

Godnym uwagi wydarzeniem w 2025 r. była zwiększona aktywność mniejszych organów ochrony danych. Organy w Austrii (DSB), Finlandii (Tietosuojavaltuutettu) i Chorwacji (AZOP) nałożyły największe w historii grzywny, sygnalizując dojrzewanie zdolności egzekwowania prawa w całej UE.

3 najważniejsze kategorie naruszeń

1. Niewystarczająca podstawa prawna przetwarzania (art. 6)

Przetwarzanie danych osobowych bez ważnej podstawy prawnej pozostało najczęściej wymienianym i najsurowiej karanym naruszeniem w 2025 roku. Kategoria ta obejmuje organizacje, które opierały się na zgodzie niespełniającej standardu art. 7, powoływały się na uzasadnione interesy bez przeprowadzenia odpowiedniego testu bilansującego lub przetwarzały dane do celów niezgodnych z pierwotnym celem zbierania (naruszenie zasady ograniczenia celu na podstawie art. 5 ust. 1 lit. b)).

CNIL nałożyła kilka znaczących grzywien w tej kategorii, w tym kary na organizacje, które śledziły użytkowników na stronach internetowych bez ważnej zgody. CNIL konsekwentnie utrzymuje, że mechanizmy zgody na pliki cookie, które wykorzystują ciemne wzorce, wstępnie wybrane opcje lub niepotrzebnie utrudniają odrzucenie, nie stanowią ważnej zgody zgodnie z art. 6 i 7.

Lekcja dla MŚP: Proszę skontrolować każdą czynność przetwarzania danych pod kątem udokumentowanej, możliwej do obrony podstawy prawnej. Jeśli opierają się Państwo na zgodzie, należy upewnić się, że mechanizmy zgody spełniają dobrowolnie udzielony, konkretny, świadomy i jednoznaczny standard. Jeśli opierają się Państwo na prawnie uzasadnionych interesach, proszę udokumentować swój test bilansujący.

2. Nieodpowiednie techniczne i organizacyjne środki bezpieczeństwa (art. 32)

Naruszenia art. 32 stanowiły znaczną część działań egzekucyjnych w 2025 roku. Organy nadzoru karały organizacje za takie uchybienia jak: niezaszyfrowane dane osobowe, słabe lub domyślne hasła, nieodpowiednie kontrole dostępu, niestosowanie poprawek bezpieczeństwa w odpowiednim czasie oraz niewystarczające monitorowanie i rejestrowanie.

Włoska Garante była szczególnie aktywna w tym obszarze, nakładając liczne grzywny na dostawców usług medycznych za nieodpowiednie środki bezpieczeństwa, które skutkowały nieautoryzowanym dostępem do dokumentacji pacjentów. Hiszpańska AEPD kontynuowała ustalony schemat karania małych i średnich organizacji za podstawowe błędy w zakresie bezpieczeństwa, w tym przypadki, w których bazy danych klientów były narażone z powodu źle skonfigurowanej pamięci masowej w chmurze.

Ochrony Danych (BfDI) skupił się na systemowych niedociągnięciach w zakresie bezpieczeństwa, podkreślając, że art. 32 wymaga nie tylko odpowiednich środków technicznych, ale także kontroli organizacyjnych, w tym polityk bezpieczeństwa, procedur zarządzania dostępem i regularnego testowania skuteczności zabezpieczeń.

Lekcja dla MŚP: Podstawowa higiena bezpieczeństwa nie podlega negocjacjom. Proszę wdrożyć szyfrowanie, egzekwować silne uwierzytelnianie, szybko wprowadzać poprawki i ograniczać dostęp w oparciu o zasadę najmniejszych uprawnień. Proszę udokumentować środki bezpieczeństwa i uzasadnienie ich wyboru.

3. Nieprzestrzeganie praw osoby, której dane dotyczą (art. 15-22)

Brak odpowiedzi na wnioski osób, których dane dotyczą, w ustawowym terminie jednego miesiąca lub udzielanie niekompletnych odpowiedzi spowodowały znaczną liczbę działań egzekucyjnych w 2025 roku. Najczęstsze naruszenia dotyczyły:

  • Brak odpowiedzi na wnioski o dostęp (art. 15) w ciągu jednego miesiąca
  • Odmowa usunięcia danych na żądanie na mocy art. 17 bez uzasadnionych podstaw do ich dalszego przetwarzania
  • Nadmierne wymogi dotyczące weryfikacji tożsamości, które skutecznie utrudniały korzystanie z praw
  • Niedostarczenie danych w formacie przenośnym na żądanie zgodnie z art. 20

Włoski Garante nałożył wiele grzywien za opóźnione lub nieodpowiednie odpowiedzi na wnioski o dostęp do danych, w tym przypadki, w których organizacje potrzebowały kilku miesięcy na udzielenie odpowiedzi bez uzasadnienia. Polski organ ochrony danych (UODO) również wydał znaczące decyzje w tym obszarze, w szczególności dotyczące prawa do usunięcia danych.

Lekcja dla MŚP: Wdrożenie systemu śledzenia wniosków osób, których dane dotyczą, z automatycznymi powiadomieniami o terminach. Proszę przeszkolić personel obsługujący klientów w zakresie rozpoznawania żądań osób, których dane dotyczą, nawet jeśli nie są one wyraźnie sformułowane w języku RODO. Klient mówiący "usuń moje konto" wykonuje swoje prawo wynikające z art. 17.

Znaczące działania egzekucyjne

Irlandzki DPC: Egzekwowanie transgranicznych transferów

Irlandzki DPC nadal wykorzystywał swoją rolę wiodącego organu nadzorczego dla wielu dużych firm technologicznych. Jego decyzje w sprawie egzekwowania prawa w 2025 r. koncentrowały się na transgranicznym przekazywaniu danych (rozdział V) i adekwatności zabezpieczeń w przypadku przekazywania danych do państw trzecich. Rekordowa grzywna w wysokości 1,2 mld EUR podkreśliła, że mechanizmy przekazywania danych wymagają rzeczywistych, ocenionych zabezpieczeń, a nie tylko formalności umownych.

CNIL: egzekwowanie przepisów dotyczących plików cookie i śledzenia

CNIL nadal koncentrowała się na śledzeniu online i wyrażaniu zgody. W 2025 r. rozszerzyła egzekwowanie przepisów poza duże platformy na średnie organizacje handlu elektronicznego i media. CNIL położyła szczególny nacisk na mechanizmy wycofywania zgody: utrudnianie wycofania zgody niż jej udzielenie narusza wymóg art. 7 ust. 3 dotyczący równie łatwego wycofania zgody.

BfDI: Przetwarzanie danych pracowników

Niemieckie BfDI zwiększyło kontrolę nad przetwarzaniem danych pracowników, w szczególności w odniesieniu do nadzoru w miejscu pracy, oprogramowania monitorującego pracowników i wykorzystania danych biometrycznych do kontroli dostępu. Nałożono kilka grzywien za przetwarzanie danych pracowników bez odpowiedniej podstawy prawnej lub bez odpowiedniej przejrzystości (art. 13 i 14).

Garante: Opieka zdrowotna i sektor publiczny

Włoska Garante kontynuowała aktywne egzekwowanie przepisów w sektorze opieki zdrowotnej, karząc szpitale i organy służby zdrowia za naruszenia bezpieczeństwa, nieautoryzowany dostęp do dokumentacji pacjentów oraz brak przeprowadzenia DPIA w przypadku przetwarzania danych wysokiego ryzyka. Wydała również decyzje dotyczące wykorzystania w sektorze publicznym rozpoznawania twarzy i podejmowania decyzji w oparciu o sztuczną inteligencję.

Co to oznacza dla MŚP

Dane dotyczące egzekwowania prawa w 2025 r. potwierdzają kilka trendów, w związku z którymi MŚP muszą podjąć działania:

  1. Podstawowa zgodność nie podlega negocjacjom. Najczęstsze kary dotyczą podstawowych uchybień: braku podstawy prawnej, braku środków bezpieczeństwa, braku odpowiedzi na wnioski osób, których dane dotyczą. Nie są to złożone wyzwania regulacyjne; są to podstawowe obowiązki.
  2. Rozmiar nie zapewnia immunitetu. Hiszpański organ ochrony danych AEPD i inne organy ochrony danych regularnie nakładają grzywny na małe organizacje. Grzywna w wysokości 50 000 EUR może być niewielka w kontekście całkowitego egzekwowania RODO, ale jest istotna dla MŚP.
  3. Dokumentacja jest Państwa obroną. Organy nadzorcze oceniają zgodność na podstawie tego, co mogą Państwo wykazać. Nieudokumentowana zgodność jest, z perspektywy regulacyjnej, niezgodnością.
  4. Proaktywne zapewnienie zgodności jest tańsze niż reaktywne egzekwowanie przepisów. Koszt wdrożenia odpowiedniej dokumentacji podstawy prawnej, środków bezpieczeństwa i procedur dotyczących praw osób, których dane dotyczą, stanowi ułamek kosztów grzywny, związanych z nią opłat prawnych i szkód dla reputacji.

Trajektoria egzekwowania przepisów RODO nie wykazuje oznak odwrócenia. Organizacje, które teraz inwestują w zgodność z przepisami, unikną nagłówków dotyczących egzekwowania przepisów w 2026 roku.

Sprawdź swoją gotowość do zgodności

Przeprowadź naszą bezpłatną ocenę gotowości do RODO, NIS2 i Aktu o UI i otrzymaj spersonalizowane rekomendacje w ciągu kilku minut.

Rozpocznij bezpłatną ocenę

EU Compliance Weekly

Get the latest regulatory updates, compliance tips, and enforcement news delivered to your inbox every week.

We respect your privacy. Unsubscribe anytime.