5 sposobów, jak uniknąć milionowych kar UODO

W 2025 roku UODO nałożył rekordowe kary za naruszenie ochrony danych osobowych, a ich wysokość była prawie 5-krotnie wyższa niż w 2024 roku i przekroczyła 64 mln zł. Wśród nich była też grzywna dla podmiotu medycznego w kwocie 1,1 mln zł. Paradoksalnie, większości z nich można było uniknąć.

• W 2025 r. kary UODO za naruszenia RODO wzrosły prawie 5-krotnie i przekroczyły 64 mln zł.
• Najczęstszym powodem kar jest brak zgłoszenia naruszenia danych osobowych w ciągu 72 godzin oraz niepowiadomienie poszkodowanych osób.
• UODO często nakłada grzywny także za niewystarczające zabezpieczenia danych, np. brak szyfrowania, testów bezpieczeństwa i kopii zapasowych.
• Ryzyko kary zwiększa brak współpracy z UODO, nieprawidłowe wyznaczenie Inspektora Ochrony Danych oraz nielegalne przekazywanie danych poza EOG.
• W sektorze zdrowia zdarzały się kary w kwocie powyżej 1 mln zł, dlatego kluczowe jest wdrożenie procedur bezpieczeństwa i ochrony danych pacjentów.

Nie jest tajemnicą, za co można dostać karę od UODO, bo wszystkie sprawy podawane są do opinii publicznej na stronie www organu nadzorczego. Najważniejszy wniosek jest taki, że jeszcze nigdy UODO nie nałożył grzywny za to, że hakerzy wykradli dane – to może zdarzyć się każdej firmie posiadającej nawet najlepsze zabezpieczenia. Po kary sięga się wtedy, gdy uchybienia są rażące albo gdy podmiot odmawia współpracy lub utrudnia wyjaśnienie sprawy.

– Kary Prezesa UODO często mają związek z naruszeniami ochrony danych osobowych, ale są nakładane nie za to, że doszło do konkretnego incydentu, ale za nieprzestrzeganie przepisów o ochronie danych osobowych – mówi w rozmowie z OSOZ Mirosław Wróblewski, Prezes UODO.

Przeanalizowaliśmy wszystkie administracyjne kary pieniężne nałożone w ostatnich 5 latach. Które powtarzają się najczęściej?

Niezgłoszenie naruszenia ochrony danych i niepowiadomienie poszkodowanych osób

Jedna z najczęstszych kar (około 25% wszystkich) dotyczy sytuacji, w której administratorzy nie zgłosili naruszenia organowi nadzorczemu „bez zbędnej zwłoki”, czyli 72 godziny od zidentyfikowania problemu, albo nie powiadomili osób poszkodowanych w sytuacji, gdy naruszenie miało wysokie ryzyko. To twarda zasada, w przypadku której rzadko kiedy udało się uniknąć kary poprzez odwołanie decyzji do sądu administracyjnego.

A można się przed nią ustrzec w banalnie prosty sposób, wdrażając procedurę wykrywania i raportowania incydentów (Incident Response), określając, kto jest odpowiedzialny za zgłoszenie naruszenia i kontakt z osobami poszkodowanymi, przygotowując gotowe szablony zgłoszeń i komunikatów dla osób, których dane dotyczą.

Za takie niedociągnięcia dotąd nałożone kary były bolesne i sięgały 250 tys. zł, nawet w przypadku podmiotów publicznych.

Niedostateczne środki techniczne i organizacyjne w zakresie bezpieczeństwa danych

RODO obowiązuje w Polsce już od 7 lat i pomimo to nadal wiele podmiotów nie wprowadziło podstawowych jego zapisów. Na początku UODO pobłażliwie traktowało uchybienia, ale teraz twardo karze za brak zabezpieczeń, takich jak niezaszyfrowane bazy danych, brak regularnego testowania mechanizmów bezpieczeństwa danych, nieodpowiednie zabezpieczenia urządzeń mobilnych. Kary w tym obszarze dotyczą ok. 35% wszystkich nałożonych kar administracyjnych, a ich wysokość przekraczała nawet 500 000 zł.

Pierwszym krokiem jest przeprowadzenie rzetelnej oceny ryzyka, wdrożenie polityki szyfrowania danych w spoczynku i w tranzycie, zarządzanie aktualizacjami, segmentacja sieci (różne sieci dla różnych systemów), wielopoziomowe logowanie i regularne zmiany haseł, tworzenie i testowanie kopii zapasowych oraz przygotowanie procedur odzyskiwania danych.

Brak współpracy z organem nadzorczym i nieprzekazywanie informacji

Ukrywanie naruszenia i liczenie na to, że „nikt nie zauważy”, to wysoce ryzykowna strategia, bo UODO najczęściej dowiaduje się o sprawach od samych poszkodowanych. UODO karze też wtedy, gdy administrator danych osobowych odmawia udostępnienia dokumentów lub danych niezbędnych do kontroli albo opóźnia realizację analizy sprawy. Ten powód nałożenia kary dotyczy co dziesiątej sprawy, a można byłoby go zminimalizować do zera. Jak?

Stwórz kulturę kładącą nacisk na jawne komunikowanie incydentów w zakresie ochrony danych osobowych, wyznacz dedykowaną do kontaktu osobę, przeprowadź szkolenia dla pracowników ze współpracy z UODO i innymi organami, jak CSIRT CeZ i Policją. Na ukrywaniu można stracić podwójnie, bo takie sprawy najczęściej odbijają się szerokim echem w mediach.

Nieprawidłowości w wyznaczaniu lub brak Inspektora Ochrony Danych (IOD)

Trudno w to uwierzyć, ale część podmiotów nadal nie spełniła podstawowego obowiązku RODO, jakim jest wyznaczenie Inspektora Ochrony Danych. W tym przypadku kara jest jednoznaczna, a odwołanie się do sądu administracyjnego – bezskuteczne. To uchybienie najczęściej dotyczy jednostek publicznych. Przy dobrej współpracy z UODO sprawa kończy się upomnieniem, ale w przeszłości były i kary wynoszące od 10 do 150 tys. zł.

Niwelowanie ryzyka otrzymania tej kary też jest proste: sprawdź obowiązki w zakresie IOD w przepisach RODO, wyznacz jego obowiązki, opublikuj dane kontaktowe.

Uchybienia w przekazywaniu danych poza EOG

Statystycznie co szósta kara UODO dotyczy przekazywania danych do krajów znajdujących się poza Europejskim Obszarem Gospodarczym bez wymaganych umów powierzenia. Należy dokładnie przeanalizować ryzyko po stronie dostawców i to czy dane osobowe lub medyczne nie są przetwarzane na serwerach w np. USA (wiele e-usług koncernów zagranicznych jest opartych na chmurach danych znajdujących się właśnie w USA, np. call center).

Kary dla podmiotów medycznych

Choć kary na podmioty medyczne nadal stanowią tylko niewielką część wszystkich kar UODO, to czasami są one bardzo wysokie i rzucają się cieniem na zaufaniu pacjentów do placówki zdrowia.

Oto kilka przykładów. W 2025 roku Centrum Medyczne Ujastek zostało ukarane kwotą ponad 1,1 mln zł za niezgodny z prawem monitoring na salach neonatologii oraz brak odpowiednich zabezpieczeń technicznych i organizacyjnych danych osobowych. W 2024 roku spółka American Heart of Poland otrzymała karę 1,5 mln zł za naruszenie bezpieczeństwa danych około 21 000 osób. Powodem był atak hakerów, będący następstwem błędnej oceny ryzyka i nieprzestrzegania polityki bezpieczeństwa.

Również w 2024 roku SPZOZ w Pajęcznie dostał karę 40 000 zł za niewystarczające środki ochrony danych po ataku ransomware oraz niewypełnienie obowiązku powiadomienia osób dotkniętych incydentem. W 2025 roku Uniwersytecki Dziecięcy Szpital Kliniczny w Białymstoku otrzymał karę 66 500 zł za nieprawidłową analizę ryzyka oraz brak odpowiednich technicznych i organizacyjnych środków po ataku ransomware. Z kolei Gyncentrum otrzymało karę 40 000 zł za niepowiadomienie o naruszeniu danych pacjentów po wysłaniu dokumentu zawierającego dane do niewłaściwej osoby. Na koniec warto zaznaczyć, że polityka bezpieczeństwa danych w podmiocie medycznym nie powinna mieć na celu uniknięcia kary UODO albo innego organu nadzorczego, ale ochronę danych pacjentów. Jeśli to będzie priorytetem, o kary nie trzeba się martwić.

Jak uniknąć kar UODO? Poradnik
Odpowiadaj na każde pismo UODO. Brak odpowiedzi na pisma organu nadzorczego jest najkrótszą drogą do otrzymania kary. Niezależnie od oceny zasadności zarzutów, każda korespondencja z UODO wymaga reakcji w wyznaczonym terminie.

Szyfruj nośniki danych i stosuj kontrolę dostępu. Zagubiony niezaszyfrowany laptop czy pendrive z danymi pacjentów – za to już UODO nakładał kary. Szyfrowanie dysków twardych i nośników przenośnych, polityka czystego biurka, kontrola dostępu do systemów IT to minimum wymagań wynikających z art. 32 RODO.

Przestrzegaj zasady 72 godzin. Każda organizacja musi mieć procedurę zgłaszania naruszeń, regularnie ją testować i komunikować pracownikom. Obejmuje m.in. metody identyfikacji naruszenia, szablon zgłoszenia do UODO oraz kryteria oceny, czy konieczne jest również powiadomienie osób fizycznych.

Weryfikuj podmioty przetwarzające. Wiele kar wynikało z faktu, że administrator nie sprawdził, czy jego podwykonawcy – przykładowo firma IT, dostawca systemu HIS, operatorzy call center – zapewniają właściwy poziom bezpieczeństwa. Umowa powierzenia przetwarzania to absolutne minimum.

Wyznacz IOD. W 2024 roku jedną z kar nałożono na podmiot, który nie wyznaczył Inspektora Ochrony Danych po 6 latach od wejścia w życie RODO. To obowiązek ustawowy.