W 2025 roku UODO nałożyl 26 kar na kwotę 64 mln. Za co?

Za jakie naruszenia ochrony danych UODO najczęściej nakładał kary i upominał w 2025 roku? Jakie wnioski płyną z tych spraw dla placówek zdrowia? O to zapytaliśmy Mirosława Wróblewskiego,
Prezesa Urzędu Ochrony Danych Osobowych (UODO).

W 2025 roku* Prezes UODO wydał 17 decyzji administracyjnych, w których nałożył 26 administracyjnych kar pieniężnych. Kilkukrotnie w jednej decyzji administracyjnej została nałożona więcej niż jedna kara i niekiedy kary dostawali nie tylko administratorzy, ale i podmioty przetwarzające. Wszystkich ukaranych podmiotów było 19. A łączna wysokość wszystkich kar to ponad 64 mln zł (64 320 426,25 zł).

Kary Prezesa UODO często mają związek z naruszeniami ochrony danych osobowych, ale są nakładane nie za to, że doszło do konkretnego incydentu, ale za nieprzestrzeganie przepisów o ochronie danych osobowych. Bardzo często bagatelizowanie lub lekceważenie przepisów RODO kończy się np. wyciekiem danych. Analiza spraw wykazuje, że gdyby administratorzy przestrzegali określonych przepisów i zgodnie z nimi testowali wprowadzone przez siebie zabezpieczenia techniczne i organizacyjne, to do wielu naruszeń by nie doszło.

W 2025 roku kary były nakładane m.in. za niezgłoszenie naruszenia ochrony danych osobowych Prezesowi UODO, brak uwzględnienia w analizie ryzyka przetwarzania danych w określony sposób. Przykładowo, w jednej ze spraw z sektora zdrowia analiza ta nie brała pod uwagę ryzyk związanych z przetwarzaniem danych pacjentów podczas wizyt domowych. Kary nałożono też za niewdrożenie odpowiednich środków technicznych i organizacyjnych, co doprowadziło do przełamania zabezpieczeń infrastruktury informatycznej, czy niezapewnienie, by wykonywane przez inspektora ochrony danych inne zadania i obowiązki nie powodowały konfliktu interesów. Również prowadzenie monitoringu wizyjnego niezgodnie z przepisami oraz niezabezpieczenie nośników z danymi, które zostały później utracone, są przykładami spraw, w których Prezes UODO zastosował pieniężną karę administracyjną.

Podstawowym wnioskiem, jaki można wyciągnąć z decyzji karowych jest to, aby administratorzy danych należycie przeprowadzali analizę ryzyka. Taki proces pozwala dokładnie przemyśleć i dobrać odpowiednie środki techniczne i organizacyjne do zidentyfikowanych ryzyk związanych z przetwarzaniem danych. Bywa, że tej analizy brakuje. Bez tego nie da się prawidłowo zidentyfikować zasobów, jakimi dysponuje administrator, i zagrożeń, a następnie dobrać odpowiednich rozwiązań, by skutecznie chronić dane.

Warto sobie zdawać sprawę, że jeżeli administrator dopuszcza określone przetwarzanie danych, np. na mobilnych nośnikach pamięci, to powinien uwzględnić wszystkie ryzyka, jakie mogą się z tym wiązać. Musi więc zastanowić się, jak zabezpieczyć takie urządzenia na wypadek ich zgubienia czy kradzieży.

Kolejną ważną sprawą są szkolenia personelu. Nie można tego pomijać. Administrator musi uświadamiać pracowników, jak mają postępować z danymi, komu mogą je udostępniać. Ponadto niewystarczające jest jednorazowe przeszkolenie pracownika. Wiedzę na temat ochrony danych osobowych trzeba odświeżać oraz uaktualniać. Niemal co chwilę mamy do czynienia z nowymi metodami działania cyberprzestępców albo modyfikacjami dotychczasowych sposobów ich działania. I na to trzeba cały czas uczulać pracowników.

Trzeba też pamiętać, że każdy administrator musi mieć wyraźną podstawę prawną do przetwarzania określonych danych w konkretny sposób. Przykładowo, jeżeli placówka ochrony zdrowia może stosować w określony sposób monitoring wizyjny i do określonych celów, to nie może stosować ukrytych kamer. A taka sytuacja miała miejsce w Centrum Medycznym Ujastek, gdzie stosowano monitoring wizyjny z rażącym naruszeniem przepisów. Ten przykład jest radykalny, coroczne sprawozdanie Prezesa UODO z działalności wskazuje, że brak podstawy prawnej także w innych przypadkach nie jest wcale taki rzadki.

* Dane do końca listopada 2025 roku.

Czytaj także: Te projekty e-zdrowia z KPO wchodzą w 2026 roku w kluczową fazę