Ochrona Danych

Kary administracyjne RODO: przewodnik 2026

Kary administracyjne RODO: art. 83, kategoria sankcji, wymiar, polskie i unijne rekordy. Strategia obrony i mitygacji 2026.

W jednym zdaniu. Administracyjne kary pieniężne z art. 83 RODO mogą sięgać 20 mln EUR lub 4% rocznego obrotu globalnego, a europejski rekord ustanowiła Irlandzka DPC nakładając w 2023 r. karę 1,2 mld EUR na Meta Platforms za niezgodne transfery do USA.

Najważniejsze punkty

  • Dwie kategorie kar: art. 83 ust. 4 (do 10 mln EUR / 2%) i art. 83 ust. 5 (do 20 mln EUR / 4%).
  • 11 kryteriów wymiaru kary (art. 83 ust. 2).
  • Top kara UE: Meta 1,2 mld EUR (DPC 2023) za transfery.
  • Top kara Polska: Fortum Marketing 4,9 mln zł (UODO 2022).
  • 60% kar w UE wystawia 5 organów: DPC, CNIL, Garante, AEPD, BfDI.
  • Kara nie zwalnia z odpowiedzialności cywilnej (art. 82).

1. Architektura sankcji RODO

Art. 83 RODO ustanawia dwie kategorie kar:

  • Niższa kategoria (art. 83 ust. 4) — do 10 mln EUR lub 2% obrotu: naruszenia administratora/procesora (art. 8, 11, 25-39, 42, 43), organu certyfikującego, monitorującego kodeks postępowania.
  • Wyższa kategoria (art. 83 ust. 5) — do 20 mln EUR lub 4% obrotu: naruszenia podstawowych zasad (art. 5-7, 9), praw osób (art. 12-22), transferów (art. 44-49), państw członkowskich (rozdział IX).

2. Kryteria wymiaru kary (art. 83 ust. 2)

11 kryteriów:

  1. Charakter, waga, czas trwania naruszenia.
  2. Umyślny lub nieumyślny charakter.
  3. Działania zaradcze.
  4. Stopień odpowiedzialności (art. 25 i 32).
  5. Wcześniejsze naruszenia.
  6. Współpraca z organem.
  7. Kategorie danych.
  8. Sposób uzyskania wiedzy o naruszeniu.
  9. Wcześniejsze środki naprawcze.
  10. Przestrzeganie kodeksów/certyfikacji.
  11. Wszelkie inne okoliczności obciążające/łagodzące.

3. Wytyczne EROD 04/2022

EROD opublikowała Guidelines 04/2022 dotyczące obliczania kar. Pięć etapów:

  1. Identyfikacja naruszeń (zliczenie i kategoryzacja).
  2. Kalkulacja punktu wyjścia (na podstawie wagi i obrotu).
  3. Modyfikacja przez czynniki obciążające/łagodzące.
  4. Weryfikacja maksimum prawnego.
  5. Ocena efektywności, proporcjonalności, prewencji.

Wytyczne przyniosły większą przewidywalność, choć organy zachowują dyskrecję.

4. Top 10 kar RODO w UE

Podmiot Organ Kwota (EUR) Rok
Meta Platforms DPC 1 200 000 000 2023
Amazon CNPD Luksemburg 746 000 000 2021
Meta (Instagram) DPC 405 000 000 2022
TikTok DPC 530 000 000 2025
Meta (Facebook) DPC 390 000 000 2023
Meta (WhatsApp) DPC 225 000 000 2021
Google CNIL 150 000 000 2022
Facebook CNIL 60 000 000 2022
Microsoft CNIL 60 000 000 2022
Uber AP Niderlandy 290 000 000 2024

5. Top 10 kar UODO

Podmiot Rok Kwota (PLN)
Fortum Marketing 2022 4 911 732
Morele.net 2019 2 830 410
Virgin Mobile Polska 2020 1 968 524
Cyfrowy Polsat 2023 1 136 975
ID Finance Poland 2020 1 069 850
Santander Bank Polska 2022 545 748
Bank Millennium 2021 363 832
ClickQuickNow 2019 201 559
Centrum Medyczne ENEL-MED 2023 144 000
TUW PZUW 2023 110 000

6. Procedura postępowania UODO

  1. Wszczęcie — z urzędu lub na wniosek (skarga).
  2. Postępowanie wyjaśniające — żądanie informacji, oględziny.
  3. Postanowienie o wszczęciu postępowania administracyjnego.
  4. Postępowanie dowodowe — strona ma prawo wypowiedzi, dostępu do akt.
  5. Decyzja — z uzasadnieniem faktycznym i prawnym.
  6. Wykonalność — 14 dni na zapłatę po uprawomocnieniu.
  7. Odwołanie — skarga do WSA w 30 dni.

7. Czynniki obciążające w praktyce UODO

  • Niezgłoszenie naruszenia w 72h (Morele.net, Bank Millennium).
  • Brak współpracy z UODO.
  • Brak działań mitigujących.
  • Wcześniejsze naruszenia.
  • Recydywa (powtórzenie podobnego naruszenia).
  • Brak IOD lub niezgłoszenie IOD.
  • Duża skala naruszenia (Morele 2,2 mln, ID Finance 5 mln).
  • Dane szczególnych kategorii (zdrowie, finanse).

8. Czynniki łagodzące

  • Szybkie zgłoszenie naruszenia.
  • Pełna współpraca z UODO.
  • Wdrożenie środków zaradczych przed decyzją.
  • Inwestycja w bezpieczeństwo po incydencie.
  • Certyfikaty (ISO 27001, ISO 27701).
  • Brak wcześniejszych naruszeń.
  • Powiadomienie osób (art. 34).
  • Dobrowolne przyznanie błędu.

9. Odwołanie do WSA

Decyzja UODO podlega skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie w 30 dni od doręczenia. Wstrzymanie wykonania — osobny wniosek. WSA rozpatruje legalność (nie celowość). Częstotliwość uchyleń: 18% spraw w 2025 r. (uchylenie pełne lub częściowe). Następnie skarga kasacyjna do NSA (kwestie prawne).

10. Odpowiedzialność cywilna (art. 82)

Kara administracyjna nie zwalnia z odpowiedzialności cywilnej. Każda osoba, której prawa naruszono, może żądać odszkodowania od administratora lub procesora. Wyrok TSUE C-300/21 (UI v Österreichische Post): odszkodowanie nie wymaga ciężaru szkody powyżej “progu de minimis” — wystarczy faktyczna szkoda majątkowa lub niemajątkowa.

11. Kara dla podmiotu publicznego

Art. 102 ust. 1 ustawy o ochronie danych osobowych: organom publicznym nie wymierza się kar pieniężnych z wyjątkiem podmiotów określonych. UODO stosuje:

  • Apercipowania (upomnienia).
  • Decyzje zakazujące przetwarzania.
  • Decyzje nakazujące dostosowanie.

Wyjątek: Główny Geodeta Kraju 100 tys. zł (2020), Burmistrz Aleksandrowa Kujawskiego 40 tys. zł (2019).

12. Strategia obrony i mitigacji

Przed kontrolą:

  • Aktualna dokumentacja RODO.
  • Procedura naruszeń z testem.
  • Szkolenia personelu z dowodem.
  • Audyt zewnętrzny w ostatnich 24 miesiącach.

Po naruszeniu:

  • Natychmiastowe zgłoszenie 72h.
  • Wdrożenie środków zaradczych.
  • Pełna współpraca z UODO.
  • Komunikacja z osobami (art. 34).
  • Rozważenie pomocy radcy specjalizującego się w RODO.

Zobacz GDPR fines, Kary UODO 2025 oraz RODO Art. 32 bezpieczeństwo.

13. Orzecznictwo TSUE wpływające na wymiar kar

TSUE w ostatnich dwóch latach radykalnie ukształtował praktykę nakładania kar. C-807/21 Deutsche Wohnen (5 grudnia 2023) — kara wymaga ustalenia winy administratora (umyślność lub niedbalstwo), nie wystarcza obiektywne naruszenie. C-683/21 Nacionalinis visuomenės sveikatos centras — koncepcja podmiotu gospodarczego, kara liczona od obrotu grupy. C-340/21 (Natsionalna agentsia za prihodite) — odpowiedzialność administratora także za atak hakerski, jeśli środki bezpieczeństwa były nieadekwatne. C-300/21 Österreichische Post — odszkodowanie cywilne wymaga rzeczywistej szkody, ale brak progu de minimis. C-634/21 SCHUFA — zautomatyzowane decyzje scoringowe podlegają art. 22 RODO nawet jeśli ostateczną decyzję podejmuje człowiek opierając się na scoringu. Polskie sądy administracyjne (WSA Warszawa, NSA) systematycznie powołują się na te wyroki przy ocenie decyzji UODO.

14. Najlepsze praktyki obronne — checklista pre-incident

Praktyka pokazuje, że firmy z udokumentowanym programem compliance otrzymują kary średnio o 35% niższe. Minimum: RCP zgodny z art. 30 i aktualny w ciągu ostatnich 90 dni, polityka bezpieczeństwa z mapowaniem TOMs do art. 32, procedura naruszeń przetestowana w ramach tabletop exercise w ostatnich 12 miesiącach, umowy powierzenia z każdym procesorem (Morele.net i Fortum sankcjonowane m.in. za brak), DPIA dla operacji wysokiego ryzyka, szkolenia personelu z testami i certyfikatami, audyt zewnętrzny w 24-miesięcznym cyklu. Patrz umowa powierzenia wzór oraz Zgłoszenie naruszenia.

FAQ

Czy mogę negocjować karę z UODO?

Nie ma formalnej negocjacji jak w USA. Można jednak uzyskać obniżenie poprzez współpracę, mitigacje, przyznanie naruszenia. Czynniki te mogą zmniejszyć karę o 20-30%.

Czy zarząd odpowiada osobiście za karę?

Nie z mocy RODO. Kara administracyjna nakładana jest na administratora (osobę prawną). Odpowiedzialność osobistą członków zarządu może powodować KSH (Kodeks spółek handlowych) lub Kodeks karny (art. 107-108 ustawy o ochronie danych).

Jak długo czeka się na decyzję UODO?

Średnio 11-14 miesięcy od skargi/wszczęcia. Złożone sprawy — do 21 miesięcy (12 + 9 przedłużenie). Sprawy transgraniczne (OSS) trwają dłużej (24-36 miesięcy).

Czy mogę odroczyć płatność kary?

Tak. Wniosek o rozłożenie na raty lub odroczenie składa się do UODO. Decyzja uznaniowa, wymaga uzasadnienia (sytuacja finansowa, ryzyko bankructwa).

Czy ubezpieczenie pokryje karę RODO?

Polskie i unijne polisy zwykle nie pokrywają kar administracyjnych (sprzeczne z porządkiem publicznym). Pokrywają natomiast koszty obrony prawnej, zarządzania kryzysem, odpowiedzialności cywilnej z art. 82.

Czy UODO może przeprowadzić niezapowiedzianą kontrolę?

Tak. Art. 78 ustawy o ochronie danych osobowych pozwala na kontrolę bez wcześniejszego zawiadomienia, jeśli zachodzi uzasadnione podejrzenie naruszenia (np. po zgłoszeniu naruszenia art. 33, po skardze, po medialnym ujawnieniu wycieku). Kontrolerzy okazują legitymację i upoważnienie pisemne podpisane przez Prezesa UODO. Mają prawo wstępu do pomieszczeń w godzinach pracy, wglądu do dokumentacji, kopiowania nośników i przesłuchiwania pracowników. Odmowa współpracy stanowi czynnik obciążający przy wymiarze kary.

Jakie są najczęstsze błędy administratorów w postępowaniu UODO?

Top błędy z praktyki: (1) niezgłoszenie naruszenia w 72h licząc od stwierdzenia (a nie od ustalenia szczegółów), (2) brak udokumentowanej oceny ryzyka (Morele.net), (3) udzielanie ogólnikowych odpowiedzi na wezwania UODO, (4) brak współpracy z IOD przy postępowaniu, (5) opóźnione zawiadomienie osób (art. 34) — często w spektakularnych sprawach po medialnym ujawnieniu wycieku, (6) próba bagatelizowania skali (UODO sprawdza wzajemnie dane z logów systemowych), (7) brak umów powierzenia (Fortum 4,9 mln zł).

Podstawa prawna i źródła

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →