W jednym zdaniu. Administracyjne kary pieniężne z art. 83 RODO mogą sięgać 20 mln EUR lub 4% rocznego obrotu globalnego, a europejski rekord ustanowiła Irlandzka DPC nakładając w 2023 r. karę 1,2 mld EUR na Meta Platforms za niezgodne transfery do USA.
Najważniejsze punkty
- Dwie kategorie kar: art. 83 ust. 4 (do 10 mln EUR / 2%) i art. 83 ust. 5 (do 20 mln EUR / 4%).
- 11 kryteriów wymiaru kary (art. 83 ust. 2).
- Top kara UE: Meta 1,2 mld EUR (DPC 2023) za transfery.
- Top kara Polska: Fortum Marketing 4,9 mln zł (UODO 2022).
- 60% kar w UE wystawia 5 organów: DPC, CNIL, Garante, AEPD, BfDI.
- Kara nie zwalnia z odpowiedzialności cywilnej (art. 82).
1. Architektura sankcji RODO
Art. 83 RODO ustanawia dwie kategorie kar:
- Niższa kategoria (art. 83 ust. 4) — do 10 mln EUR lub 2% obrotu: naruszenia administratora/procesora (art. 8, 11, 25-39, 42, 43), organu certyfikującego, monitorującego kodeks postępowania.
- Wyższa kategoria (art. 83 ust. 5) — do 20 mln EUR lub 4% obrotu: naruszenia podstawowych zasad (art. 5-7, 9), praw osób (art. 12-22), transferów (art. 44-49), państw członkowskich (rozdział IX).
2. Kryteria wymiaru kary (art. 83 ust. 2)
11 kryteriów:
- Charakter, waga, czas trwania naruszenia.
- Umyślny lub nieumyślny charakter.
- Działania zaradcze.
- Stopień odpowiedzialności (art. 25 i 32).
- Wcześniejsze naruszenia.
- Współpraca z organem.
- Kategorie danych.
- Sposób uzyskania wiedzy o naruszeniu.
- Wcześniejsze środki naprawcze.
- Przestrzeganie kodeksów/certyfikacji.
- Wszelkie inne okoliczności obciążające/łagodzące.
3. Wytyczne EROD 04/2022
EROD opublikowała Guidelines 04/2022 dotyczące obliczania kar. Pięć etapów:
- Identyfikacja naruszeń (zliczenie i kategoryzacja).
- Kalkulacja punktu wyjścia (na podstawie wagi i obrotu).
- Modyfikacja przez czynniki obciążające/łagodzące.
- Weryfikacja maksimum prawnego.
- Ocena efektywności, proporcjonalności, prewencji.
Wytyczne przyniosły większą przewidywalność, choć organy zachowują dyskrecję.
4. Top 10 kar RODO w UE
| Podmiot | Organ | Kwota (EUR) | Rok |
|---|---|---|---|
| Meta Platforms | DPC | 1 200 000 000 | 2023 |
| Amazon | CNPD Luksemburg | 746 000 000 | 2021 |
| Meta (Instagram) | DPC | 405 000 000 | 2022 |
| TikTok | DPC | 530 000 000 | 2025 |
| Meta (Facebook) | DPC | 390 000 000 | 2023 |
| Meta (WhatsApp) | DPC | 225 000 000 | 2021 |
| CNIL | 150 000 000 | 2022 | |
| CNIL | 60 000 000 | 2022 | |
| Microsoft | CNIL | 60 000 000 | 2022 |
| Uber | AP Niderlandy | 290 000 000 | 2024 |
5. Top 10 kar UODO
| Podmiot | Rok | Kwota (PLN) |
|---|---|---|
| Fortum Marketing | 2022 | 4 911 732 |
| Morele.net | 2019 | 2 830 410 |
| Virgin Mobile Polska | 2020 | 1 968 524 |
| Cyfrowy Polsat | 2023 | 1 136 975 |
| ID Finance Poland | 2020 | 1 069 850 |
| Santander Bank Polska | 2022 | 545 748 |
| Bank Millennium | 2021 | 363 832 |
| ClickQuickNow | 2019 | 201 559 |
| Centrum Medyczne ENEL-MED | 2023 | 144 000 |
| TUW PZUW | 2023 | 110 000 |
6. Procedura postępowania UODO
- Wszczęcie — z urzędu lub na wniosek (skarga).
- Postępowanie wyjaśniające — żądanie informacji, oględziny.
- Postanowienie o wszczęciu postępowania administracyjnego.
- Postępowanie dowodowe — strona ma prawo wypowiedzi, dostępu do akt.
- Decyzja — z uzasadnieniem faktycznym i prawnym.
- Wykonalność — 14 dni na zapłatę po uprawomocnieniu.
- Odwołanie — skarga do WSA w 30 dni.
7. Czynniki obciążające w praktyce UODO
- Niezgłoszenie naruszenia w 72h (Morele.net, Bank Millennium).
- Brak współpracy z UODO.
- Brak działań mitigujących.
- Wcześniejsze naruszenia.
- Recydywa (powtórzenie podobnego naruszenia).
- Brak IOD lub niezgłoszenie IOD.
- Duża skala naruszenia (Morele 2,2 mln, ID Finance 5 mln).
- Dane szczególnych kategorii (zdrowie, finanse).
8. Czynniki łagodzące
- Szybkie zgłoszenie naruszenia.
- Pełna współpraca z UODO.
- Wdrożenie środków zaradczych przed decyzją.
- Inwestycja w bezpieczeństwo po incydencie.
- Certyfikaty (ISO 27001, ISO 27701).
- Brak wcześniejszych naruszeń.
- Powiadomienie osób (art. 34).
- Dobrowolne przyznanie błędu.
9. Odwołanie do WSA
Decyzja UODO podlega skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie w 30 dni od doręczenia. Wstrzymanie wykonania — osobny wniosek. WSA rozpatruje legalność (nie celowość). Częstotliwość uchyleń: 18% spraw w 2025 r. (uchylenie pełne lub częściowe). Następnie skarga kasacyjna do NSA (kwestie prawne).
10. Odpowiedzialność cywilna (art. 82)
Kara administracyjna nie zwalnia z odpowiedzialności cywilnej. Każda osoba, której prawa naruszono, może żądać odszkodowania od administratora lub procesora. Wyrok TSUE C-300/21 (UI v Österreichische Post): odszkodowanie nie wymaga ciężaru szkody powyżej “progu de minimis” — wystarczy faktyczna szkoda majątkowa lub niemajątkowa.
11. Kara dla podmiotu publicznego
Art. 102 ust. 1 ustawy o ochronie danych osobowych: organom publicznym nie wymierza się kar pieniężnych z wyjątkiem podmiotów określonych. UODO stosuje:
- Apercipowania (upomnienia).
- Decyzje zakazujące przetwarzania.
- Decyzje nakazujące dostosowanie.
Wyjątek: Główny Geodeta Kraju 100 tys. zł (2020), Burmistrz Aleksandrowa Kujawskiego 40 tys. zł (2019).
12. Strategia obrony i mitigacji
Przed kontrolą:
- Aktualna dokumentacja RODO.
- Procedura naruszeń z testem.
- Szkolenia personelu z dowodem.
- Audyt zewnętrzny w ostatnich 24 miesiącach.
Po naruszeniu:
- Natychmiastowe zgłoszenie 72h.
- Wdrożenie środków zaradczych.
- Pełna współpraca z UODO.
- Komunikacja z osobami (art. 34).
- Rozważenie pomocy radcy specjalizującego się w RODO.
Zobacz GDPR fines, Kary UODO 2025 oraz RODO Art. 32 bezpieczeństwo.
13. Orzecznictwo TSUE wpływające na wymiar kar
TSUE w ostatnich dwóch latach radykalnie ukształtował praktykę nakładania kar. C-807/21 Deutsche Wohnen (5 grudnia 2023) — kara wymaga ustalenia winy administratora (umyślność lub niedbalstwo), nie wystarcza obiektywne naruszenie. C-683/21 Nacionalinis visuomenės sveikatos centras — koncepcja podmiotu gospodarczego, kara liczona od obrotu grupy. C-340/21 (Natsionalna agentsia za prihodite) — odpowiedzialność administratora także za atak hakerski, jeśli środki bezpieczeństwa były nieadekwatne. C-300/21 Österreichische Post — odszkodowanie cywilne wymaga rzeczywistej szkody, ale brak progu de minimis. C-634/21 SCHUFA — zautomatyzowane decyzje scoringowe podlegają art. 22 RODO nawet jeśli ostateczną decyzję podejmuje człowiek opierając się na scoringu. Polskie sądy administracyjne (WSA Warszawa, NSA) systematycznie powołują się na te wyroki przy ocenie decyzji UODO.
14. Najlepsze praktyki obronne — checklista pre-incident
Praktyka pokazuje, że firmy z udokumentowanym programem compliance otrzymują kary średnio o 35% niższe. Minimum: RCP zgodny z art. 30 i aktualny w ciągu ostatnich 90 dni, polityka bezpieczeństwa z mapowaniem TOMs do art. 32, procedura naruszeń przetestowana w ramach tabletop exercise w ostatnich 12 miesiącach, umowy powierzenia z każdym procesorem (Morele.net i Fortum sankcjonowane m.in. za brak), DPIA dla operacji wysokiego ryzyka, szkolenia personelu z testami i certyfikatami, audyt zewnętrzny w 24-miesięcznym cyklu. Patrz umowa powierzenia wzór oraz Zgłoszenie naruszenia.
FAQ
Czy mogę negocjować karę z UODO?
Nie ma formalnej negocjacji jak w USA. Można jednak uzyskać obniżenie poprzez współpracę, mitigacje, przyznanie naruszenia. Czynniki te mogą zmniejszyć karę o 20-30%.
Czy zarząd odpowiada osobiście za karę?
Nie z mocy RODO. Kara administracyjna nakładana jest na administratora (osobę prawną). Odpowiedzialność osobistą członków zarządu może powodować KSH (Kodeks spółek handlowych) lub Kodeks karny (art. 107-108 ustawy o ochronie danych).
Jak długo czeka się na decyzję UODO?
Średnio 11-14 miesięcy od skargi/wszczęcia. Złożone sprawy — do 21 miesięcy (12 + 9 przedłużenie). Sprawy transgraniczne (OSS) trwają dłużej (24-36 miesięcy).
Czy mogę odroczyć płatność kary?
Tak. Wniosek o rozłożenie na raty lub odroczenie składa się do UODO. Decyzja uznaniowa, wymaga uzasadnienia (sytuacja finansowa, ryzyko bankructwa).
Czy ubezpieczenie pokryje karę RODO?
Polskie i unijne polisy zwykle nie pokrywają kar administracyjnych (sprzeczne z porządkiem publicznym). Pokrywają natomiast koszty obrony prawnej, zarządzania kryzysem, odpowiedzialności cywilnej z art. 82.
Czy UODO może przeprowadzić niezapowiedzianą kontrolę?
Tak. Art. 78 ustawy o ochronie danych osobowych pozwala na kontrolę bez wcześniejszego zawiadomienia, jeśli zachodzi uzasadnione podejrzenie naruszenia (np. po zgłoszeniu naruszenia art. 33, po skardze, po medialnym ujawnieniu wycieku). Kontrolerzy okazują legitymację i upoważnienie pisemne podpisane przez Prezesa UODO. Mają prawo wstępu do pomieszczeń w godzinach pracy, wglądu do dokumentacji, kopiowania nośników i przesłuchiwania pracowników. Odmowa współpracy stanowi czynnik obciążający przy wymiarze kary.
Jakie są najczęstsze błędy administratorów w postępowaniu UODO?
Top błędy z praktyki: (1) niezgłoszenie naruszenia w 72h licząc od stwierdzenia (a nie od ustalenia szczegółów), (2) brak udokumentowanej oceny ryzyka (Morele.net), (3) udzielanie ogólnikowych odpowiedzi na wezwania UODO, (4) brak współpracy z IOD przy postępowaniu, (5) opóźnione zawiadomienie osób (art. 34) — często w spektakularnych sprawach po medialnym ujawnieniu wycieku, (6) próba bagatelizowania skali (UODO sprawdza wzajemnie dane z logów systemowych), (7) brak umów powierzenia (Fortum 4,9 mln zł).
Podstawa prawna i źródła
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial