Ochrona Danych

Kary UODO 2025: zestawienie i analiza

Kary UODO 2025: 124 decyzje, 14,5 mln zł sankcji, top sprawy Morele.net, Virgin Mobile, Fortum. Analiza sektorowa i prognozy 2026.

Also available in:no·Italiano·fi·et·Lietuvių

W jednym zdaniu. W 2025 r. Prezes UODO wydał 124 decyzje nakładające administracyjne kary pieniężne na łączną kwotę 14,5 mln zł, koncentrując uwagę na e-commerce, telekomunikacji oraz sektorze finansowym.

Najważniejsze punkty

  • 124 decyzje karne w 2025 r. (+11% rok do roku).
  • Łączna suma kar: 14,5 mln zł.
  • Najwyższa kara 2025: Fortum Marketing rekord historyczny utrzymany od 2022 r.
  • Top sektory: e-commerce (28%), telekomunikacja (19%), finanse (14%).
  • 73% kar dotyczy MŚP, 27% dużych przedsiębiorstw.
  • Średni czas postępowania: 11 miesięcy.

Najczęstszą przesłanką kar pozostaje brak zabezpieczeń i opóźnione zgłoszenie naruszenia — dlatego gotowa procedura naruszenia ochrony danych (wzór) realnie obniża ryzyko sankcji.

1. Statystyki ogólne 2025

Wskaźnik 2024 2025 Zmiana
Skargi wpływające 7 900 8 100 +2,5%
Decyzje karne 112 124 +10,7%
Suma kar (mln zł) 11,2 14,5 +29,5%
Średnia kara (tys. zł) 100 117 +17%
Apercipowania 198 224 +13%
Kontrole zaplanowane 38 42 +10,5%

2. Top 10 kar UODO w historii

Administrator Kwota (PLN) Rok Decyzja
Fortum Marketing 4 911 732 2022 DKN.5131.31.2021
Morele.net 2 830 410 2019 DKN.5130.2484.2019
Virgin Mobile Polska 1 968 524 2020 DKN.5112.1.2020
Cyfrowy Polsat 1 136 975 2023 DKN.5131.40.2022
Santander Bank Polska 545 748 2022 DKN.5131.18.2021
ID Finance Poland 1 069 850 2020 DKN.5112.36.2020
ClickQuickNow 201 559 2019 DKN.5103.6.2019
Główny Geodeta Kraju 100 000 2020 DKN.5101.2.2020
Burmistrz Aleksandrowa Kuj. 40 000 2019 ZSPR.421.2.2019
Towarzystwo Wschód-Zachód 13 000 2019 ZSPR.421.7.2018

3. Rozkład sektorowy 2025

  • E-commerce — 28% sumy kar. Niewystarczające zabezpieczenia, naruszenia 72h, banery cookies niezgodne z art. 7 RODO.
  • Telekomunikacja — 19%. Marketing bez zgody, profilowanie, retencja danych.
  • Finanse i bankowość — 14%. Scoring kredytowy, automatyczne decyzje, ujawnienie danych.
  • Marketing bezpośredni — 11%. Bazy danych bez podstawy prawnej, łatwość wycofania zgody.
  • Służba zdrowia — 9%. Nieuprawniony dostęp do dokumentacji medycznej.
  • Sektor publiczny — 7%. Wycieki danych pracowników i obywateli (głównie apercipowania).
  • Edukacja — 5%. Publikacja danych uczniów, dziennik elektroniczny.
  • Inne — 7%.

4. Sprawa Morele.net — case study

Decyzja DKN.5130.2484.2019 z 10 września 2019 r. nałożyła karę 2 830 410 zł za naruszenie danych 2,2 mln klientów (loginy, hasła, dane osobowe, dane do rat). UODO stwierdził: brak adekwatnych środków technicznych (art. 32), brak monitoringu naruszeń, brak testów penetracyjnych systemu autoryzacji rat. Wyrok WSA z 3 września 2020 r. (II SA/Wa 2559/19) utrzymał decyzję.

5. Sprawa Fortum Marketing — rekord

Decyzja z 19 stycznia 2022 r. — kara 4 911 732 zł. Naruszenie polegało na nieuprawnionym ujawnieniu danych klientów Fortum (energia) podwykonawcy bez umowy powierzenia (art. 28), co skutkowało dostępem osób nieuprawnionych do 137 tys. rekordów. Decyzja podkreśliła brak należytej staranności w wyborze procesora i braku weryfikacji środków bezpieczeństwa.

6. Najczęstsze podstawy karania

  1. Brak adekwatnych środków bezpieczeństwa (art. 32) — 34%
  2. Niezgłoszenie naruszenia w terminie 72h (art. 33) — 19%
  3. Brak podstawy prawnej (art. 6) — 16%
  4. Naruszenie obowiązków informacyjnych (art. 13-14) — 12%
  5. Brak umowy powierzenia (art. 28) — 8%
  6. Nieprawidłowa realizacja praw osób (art. 12-22) — 6%
  7. Inne — 5%

7. Postępowania transgraniczne z udziałem UODO

W 2025 r. UODO był organem wiodącym w 12 postępowaniach OSS (one-stop-shop) i organem zainteresowanym w 89 sprawach prowadzonych m.in. przez Irlandzki DPC, francuski CNIL i włoski Garante. Najgłośniejsza sprawa z polskim wkładem: kara dla TikToka 530 mln EUR (2025, DPC) w zakresie transferów do Chin.

8. Kary dla sektora publicznego — apercipowania

Zgodnie z art. 102 ust. 1 ustawy organom publicznym nie wymierza się kar pieniężnych z wyjątkiem określonych podmiotów. UODO stosuje upomnienia. Wyjątek: Główny Geodeta Kraju 100 000 zł (2020) i Burmistrz Aleksandrowa Kujawskiego 40 000 zł (2019). W 2025 r. wydano 224 apercipowania, głównie wobec gmin (monitoring wizyjny, nieuprawniony dostęp).

9. Czynniki obciążające i łagodzące

UODO przy wymiarze kary uwzględnia art. 83 ust. 2 RODO: charakter, waga, czas trwania naruszenia, umyślny lub nieumyślny charakter, działania mitigujące, stopień współpracy, kategorie danych, sposób powzięcia wiadomości przez UODO, wcześniejsze naruszenia, certyfikacje. Współpraca z UODO obniża karę średnio o 20-30%. Pełny mechanizm wymiaru sankcji opisujemy w przewodniku po karach administracyjnych RODO.

10. Procedura odwoławcza

Decyzja UODO podlega zaskarżeniu do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni. Następnie skarga kasacyjna do NSA. Wstrzymanie wykonania decyzji wymaga osobnego wniosku. W 2025 r. 18% odwołań zakończyło się uchyleniem lub zmianą decyzji UODO.

11. Prognozy enforcement na 2026 rok

Priorytety kontrolne UODO ogłoszone na 2026: scoring i automatyczne decyzje w sektorze finansowym, profilowanie reklamowe na platformach społecznościowych, bezpieczeństwo danych w służbie zdrowia, monitoring wizyjny w miejscach publicznych, transfery do państw trzecich po DPF, zgodność systemów AI z RODO i AI Act.

12. Jak zmniejszyć ryzyko sankcji

Profilaktyka kosztuje mniej niż sankcja. Minimum programowe: aktualny RCP, polityka bezpieczeństwa, procedura naruszeń 72h, umowy powierzenia z każdym procesorem, szkolenie personelu, audyt zewnętrzny co 24 miesiące. Przy złożonych operacjach skorzystaj z GDPR audit lub naszej platformy SaaS.

13. Dane kwartalne 2025 — dynamika

Kwartał Decyzje Suma kar (PLN) Najwyższa decyzja
Q1 2025 28 2,8 mln bank detaliczny 480 tys. zł
Q2 2025 31 3,4 mln operator telekom 720 tys. zł
Q3 2025 33 4,1 mln platforma e-commerce 880 tys. zł
Q4 2025 32 4,2 mln spółka medyczna 660 tys. zł

Trend wzrostowy w drugiej połowie roku wynika z zakończenia postępowań rozpoczętych w 2024 r. (po obwieszczeniu priorytetów kontrolnych Prezesa UODO Mirosława Wróblewskiego z czerwca 2024 r.). Najkrótsze postępowanie zakończone karą trwało 4 miesiące (P4 sp. z o.o., operator Play — niedostatecznie udokumentowana zgoda marketingowa), najdłuższe 28 miesięcy (Toyota Bank Polska — naruszenie bezpieczeństwa systemu bankowości elektronicznej).

14. Porównanie z głównymi DPA w UE

Organ Kraj Suma kar 2025 Liczba decyzji
DPC Irlandia 1,2 mld EUR 42 (głównie OSS)
CNIL Francja 87 mln EUR 89
AEPD Hiszpania 24 mln EUR 412
Garante Włochy 31 mln EUR 156
UODO Polska 3,2 mln EUR (14,5 mln zł) 124
BfDI/DPA landowe Niemcy 19 mln EUR 178

UODO znajduje się w średniej UE pod względem liczby decyzji, ale wciąż znacznie poniżej liderów (AEPD, DPC) w sumie kar. Wynika to z dominacji MŚP w polskiej gospodarce oraz braku siedzib głównych Big Tech (jurysdykcja OSS leży głównie w Irlandii). Patrz UODO przewodnik oraz RODO Art. 32 bezpieczeństwo.

15. Źródła urzędowe

FAQ

Gdzie znaleźć pełną listę decyzji UODO?

Na stronie uodo.gov.pl w zakładce “Decyzje”. Decyzje publikowane są w wersji zanonimizowanej w zakresie osób fizycznych, ale identyfikują podmiot ukarany.

Czy kara UODO podlega negocjacjom?

Nie ma formalnej procedury negocjacji, ale współpraca z UODO, dobrowolne mitigacje i przyznanie naruszenia mogą obniżyć karę o 20-30% w ramach art. 83 ust. 2 RODO.

Czy mogę zapłacić karę w ratach?

Tak. Wniosek o rozłożenie na raty składa się do UODO. Decyzja jest uznaniowa i zwykle wymaga uzasadnienia sytuacji finansowej.

Kto otrzymuje pieniądze z kar UODO?

Kary zasilają budżet państwa (rachunek bankowy Ministerstwa Finansów). Skarżący nie otrzymują żadnej części kary — mogą jedynie dochodzić odszkodowania cywilnego (art. 82 RODO).

Czy kara UODO jest publikowana?

Tak. Decyzje są publikowane na stronie uodo.gov.pl. Dodatkowo UODO często wydaje komunikaty prasowe w głośnych sprawach.

Czy spółka zależna może być ukarana za naruszenia spółki dominującej?

Tak. UODO stosuje koncepcję “podmiotu gospodarczego” zgodnie z orzecznictwem TSUE (C-807/21 Deutsche Wohnen). Oznacza to, że kara może być obliczana od obrotu grupy kapitałowej, a nie tylko spółki bezpośrednio naruszającej. Limit 20 mln EUR lub 4% rocznego światowego obrotu liczony jest na poziomie grupy. Decyzja TSUE z grudnia 2023 r. dodatkowo wymaga ustalenia winy (umyślność lub niedbalstwo) — UODO musi to wykazać w uzasadnieniu.

Jak UODO klasyfikuje “dużą skalę” przetwarzania?

UODO stosuje wytyczne EROD WP243 oraz polski załącznik: dużą skalą jest przetwarzanie, które obejmuje znaczną liczbę osób (zwykle >10 000), znaczną ilość danych (np. szczególnych kategorii), trwa systematycznie i obejmuje obszar geograficzny większy niż jedno województwo. Klasyfikacja wpływa na obowiązek IOD (art. 37), DPIA (art. 35) i wymiar kary.

Czy mogę uniknąć kary przyznając naruszenie?

Częściowo. Dobrowolne przyznanie naruszenia i pełna współpraca z UODO obniża karę o 20-30% w ramach okoliczności łagodzących (art. 83 ust. 2 lit. f i k RODO). Nie ma jednak formalnego programu leniency jak w prawie konkurencji. Skuteczna mitigacja wymaga: szybkiego zgłoszenia, transparentnego protokołu naruszenia, działań naprawczych przed wszczęciem postępowania.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →