RODO w 2026 – jakie kary grożą firmie za naruszenia?

Jak UODO egzekwuje RODO w Polsce

Urząd Ochrony Danych Osobowych (UODO) to polska instytucja odpowiedzialna za nadzór nad przestrzeganiem przepisów RODO. Od wejścia regulacji w życie w maju 2018 roku urząd systematycznie zwiększa aktywność – zarówno liczbę przeprowadzanych kontroli, jak i liczbę wydawanych decyzji administracyjnych.

UODO dysponuje szerokim wachlarzem środków: upomnienia i nakazy dostosowania przetwarzania, tymczasowe lub stałe ograniczenie operacji na danych, a w poważniejszych przypadkach – dotkliwe kary finansowe. Na celowniku urzędu są zarówno duże korporacje, jak i małe firmy, dla których te same przepisy obowiązują w równym stopniu.

Charakterystyczne jest, że znaczna część kar wynika nie z celowego działania, lecz z zaniedbań organizacyjnych: braku aktualnej dokumentacji, nieprowadzonego rejestru czynności przetwarzania, braku umów z podwykonawcami czy opóźnionego zgłoszenia incydentu bezpieczeństwa. Od 2024 roku UODO szczególnie intensywnie kontroluje sektor MŚP, branżę e-commerce oraz usługi medyczne i kadrowe.

Najczęstsze błędy, za które firmy płacą kary

Analiza decyzji UODO wskazuje na powtarzające się typy naruszeń. Oto błędy, które najczęściej kończą się postępowaniem lub karą:

• Brak odpowiednich zabezpieczeń technicznych – niezaszyfrowane bazy danych, słabe hasła, brak kontroli dostępu do systemów przechowujących dane osobowe.
• Opóźnione lub brakujące zgłoszenie naruszenia – RODO wymaga poinformowania UODO w ciągu 72 godzin od wykrycia incydentu. Wiele firm nie dotrzymuje tego terminu albo w ogóle nie składa zgłoszenia.
• Brak lub nieaktualna dokumentacja – nieprowadzony rejestr czynności przetwarzania (RCP), brak wymaganej oceny skutków (DPIA) dla operacji wysokiego ryzyka.
• Nieprawidłowe klauzule informacyjne – zbyt ogólne, nieczytelne lub brakujące informacje dla osób, których dane są przetwarzane.
• Brak umów powierzenia z podwykonawcami – każdy zewnętrzny podmiot mający dostęp do danych osobowych (dostawca IT, firma księgowa, platforma e-mail) musi podpisać umowę DPA.
• Nadmierne zbieranie danych – przetwarzanie informacji wykraczające poza cel, dla którego zostały zebrane (naruszenie zasady minimalizacji danych).
• Nieskuteczne usuwanie danych – przechowywanie danych dłużej niż wynika z celu przetwarzania lub zaniechanie ich usunięcia na żądanie osoby, której dotyczą.

Ile może zapłacić MŚP za naruszenie RODO?

RODO przewiduje dwa progi kar administracyjnych nakładanych przez organy nadzorcze:

• Do 10 mln euro lub 2% rocznego obrotu – za naruszenia obowiązków organizacyjnych: dokumentacja, rejestr czynności, umowy powierzenia, zgłaszanie naruszeń.
• Do 20 mln euro lub 4% rocznego obrotu – za naruszenia zasad podstawowych: bezprawne przetwarzanie, naruszenie praw osób, nielegalne transfery danych poza Europejski Obszar Gospodarczy.

W praktyce dla polskich MŚP kary sięgają od kilkudziesięciu tysięcy do kilku milionów złotych. UODO bierze pod uwagę m.in. rozmiar firmy, wagę i czas trwania naruszenia, liczbę poszkodowanych osób oraz współpracę z urzędem podczas postępowania. Firma, która aktywnie współpracuje i niezwłocznie wdraża działania naprawcze, może liczyć na złagodzenie sankcji.

Warto pamiętać, że oprócz kary administracyjnej przedsiębiorstwo może być zobowiązane do wypłaty odszkodowań poszkodowanym osobom. Równie bolesne bywają koszty reputacyjne – utrata zaufania klientów i partnerów biznesowych, która przekłada się na wymierne straty przychodów.

RODO a nowe technologie – AI, chmura i monitoring pracowników

W 2026 roku UODO szczególnie intensywnie przypatruje się trzem obszarom, w których firmy nieświadomie naruszają przepisy o ochronie danych:

Sztuczna inteligencja. Narzędzia AI – firmowe chatboty, systemy rekrutacyjne oparte na algorytmach czy automatyczna analiza korespondencji – przetwarzają dane osobowe w sposób wymagający spełnienia szczególnych obowiązków RODO. W wielu przypadkach konieczne jest przeprowadzenie oceny skutków (DPIA) oraz zapewnienie osobom możliwości odwołania się od zautomatyzowanej decyzji wpływającej na ich sytuację prawną.

Usługi chmurowe. Korzystanie z platform SaaS – Microsoft 365, Salesforce, Google Workspace – oznacza powierzenie danych osobowych zewnętrznemu podmiotowi. Wymaga to podpisania umowy powierzenia przetwarzania (DPA) oraz weryfikacji, czy dane pozostają na obszarze EOG lub czy zastosowano właściwe mechanizmy transferu do państw trzecich.

Monitoring pracowników. Nagrywanie ekranów, śledzenie aktywności w sieci, monitoring poczty służbowej czy GPS w firmowych pojazdach – każda z tych praktyk podlega RODO. Firma musi dysponować wyraźną podstawą prawną, poinformować pracowników o zakresie monitoringu i przestrzegać zasady minimalizacji danych.

• Wdrażasz nowe narzędzie AI? Sprawdź, czy operacja wymaga przeprowadzenia DPIA.
• Podpisujesz umowę z nowym dostawcą SaaS? Zażądaj podpisania umowy DPA przed udostępnieniem danych.
• Planujesz monitoring pracowników? Skonsultuj zakres i podstawę prawną z prawnikiem specjalizującym się w RODO.

Jak unikać kar – praktyczne kroki dla firmy

Większości kar UODO można uniknąć, wdrażając kilka podstawowych procedur. Oto plan działania dla MŚP:

1. Prowadź rejestr czynności przetwarzania (RCP) – dokument opisujący, jakie dane osobowe przetwarzasz, w jakim celu, przez kogo i jak długo. To absolutna podstawa zgodności z RODO i pierwsza rzecz, o którą pyta UODO podczas kontroli.
2. Zawrzyj umowy powierzenia z wszystkimi podwykonawcami – dostawcą IT, firmą księgową, platformą e-mail, serwisem CRM. Każdy podmiot z dostępem do danych Twoich klientów lub pracowników musi podpisać umowę DPA.
3. Wdrożenie procedury zgłaszania naruszeń – pracownicy muszą wiedzieć, do kogo i jak zgłaszać podejrzany incydent. Termin 72 godzin na zawiadomienie UODO biegnie od momentu powzięcia wiadomości o naruszeniu, nie od jego faktycznego wystąpienia.
4. Regularne szkolenia pracowników – większość wycieków to skutek błędu ludzkiego: phishing, wysłanie wiadomości na błędny adres, zgubiony laptop bez szyfrowania. Cykliczne szkolenia minimalizują to ryzyko.
5. Cykliczny audyt zgodności RODO – przynajmniej raz w roku sprawdź, czy dokumentacja jest aktualna, czy dane są usuwane po upływie okresu retencji, czy klauzule informacyjne są kompletne i zrozumiałe.
6. Szyfrowanie i kontrola dostępu – dane osobowe muszą być szyfrowane zarówno w spoczynku, jak i podczas transmisji. Dostęp do nich ogranicz wyłącznie do osób, które go faktycznie potrzebują do wykonywania obowiązków służbowych.

Co robić po naruszeniu bezpieczeństwa danych?

Mimo najlepszych zabezpieczeń incydenty mogą się zdarzyć. Właściwa reakcja może znacząco zmniejszyć ryzyko kary lub złagodzić jej wymiar. Oto co zrobić krok po kroku:

1. Niezwłocznie zidentyfikuj zakres naruszenia – jakie dane wyciekły lub zostały utracone, ile osób dotyczy incydent i jakie ryzyko stwarza dla poszkodowanych.
2. Uruchom procedurę wewnętrzną – zablokuj nieautoryzowany dostęp, zabezpiecz dowody, powiadom osobę odpowiedzialną za ochronę danych (Inspektora Ochrony Danych lub wyznaczonego pracownika).
3. Oceń obowiązek zgłoszenia do UODO – zgłoszenie jest wymagane, gdy naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych. W razie wątpliwości lepiej zgłosić – kara za przekroczenie terminu jest surowsza niż za zgłoszenie ostrożnościowe.
4. Złóż zgłoszenie w ciągu 72 godzin – przez portal elektroniczny UODO. Jeśli nie dysponujesz jeszcze wszystkimi informacjami, złóż zgłoszenie wstępne i uzupełnij je w kolejnych krokach.
5. Poinformuj poszkodowane osoby – jeśli naruszenie stwarza wysokie ryzyko dla osób fizycznych, masz obowiązek zawiadomić je bez zbędnej zwłoki, w jasnym i zrozumiałym języku.
6. Udokumentuj całe zdarzenie – nawet jeśli naruszenie nie wymaga zgłoszenia do UODO, musisz je zaewidencjonować w wewnętrznym rejestrze naruszeń i uzasadnić decyzję o braku zawiadomienia organu nadzorczego.

Transparentność i szybka, zdecydowana reakcja to czynniki, które UODO bierze pod uwagę przy wymierzaniu kary. Firma, która samodzielnie zgłasza naruszenie i aktywnie współpracuje z urzędem, może liczyć na łagodniejsze traktowanie niż ta, która naruszenie ukrywa lub zwleka z działaniem.