DLA Piper: europejskie organy ochrony danych osobowych nałożyły już ponad 7,1 mld EUR kar

Wartość kar nałożonych w 2025 roku w Europie przez organy nadzoru wyniosła 1,2 mld EUR, co stanowi wynik zbliżony do tego z 2024 roku. W ubiegłym roku największą karą pieniężną o wartości 530 mln EUR została ukarana firma z sektora mediów społecznościowych, z powodu niezapewnienia odpowiedniego poziomu ochrony w związku z transferem danych osobowych do Chin. Rekordową karę nałożył irlandzki organ nadzoru.

„Zeszłoroczny poziom kar pokazuje, że europejskie organy regulacyjne pozostają bardzo aktywne. Tę aktywność widać szczególnie w obszarach takich, jak bezpieczeństwo informacji, międzynarodowe transfery danych, transparentność, a także w kwestii wykorzystania danych do rozwoju sztucznej inteligencji” - mówi Ewa Kurowska-Tober, partnerka kierująca zespołem prawa własności intelektualnej i nowych technologii (IPT) w DLA Piper w Warszawie.

O ponad jedną piątą wzrosła w 2025 roku liczba zgłoszeń naruszeń danych osobowych w Europie, osiągając średnio 443 zgłoszeń dziennie. Podobnie jak w ostatnich latach trzy kraje - Holandia, Niemcy i Polska zajmują czołowe miejsca pod względem liczby zgłoszonych naruszeń bezpieczeństwa danych. W 2025 roku w Holandii zgłoszono 39 773 naruszeń, a w Niemczech 34 467. W Polsce liczba zgłoszonych naruszeń wzrosła rok do roku o 4 779 przypadków, czyli o 33 proc. i wyniosła 19 065 - wynika z analiz DLA Piper.

„Silny wzrost liczby naruszeń pokazuje, jak ważne jest cyberbezpieczeństwo, coraz większa liczba cyberataków na systemy IT przekłada się na liczbę naruszeń - dodaje Ewa Kurowska-Tober. - Ta sytuacja powinna skłonić firmy do skupienia się na obszarze bezpieczeństwa danych w nadchodzącym roku, zaniedbanie oznacza rosnące ryzyko strat finansowych i wizerunkowych związanych z cyberatakami. Nie bez znaczenia pozostaje także fakt, że wraz z rozwojem sztucznej inteligencji pojawiają się nowe zagrożenia związane z ochroną danych, na które wiele organizacji nie jest dziś przygotowane”.

Irlandia pozostaje liderem pod względem wysokości kar nałożonych od momentu wejścia w życie RODO w maju 2018 roku. Urząd ochrony danych osobowych tego kraju nałożył już kary o łącznej wartości 4,04 mld EUR. Na drugim miejscu plasuje się Francja z łącznymi karami w wysokości 1,13 mld EUR, a na trzecim Luksemburg z 747 mln EUR. W Polsce łączna wartość kar wydanych od 2018 roku przez Prezesa Urzędu Ochrony Danych Osobowych wyniosła 22,3 mln EUR. Choć uwagę regulatorów w ostatnim roku w coraz większym stopniu przyciągały firmy świadczące usługi finansowe, telekomunikacyjne i dostawcy usług użyteczności publicznej, najwyższe kary w Europie nadal dotyczą podmiotów z branży technologicznej i mediów społecznościowych - dziewięć z dziesięciu najwyższych kar w historii otrzymały firmy właśnie z tego sektora. 

„Patrząc na wysokość kar nałożonych w ostatnich kilku latach, wyraźnie widzimy, że europejscy regulatorzy nie ulegają presji, pomimo rosnącej krytyki ich działań spoza Europy, i nadal są skłonni twardo egzekwować przestrzeganie przepisów w zakresie ochrony danych” - mówi Piotr Czulak, counsel w zespole IPT w warszawskim biurze DLA Piper.

Kar związanych z wykorzystaniem danych osobowych nie uniknęły też firmy rozwijające produkty oparte na AI. Włoski organ nadzoru ukarał lokalnego przedsiębiorcę w związku z oferowaną przez niego usługą - chatbotem z interfejsem głosowym i pisemnym opartym na generatywnej sztucznej inteligencji. Regulator uznał, że firma naruszyła przepisy RODO, ponieważ nie określiła podstawy prawnej operacji przetwarzania danych, nie dostarczyła odpowiednich klauzul informacyjnych, a także nie wdrożyła żadnych mechanizmów weryfikacji wieku użytkowników. 

„Europejscy regulatorzy nadal aktywnie monitorują wykorzystanie danych do szkolenia modeli językowych, ale znajdują się pod coraz większą presją, by ochrona danych nie stała na przeszkodzie innowacji zarówno w sektorze prywatnym, jak i publicznym. Propozycje zmian w prawie wysuwane w ostatnich miesiącach miałyby zakładać wyjątki od przepisów RODO związane z wykorzystaniem danych osobowych na potrzeby rozwoju AI na podstawie >>prawnie uzasadnionego interesu<<, z zachowaniem zabezpieczeń, takich jak minimalizacja danych, przejrzystość i prawo do sprzeciwu” - dodaje Piotr Czulak.

Raport DLA Piper objął 27 państw członkowskich Unii Europejskiej, a także Wielką Brytanię, Norwegię, Islandię i Liechtenstein.

Cały raport dotyczący naruszeń ochrony danych dostępny jest: DLA Piper GDPR Fines and Data Breach Survey: January 2026

Źródło informacji: DLA Piper