Kary za naruszenie RODO

Badanie DLA Piper dotyczące kar i naruszeń danych w związku z RODO: styczeń 2026 r. potwierdza trend, który wiele organizacji odczuwa już w swojej działalności:

➡️ więcej cyberincydentów, więcej zgłoszeń naruszeń i utrzymująca się wysoka aktywność organów egzekwujących prawo w całej Europie.

Egzekwowanie przepisów RODO nie zwalnia tempa, ale dojrzewa i skupia się na konkretnych obszarach, zwłaszcza tam, gdzie zawodzi cyberbezpieczeństwo i zarządzanie.

1,2 mld euro kar

W 2025 r. europejskie organy nadzorcze nałożyły kary związane z RODO w wysokości około 1,2 mld euro.

Obraz autorstwa freepik

22% wzrost liczby zgłoszeń dotyczących naruszenia bezpieczeństwa danych

Po raz pierwszy od wejścia w życie RODO:

➡️ średnia dzienna liczba zgłoszeń dotyczących naruszenia bezpieczeństwa danych przekroczyła 400,

➡️ osiągając 443 zgłoszenia dziennie,

➡️ co stanowi wzrost o 22% w ujęciu rok do roku.

Najważniejsze obszary egzekwowania przepisów

Kary związane z naruszeniami:

➡️ integralności i poufności,

➡️ bezpieczeństwa przetwarzania,

nadal dominują w egzekwowaniu przepisów we wszystkich jurysdykcjach.

Warto zauważyć, że:

➡️ coraz częściej kary nakładane są bezpośrednio na podmioty przetwarzające dane, a nie tylko na administratorów,

➡️ bezpieczeństwo łańcucha dostaw podlega coraz większej kontroli regulacyjnej.

Jest to zgodne z rosnącą popularnością:

➡️ oprogramowania ransomware,

➡️ naruszeń bezpieczeństwa przez strony trzecie,

➡️ incydentów związanych z chmurą i outsourcingiem.

Międzynarodowy transfer danych

Najwyższa grzywna nałożona na mocy RODO w 2025 r. (530 mln euro) została nałożona przez irlandzki organ ochrony danych (DPC) za naruszenie przepisów dotyczących międzynarodowego transferu danych.

Chociaż rekordowa grzywna (1,2 mld euro nałożona na Meta w 2023 r.) nadal pozostaje w mocy, pokazuje to, że:

➡️ transgraniczny transfer danych pozostaje jednym z najdroższych obszarów ryzyka związanych z RODO.

Roszczenia odszkodowawcze

Ryzyko związane z RODO nie kończy się na organach regulacyjnych.

Badanie podkreśla:

➡️ rosnącą liczbę roszczeń odszkodowawczych,

➡️ ewoluujące orzecznictwo TSUE w sprawie szkód niematerialnych,

➡️ rosnące ryzyko sporów sądowych w następstwie incydentów.

W związku z rosnącą liczbą cyberataków i cyberincydentów w tym roku, a także najprawdopodobniej w przyszłym roku, organizacje powinny spodziewać się kar pieniężnych po incydentach.

Dojrzałość w zakresie cyberbezpieczeństwa jest koniecznością.

W przypadku poważnego incydentu organy regulacyjne zadadzą następujące pytania:

➡️ Czy zastosowano odpowiednie środki techniczne?

➡️ Czy wdrożono środki organizacyjne i administracyjne?

➡️ Czy zarządzanie było skuteczne przed incydentem, a nie po nim?

Oprócz bezpieczeństwa technicznego firmy muszą wzmocnić środki administracyjne i zarządzania, aby zachować zgodność z:

➡️ RODO i UKGDPR,

➡️ AIAct,

➡️ oraz innymi przepisami dotyczącymi prywatności i technologii cyfrowych.

Organy regulacyjne wyraźnie zaostrzają egzekwowanie przepisów i kary, a luki w zgodności stają się bardziej widoczne po incydentach.

Link

Autor: Sebastian Burgemejster