RODO działa już 8 lat. Łączna wartość kar nałożonych przez państwa UE wyniosła 7,1 mld euro

7,1 mld euro – kary o takiej wysokości, od wejścia w życie RODO, nałożyli europejscy regulatorzy. Z danych wynika też, że w ubiegłym roku, w związku z wykorzystaniem AI przez cyberprzestępców i rosnącym zagrożeniem atakami cybernetycznymi, liczba zgłoszeń naruszeń ochrony danych znacząco wzrosła w Polsce i w reszcie Europy.

W 2025 roku wartość kar, nałożonych przez nadzory ochrony danych, wyniosła 1,2 mld euro, czyli bardzo podobnie jak w 2024 roku. Jak wynika z raportu kancelarii prawnej DLA Piper „GDPR Fines and Data Breach Survey”, najwięcej zapłacił TikTok. Irlandzki nadzór nałożył na chińską firmę 530 mln euro kary za transfer danych użytkowników do Chin.

– Zeszłoroczny poziom kar pokazuje, że europejskie organy regulacyjne pozostają bardzo aktywne. Tę aktywność widać szczególnie w obszarach takich jak bezpieczeństwo informacji, międzynarodowe transfery danych, transparentność, a także w kwestii wykorzystania danych do rozwoju sztucznej inteligencji – mówi Ewa Kurowska-Tober, partnerka kierująca zespołem prawa własności intelektualnej i nowych technologii (IPT) w DLA Piper w Warszawie.

Mimo że kary pozostają na podobnym poziomie, to w 2025 roku wzrosła liczba zgłoszeń naruszeń danych. Średnio dziennie było to 443 zgłoszenia. Najgorzej było w Holandii (39 tys.), w Niemczech (34 tys.) i w Polsce (19 tys.). Jednocześnie w naszym kraju liczba ta wzrosła o 4,7 tys. zgłoszeń.

– Silny wzrost liczby naruszeń pokazuje, jak ważne jest cyberbezpieczeństwo. Coraz większa liczba cyberataków na systemy IT przekłada się na liczbę naruszeń. Ta sytuacja powinna skłonić firmy do skupienia się na obszarze bezpieczeństwa danych w nadchodzącym roku. Zaniedbanie oznacza rosnące ryzyko strat finansowych i wizerunkowych związanych z cyberatakami. Nie bez znaczenia pozostaje także fakt, że wraz z rozwojem sztucznej inteligencji pojawiają się nowe zagrożenia związane z ochroną danych, na które wiele organizacji nie jest dziś przygotowanych – dodaje Ewa Kurowska-Tober.

Najwyższe kary nałożyła Irlandia

Najwięcej kar od wejścia w życie RODO w maju 2018 roku nałożyła Irlandia – 4,04 mld euro. Drugie miejsce na liście przypadło Francji (1,13 mld euro) oraz Luksemburgowi (747 mln euro). W Polsce prezes Urzędu Ochrony Danych Osobowych nałożył łącznie 22,3 mln euro kar. Najwyższe sankcje dotyczą firm technologicznych i mediów społecznościowych. W ostatnim roku jednak na celowniku znalazły się także firmy usługowe.

Regulatorzy wzięli się też za firmy rozwijające AI. Włosi ukarali firmę Luka Inc. za jej chatbota Replika, opartego na generatywnej sztucznej inteligencji. Uznano, że spółka naruszyła przepisy RODO, ponieważ nie określiła podstawy prawnej operacji przetwarzania danych, nie dostarczyła odpowiednich klauzul informacyjnych, a także nie wdrożyła mechanizmów weryfikacji wieku użytkowników.

Raport kancelarii DLA Piper objął działania regulatorów z 27 państw UE, a także Norwegii, Islandii i Liechtensteinu.