Autor: Karolina Pudło, Ekspertka ds. ochrony danych osobowych

Za błędy w informowaniu klientów o przetwarzaniu danych grożą kary administracyjne do 20 mln EUR lub 4% globalnego obrotu – w zależności od tego, która kwota jest wyższa. Urząd Ochrony Danych Osobowych (UODO) nałożył w 2025 roku kary na łączną kwotę 64 mln zł, co pokazuje rosnącą surowość egzekwowania przepisów RODO.

Podstawa prawna kar za nieprawidłowe informowanie

Kary za błędy w informowaniu klientów wynikają bezpośrednio z art. 83 ust. 5 lit. b RODO w związku z naruszeniem obowiązków informacyjnych określonych w art. 13-14 RODO. Zgodnie z rozporządzeniem RODO, administratorzy danych muszą przekazywać osobom, których dane dotyczą, jasne i przejrzyste informacje o celach przetwarzania, podstawach prawnych oraz prawach przysługujących osobom fizycznym.

Katalog naruszeń obejmuje:

  • Brak klauzul informacyjnych przy zbieraniu danych
  • Nieprzejrzyste lub niekompletne informacje o przetwarzaniu
  • Niewłaściwe mechanizmy uzyskiwania zgód
  • Brak informacji o okresie przechowywania danych
  • Nieudostępnienie kontaktu do Inspektora Ochrony Danych (IOD)

Przykłady kar nałożonych przez UODO w ostatnich miesiącach

Polska praktyka orzecznicza pokazuje, że UODO konsekwentnie karze za nieprawidłowe informowanie klientów. ING Bank Śląski otrzymał karę 18,4 mln zł za skanowanie dokumentów bez właściwej oceny konieczności i nieadekwatne informowanie klientów o tym procesie.

Wzrost kar z 1 mln zł w 2023 roku do 64 mln zł w 2025 roku wynika z zaostrzenia polityki enforcement przez UODO, które dostosowuje się do europejskich standardów egzekwowania RODO.

— Paweł Maliszewski, Prezes Zarządu Perfectinfo sp. z o.o.

Inne znaczące kary z 2025-2026 roku obejmują:

  • Poczta Polska: 978 tys. zł za brak niezależności IOD (luty 2026)
  • McDonald’s: około 17 mln zł za upublicznienie danych pracowników
  • Toyota Bank: ponad 314 tys. zł za naruszenia w przetwarzaniu

Limity kar i mechanizm ich naliczania

System kar RODO przewiduje dwustopniową strukturę sankcji. Za naruszenia obowiązków informacyjnych (art. 13-14 RODO) maksymalna kara wynosi 20 mln EUR lub 4% rocznego globalnego obrotu z poprzedniego roku obrotowego – stosuje się kwotę wyższą.

Rodzaj podmiotuTypowy obrót rocznyMaksymalna kara (4%)Przykładowe naruszenie
MŚP (do 10 mln EUR)2 mln EUR80 tys. EURBrak klauzuli na stronie WWW
Średni podmiot50 mln EUR2 mln EURNieprzejrzyste zgody marketing
Duży bank/korporacja1 mld EUR40 mln EURMasowe przetwarzanie bez podstaw

UODO przy ustalaniu wysokości kary bierze pod uwagę 11 kryteriów z art. 83 ust. 2 RODO, w tym charakter naruszenia, liczbę osób dotkniętych, wysokość szkody, działania łagodzące oraz wcześniejsze naruszenia.

Nadchodzące zmiany w ramach RODO 2.0

W 2026 roku wchodzi w życie pakiet reform Digital Omnibus (tzw. RODO 2.0), który wprowadza nowe wymogi dokumentacyjne i proceduralne. Chociaż wysokość kar pozostaje bez zmian, zaostrzają się wymagania dotyczące:

  • Dokumentacji ocen skutków dla ochrony danych (DPIA)
  • Mechanizmów uzyskiwania i dokumentowania zgód
  • Zgłaszania naruszeń w terminie 96 godzin (wydłużenie z 72 h)
  • Współpracy z jednolitym punktem kontaktowym UE

Reforma RODO 2.0 nie zmienia wysokości kar, ale wprowadza bardziej rygorystyczne wymogi dokumentacyjne. Podmioty, które nie dostosują swoich procesów informowania klientów, narażają się na wyższe ryzyko kontroli i kar.

— Karolina Pudło, Ekspertka ds. ochrony danych osobowych

Plan działań zabezpieczających przed karami

Aby uniknąć kar za błędy w informowaniu klientów, każda organizacja powinna wdrożyć następujące działania kontrolne:

  1. Audyt klauzul informacyjnych: Sprawdź czy wszystkie punkty kontaktu z klientami (strony WWW, formularze, aplikacje) zawierają kompletne informacje wymagane przez art. 13-14 RODO
  2. Standaryzacja języka: Zastąp żargon prawniczy prostymi, zrozumiałymi dla przeciętnego klienta sformułowaniami
  3. Mechanizmy zgód: Wdróż rozwiązania techniczne umożliwiające łatwe wycofanie zgody i udokumentowanie procesu jej udzielenia
  4. Szkolenia zespołów: Przeszkol pracowników obsługi klienta w zakresie udzielania informacji o przetwarzaniu danych
  5. Monitorowanie zmian prawnych: Ustanów procedury śledzenia aktualizacji RODO i implementacji wynikających z nich zmian

Kluczowe terminy i konsekwencje w 2026 roku

Statystyki UODO pokazują systematyczny wzrost egzekwowania kar: z 1 mln zł w 2023 roku do 64 mln zł w 2025 roku. W całej Europie od 2018 roku nałożono kary na łączną kwotę 7,1 mld EUR, co potwierdza trend zaostrzania nadzoru.

Najważniejsze działania do wykonania w pierwszym kwartale 2026:

  • Dostosowanie procesów do wymogów RODO 2.0 do końca września 2026
  • Aktualizacja dokumentacji DPIA zgodnie z nowymi standardami
  • Wdrożenie 96-godzinnego okresu zgłaszania naruszeń
  • Przegląd i aktualizacja wszystkich klauzul informacyjnych

Pamiętaj: kary za błędy w informowaniu mogą znacząco wpłynąć na budżet organizacji. Inwestycja w compliance RODO to nie koszt, ale zabezpieczenie przed potencjalnymi stratami finansowymi i reputacyjnymi sięgającymi milionów złotych.

Jakie kary grożą za błędy w informowaniu klientów o przetwarzaniu danych?

Za błędy w informowaniu klientów o przetwarzaniu danych grożą kary administracyjne do 20 mln EUR lub 4% globalnego obrotu – w zależności od tego, która kwota jest wyższa. Podstawą prawną kar jest art. 83 ust. 5 lit. b RODO w związku z naruszeniem obowiązków informacyjnych określonych w art. 13-14 RODO.

Ile kar nałożył UODO w 2025 roku za naruszenia informacyjne?

Urząd Ochrony Danych Osobowych (UODO) nałożył w 2025 roku kary na łączną kwotę 64 mln zł. To znaczący wzrost w porównaniu do 1 mln zł w 2023 roku, co pokazuje rosnącą surowość egzekwowania przepisów RODO.

Jakie błędy w informowaniu klientów są najczęściej karane przez UODO?

Katalog naruszeń obejmuje: brak klauzul informacyjnych przy zbieraniu danych, nieprzejrzyste lub niekompletne informacje o przetwarzaniu, niewłaściwe mechanizmy uzyskiwania zgód. Dodatkowo karane są: brak informacji o okresie przechowywania danych oraz nieudostępnienie kontaktu do Inspektora Ochrony Danych (IOD).

Ile zapłacił ING Bank Śląski za nieprawidłowe informowanie o skanowaniu dokumentów?

ING Bank Śląski otrzymał karę w wysokości 18,4 mln zł za skanowanie dokumentów bez właściwej oceny konieczności i nieadekwatne informowanie klientów o tym procesie. To jedna z najwyższych kar nałożonych przez UODO w ostatnich miesiącach.

Jaką karę otrzymała Poczta Polska za problemy z Inspektorem Ochrony Danych?

Poczta Polska otrzymała karę w wysokości 978 tys. zł za brak niezależności Inspektora Ochrony Danych (IOD) w lutym 2026 roku. To przykład kary związanej z nieprawidłowym funkcjonowaniem mechanizmów ochrony danych w organizacji.

Ile zapłacił McDonald’s za naruszenia związane z danymi pracowników?

McDonald’s otrzymał karę około 17 mln zł za upublicznienie danych pracowników. To jedna ze znaczących kar nałożonych w latach 2025-2026, pokazująca że UODO karze nie tylko za błędy wobec klientów, ale także pracowników.

Jaka była kara dla Toyota Bank za naruszenia w przetwarzaniu danych?

Toyota Bank otrzymał karę ponad 314 tys. zł za naruszenia w przetwarzaniu danych. Ta kara, choć znacznie niższa niż w przypadku ING czy McDonald’s, pokazuje że UODO konsekwentnie egzekwuje przepisy niezależnie od wielkości podmiotu.