RODO 2025 – kary, orzecznictwo i obowiązki administratora danych

20 kwietnia 2026
blog, Blog wewnątrzNo Comments

Pomimo faktu, że rok 2025 nie przyniósł zmiany brzmienia przepisów, a rozporządzenie RODO pozostaje aktem o tej samej treści, co w latach poprzednich, to wbrew pozorom zmieniło się wiele. Można ulec wrażeniu, że praktyka się ustabilizowała, jednak ilość kar i rozstrzygnięć w materii ochrony danych osobowych wskazuje na tendencję zupełnie odwrotną.

Rozwój sztucznej inteligencji a RODO

Bardzo istotną zmianą jest rozwój technologiczny i wyzwania, które nadeszły wraz z nim. Z raportu strategicznego Urzędu Ochrony Danych Osobowych wynika, że 41% organizacji uważa, iż rozwój AI nie wiąże się z danymi osobowymi lub nie potrafi tego ocenić, a 58,5% nie dostrzega związku pomiędzy przetwarzaniem danych a wykorzystaniem AI.

Dane te pokazują istotny problem: brak jest powszechnej świadomości, że niemal każda operacja na danych w środowisku cyfrowym – nawet pośrednia – może podlegać rygorom RODO. Pracodawcy również nie mają ścisłej kontroli czy i ewentualnie w jaki sposób ich pracownicy korzystają ze sztucznej inteligencji.

Orzecznictwo 2025 – formalizm obowiązków i brak tolerancji dla opóźnień

W 2025 roku wyraźnie zarysowała się tendencja do rygorystycznej oceny realizacji obowiązków informacyjnych i organizacyjnych.

Naczelny Sąd Administracyjny utrzymał w mocy decyzję nakładającą karę 85 588,00 zł na podmiot leczniczy, który nie poinformował pacjentów o możliwym naruszeniu ochrony ich danych w związku z działaniem odchodzącego lekarza. Argumenty o ograniczeniach organizacyjnych czy kosztowych nie zostały uznane za okoliczności usprawiedliwiające.

Sąd potwierdził, że obowiązek notyfikacji ma charakter bezwzględny, a działania naprawcze podjęte zbyt późno nie eliminują odpowiedzialności za wcześniejsze zaniechanie.

 

Analiza ryzyka – obowiązek realny, nie formalny

Incydent w Pyskowicach polegający na kradzieży pojazdu lekarza wraz z dokumentacją medyczną pokazał, że brak adekwatnej analizy ryzyka oraz niedostosowanie procedur do realnych warunków świadczenia usług (wizyty domowe, transport dokumentacji w prywatnych pojazdach) może doprowadzić do nałożenia kary na podmiot, który nie dostosował odpowiednio swojej dokumentacji.

Organ nadzorczy jednoznacznie zaakcentował, że analiza ryzyka nie może mieć charakteru deklaratywnego ani ogólnikowego. Musi obejmować faktyczne scenariusze operacyjne, nawet te niewygodne lub kosztowne z perspektywy organizacji.

Innymi słowy – nie wystarczy mieć procedurę, trzeba ją osadzić w realiach działalności, co jednak w praktyce występuje bardzo rzadko.

Administrator i podmiot przetwarzający – odpowiedzialność w praktyce

Pomimo, że od dawna wskazuje się, jak istotne są umowy powierzenia danych osobowych, wielu przedsiębiorców wciąż błędnie uważa, że ich zawarcie zwalnia z odpowiedzialności.

Sprawa Panek S.A. unaoczniła, że zawarcie umowy powierzenia przetwarzania danych nie zamyka zakresu odpowiedzialności administratora. W wyniku błędów przy wdrażaniu nowej strony internetowej ujawniono dane ponad 7 tys. klientów.

Prezes Urzędu Ochrony Danych Osobowych nałożył karę 1,5 mln zł na administratora oraz 20 tys. zł na podmiot przetwarzający.

Wojewódzki Sąd Administracyjny w Warszawie utrzymał decyzję w mocy, podkreślając obowiązek stałego nadzoru nad procesorem, weryfikacji stosowanych zabezpieczeń oraz prowadzenia rzetelnej dokumentacji.

W praktyce oznacza to, że odpowiedzialność administratora ma charakter ciągły i nie ogranicza się do etapu wyboru kontrahenta.

Dane potencjalnych klientów – brak celu oznacza brak podstawy

Naczelny Sąd Administracyjny potwierdził stanowisko Prezesa UODO, zgodnie z którym bank nie może powoływać się na tzw. uzasadniony interes w celu dalszego przetwarzania danych osób, które złożyły zapytanie kredytowe, lecz nie zawarły umowy.

Brak realnego i aktualnego celu przetwarzania obliguje do usunięcia danych, nawet jeżeli hipotetycznie mogłyby w przyszłości pojawić się roszczenia.

Orzeczenie to ma znaczenie wykraczające poza sektor finansowy i wskazuje, że krótkotrwały kontakt biznesowy nie stanowi podstawy do przechowywania danych „na zapas”.

Rola IOD – wsparcie, nie odpowiedzialność

W najnowszym stanowisku Urząd Ochrony Danych Osobowych doprecyzował, że inspektor ochrony danych pełni funkcję doradczą i monitorującą, lecz nie przejmuje odpowiedzialności za realizację obowiązków administratora.

To administrator zgłasza naruszenie, informuje osoby, których dane dotyczą, oraz wdraża środki techniczne i organizacyjne.

Obecność IOD nie stanowi mechanizmu redukcji ryzyka odpowiedzialności, jeżeli struktury decyzyjne organizacji nie działają sprawnie. Ponadto zdaniem Urzędu inspektor powinien być podmiotem niezależnym, co rodzi wątpliwości co do zatrudniania IOD na podstawie umowy o pracę.

Podsumowanie – RODO w praktyce

Rok 2025 pokazuje wyraźnie, że choć przepisy RODO nie uległy zmianie, to ich stosowanie stało się bardziej rygorystyczne, a ochrona danych osobowych wymaga od organizacji znacznie większej świadomości i realnych działań.

Rosnące kary RODO w 2025 r. oraz aktualne orzecznictwo jednoznacznie wskazują, że kluczowe znaczenie mają prawidłowo realizowane obowiązki administratora danych, w tym przede wszystkim rzetelna analiza ryzyka RODO oraz szybka i adekwatna reakcja na każde naruszenie ochrony danych osobowych.

Jednocześnie coraz większym wyzwaniem pozostaje relacja RODO a sztuczna inteligencja, która w praktyce wciąż jest niedoszacowana przez wiele organizacji.

Na co zwrócić uwagę w 2026 roku?

W perspektywie 2026 roku szczególnego znaczenia nabierają następujące obszary:

  • Weryfikacja procesów przetwarzania danych – organizacje powinny regularnie analizować, czy posiadają aktualną i realną podstawę do przetwarzania danych, zwłaszcza w przypadku tzw. „potencjalnych klientów”.
  • Aktualizacja analizy ryzyka – analiza ryzyka RODO powinna odzwierciedlać rzeczywiste warunki operacyjne, w tym wykorzystanie nowych technologii oraz pracy zdalnej.
  • Kontrola wykorzystania AI w organizacji  – konieczne jest wdrożenie zasad regulujących RODO a sztuczna inteligencja, w tym monitorowanie sposobu korzystania z narzędzi AI przez pracowników.
  • Realny nadzór nad podmiotami przetwarzającymi –  odpowiedzialność administratora danych nie kończy się na zawarciu umowy powierzenia, lecz obejmuje stały nadzór nad procesorem.
  • Procedury reagowania na incydenty – każda organizacja powinna być przygotowana na szybkie i prawidłowe zgłoszenie naruszenia ochrony danych osobowych, bez opóźnień i błędów formalnych.
  • Wzmocnienie roli IOD w strukturze organizacyjnej – inspektor powinien mieć realny wpływ na procesy decyzyjne, przy jednoczesnym zachowaniu niezależności.

 

W praktyce oznacza to jedno – ochrona danych osobowych w 2026 roku będzie jeszcze bardziej wymagająca, a obowiązki administratora danych będą podlegały dalszej intensyfikacji kontroli.

Organizacje, które już dziś dostosują swoje procedury, zminimalizują ryzyko sankcji i zwiększą bezpieczeństwo przetwarzanych danych.

apl. radc. Jakub Kurpiński

apl. radc. Jakub Kurpiński

 

https://www.facebook.com/KancelariaPrawaGospodarczego https://www.linkedin.com/company/kpg-radom/