W ubiegłym roku UODO wydał ponad 2 tys. decyzji administracyjnych i nałożył 32 kary pieniężne o wartości blisko 64,5 mln zł. Dla porównania w 2024 roku było 1719 decyzji, w tym ponad 20 o nałożeniu administracyjnych kar pieniężnych, których łączna wartość wyniosła ponad 13,9 mln zł. Pokazuje to wyraźny wzrost zarówno liczby, jak i wysokości nakładanych sankcji w 2025 roku.
– Najpoważniejsze uchybienia dotyczą problemów w zabezpieczeniu danych, czyli wad związanych z kwestiami organizacyjnymi, technicznymi. To kwestie często bardzo ściśle powiązane z zabezpieczeniami przed cyberatakami. Kary dotyczą także niepowiadamiania urzędu i osób, których dane dotyczą, o naruszeniach ochrony danych – mówi agencji Newseria Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych. – To są także kwestie związane z niewłaściwym zabezpieczeniem statusu inspektorów ochrony danych osobowych czy funkcjonującym monitoringiem wizyjnym.
Najwyższa kara – ponad 27 mln zł – została nałożona na Pocztę Polską za bezprawne udostępnienie i przetwarzanie danych osobowych ok. 30 mln obywateli z rejestru PESEL w związku z przygotowaniami do tzw. wyborów kopertowych, które miały się odbyć w 2020 roku.
Z raportu „GDPR Fines and Data Breach Survey January 2026”, przygotowanego przez kancelarię DLA Piper, wynika, że od 28 stycznia 2025 roku do 27 stycznia 2026 roku organy nadzorcze w Unii Europejskiej i Europejskim Obszarze Gospodarczym nałożyły około 1,2 mld euro kar za naruszenia unijnego rozporządzenia o ochronie danych osobowych. Łączna wartość kar od momentu wejścia rozporządzenia w życie w 2018 roku przekroczyła już 7 mld euro.
Raport wskazuje również na wyraźny wzrost liczby zgłoszeń naruszeń danych w całej Unii. W badanym okresie wyniosła ona 443 dziennie, czyli ok. 22 proc. więcej rok do roku. W tym obszarze widoczna jest także rosnąca aktywność obywateli w Polsce. W 2025 roku do UODO wpłynęło około 13 tys. skarg od osób fizycznych, czyli znacząco więcej niż w latach poprzednich. W 2023 roku było to ok. 7 tys., a w 2024 roku – ok. 8 tys. skarg.
– Obywatele są świadomi swoich praw i mam nadzieję, że mają także zaufanie do Urzędu Ochrony Danych Osobowych. Liczba zgłaszanych skarg być może świadczy też o tym, że naruszeń jest więcej, również z użyciem nowych technologii. Dotyczą one licznych obszarów: to są kwestie naszego codziennego życia, obszaru sektora finansowego, bankowego, ubezpieczeniowego, ale także szkolnictwa – szkół wyższych i powszechnych. Jest to więc bardzo szeroki obszar działalności państwa i biznesu. W zasadzie nie ma takiej dziedziny, w której przetwarzane są dane osobowe osób fizycznych i w których nie dochodziłoby do naruszeń – ocenia Mirosław Wróblewski.
Skargi najczęściej dotyczą nieuprawnionego ujawnienia danych, błędów ludzkich oraz niewystarczających zabezpieczeń systemów informatycznych.
Zdaniem prezesa UODO w kolejnych latach wyzwania związane z ochroną danych osobowych będą coraz poważniejsze, m.in. w związku z dynamicznymi zmianami legislacyjnymi na poziomie Unii Europejskiej.
– Funkcjonowanie w zmieniającym się otoczeniu prawnym jest wyzwaniem dla bardzo wielu podmiotów i administratorów. Nowe akty prawne Unii Europejskiej na pewno nie ułatwiają życia, ale są bardzo potrzebne z wielu powodów. UODO stara się wspierać zarówno ustawodawcę w tworzeniu odpowiedniego oprzyrządowania prawnego, jak i administratorów i podmioty w funkcjonowaniu w zmieniających się warunkach – wskazuje prezes UODO.
Dyskusja o przyszłości ochrony danych osobowych coraz częściej toczy się w kontekście rozwoju sztucznej inteligencji i wykorzystywania danych do trenowania algorytmów.
– Jeżeli chodzi o stworzenie odpowiednich podstaw prawnych dla wykorzystywania danych w kontekście trenowania algorytmów sztucznej inteligencji, te reguły muszą być jasne i przejrzyste, ale jednocześnie umożliwiające konkurowanie europejskich przedsiębiorców z amerykańskimi. Trzeba także zmniejszyć pewne obciążenia, które nie są potrzebne dla realnej ochrony danych osobowych – wskazuje ekspert.
Ważnym elementem działań urzędu pozostaje edukacja, która ma znaczenie nie tylko dla administratorów danych, lecz także dla samych obywateli. Szczególną uwagę UODO zwraca na dzieci i młodzież, które coraz częściej korzystają z usług cyfrowych i nowych technologii, często nie mając pełnej świadomości konsekwencji związanych z przetwarzaniem danych osobowych.
– Stąd też bardzo szeroki program „Twoje dane – Twoja sprawa”, w którym uczestniczy już blisko pół tysiąca szkół – wskazuje Mirosław Wróblewski.
Rok 2026 przynosi także symboliczne podsumowanie dotyczące unijnych przepisów o ochronie danych osobowych. Mija bowiem 10 lat od przyjęcia rozporządzenia o ochronie danych osobowych, które weszło w życie dwa lata później (w maju 2018 roku) i ujednoliciło standardy ochrony danych w całej Unii Europejskiej. Zdaniem prezesa urzędu doświadczenia ostatnich lat pokazują, że choć regulacje te znacząco wzmocniły prawa obywateli, to część obowiązków nałożonych na administratorów danych wymaga dziś ponownej oceny.
