Łączna wartość kar nałożonych przez europejskich regulatorów za naruszenia Rozporządzenia o Ochronie Danych Osobowych (RODO) od wprowadzenia przepisów w 2018 roku wyniosła 7,1 mld EUR, wynika z najnowszego raportu kancelarii DLA Piper – GDPR Fines and Data Breach Survey. W 2025 roku drastycznie wzrosła liczba zgłoszeń naruszenia ochrony danych osobowych, co eksperci wiążą z rosnącym zagrożeniem cyberatakami oraz upowszechnieniem narzędzi AI wykorzystywanych do tego celu. W Polsce liczba zgłoszeń wzrosła o jedną trzecią.
Wartość kar nałożonych w 2025 roku w Europie przez organy nadzoru wyniosła 1,2 mld EUR, co stanowi wynik zbliżony do tego z 2024 roku. W ubiegłym roku największą karą pieniężną o wartości 530 mln EUR została ukarana firma z sektora mediów społecznościowych, z powodu niezapewnienia odpowiedniego poziomu ochrony w związku z transferem danych osobowych do Chin. Rekordową karę nałożył irlandzki organ nadzoru.
– Zeszłoroczny poziom kar pokazuje, że europejskie organy regulacyjne pozostają bardzo aktywne. Tę aktywność widać szczególnie w obszarach takich jak bezpieczeństwo informacji, międzynarodowe transfery danych, transparentność, a także w kwestii wykorzystania danych do rozwoju sztucznej inteligencji – mówi Ewa Kurowska-Tober, partnerka kierująca zespołem prawa własności intelektualnej i nowych technologii (IPT) w DLA Piper w Warszawie.
O ponad jedną piątą wzrosła w 2025 roku liczba zgłoszeń naruszeń danych osobowych w Europie, osiągając średnio 443 zgłoszeń dziennie. Podobnie jak w ostatnich latach trzy kraje – Holandia, Niemcy i Polska zajmują czołowe miejsca pod względem liczby zgłoszonych naruszeń bezpieczeństwa danych. W 2025 roku w Holandii zgłoszono 39 773 naruszeń, a w Niemczech 34 467. W Polsce liczba zgłoszonych naruszeń wzrosła rok do roku o 4 779 przypadków, czyli o 33 proc. i wyniosła 19 065, wynika z analiz DLA Piper.
– Silny wzrost liczby naruszeń pokazuje jak ważne jest cyberbezpieczeństwo, coraz większa liczba cyberataków na systemy IT przekłada się na liczbę naruszeń – dodaje Ewa Kurowska-Tober. – Ta sytuacja powinna skłonić firmy do skupienia się na obszarze bezpieczeństwa danych w nadchodzącym roku, zaniedbanie oznacza rosnące ryzyko strat finansowych i wizerunkowych związanych z cyberatakami. Nie bez znaczenia pozostaje także fakt, że wraz z rozwojem sztucznej inteligencji pojawiają się nowe zagrożenia związane z ochroną danych, na które wiele organizacji nie jest dziś przygotowane.
Irlandia pozostaje liderem pod względem wysokości kar nałożonych od momentu wejścia w życie RODO w maju 2018 roku. Urząd ochrony danych osobowych tego kraju nałożył już kary o łącznej wartości 4,04 mld EUR. Na drugim miejscu plasuje się Francja z łącznymi karami w wysokości 1,13 mld EUR, a na trzecim Luksemburg z 747 mln EUR. W Polsce łączna wartość kar wydanych od 2018 roku przez Prezesa Urzędu Ochrony Danych Osobowych wyniosła 22,3 mln EUR. Choć uwagę regulatorów w ostatnim roku w coraz większym stopniu przyciągały firmy świadczące usługi finansowe, telekomunikacyjne i dostawcy usług użyteczności publicznej, najwyższe kary w Europie nadal dotyczą podmiotów z branży technologicznej i mediów społecznościowych – dziewięć z dziesięciu najwyższych kar w historii otrzymały firmy właśnie z tego sektora.
– Patrząc na wysokość kar nałożonych w ostatnich kilku latach, wyraźnie widzimy, że europejscy regulatorzy nie ulegają presji pomimo rosnącej krytyki ich działań spoza Europy i nadal są skłonni twardo egzekwować przestrzeganie przepisów w zakresie ochrony danych – mówi Piotr Czulak, counsel w zespole IPT w warszawskim biurze DLA Piper.
Kar związanych z wykorzystaniem danych osobowych nie uniknęły też firmy rozwijające produkty oparte na AI. Włoski organ nadzoru ukarał firmę Luka Inc. w związku z jej usługą Replika, chatbotem z interfejsem głosowym i pisemnym opartym na generatywnej sztucznej inteligencji. Regulator uznał, że firma naruszyła przepisy RODO, ponieważ nie określiła podstawy prawnej operacji przetwarzania danych, nie dostarczyła odpowiednich klauzul informacyjnych, a także nie wdrożyła żadnych mechanizmów weryfikacji wieku użytkowników.
– Europejscy regulatorzy nadal aktywnie monitorują wykorzystanie danych do szkolenia modeli językowych, ale znajdują się pod coraz większą presją, by ochrona danych nie stała na przeszkodzie innowacji zarówno w sektorze prywatnym jak i publicznym. Propozycje zmian w prawie wysuwane w ostatnich miesiącach miałyby zakładać wyjątki od przepisów RODO związane z wykorzystaniem danych osobowych na potrzeby rozwoju AI na podstawie „prawnie uzasadnionego interesu”, z zachowaniem zabezpieczeń takich jak minimalizacja danych, przejrzystość i prawo do sprzeciwu – dodaje Piotr Czulak.
Raport DLA Piper objął 27 państw członkowskich Unii Europejskiej, a także Wielką Brytanię, Norwegię, Islandię i Liechtenstein.
