W skrócie:

• Kary RODO w 2025 roku: 1,2 mld euro
• Najwyższa kara: 530 mln euro dla TikToka
• Polska: 19 065 zgłoszeń naruszeń (+33 proc.)
• Irlandia liderem kar: 4,04 mld euro łącznie
• Cyberataki i AI główną przyczyną wzrostu

Rekordowa kara dla TikToka i stabilny poziom sankcji

Wartość kar nałożonych w 2025 roku przez europejskie organy nadzoru wyniosła 1,2 mld euro, co stanowi wynik zbliżony do 2024 roku.

Największą karę pieniężną - 530 mln euro - otrzymała firma TikTok, z sektora mediów społecznościowych za niezapewnienie odpowiedniego poziomu ochrony w związku z transferem danych osobowych do Chin. Według TechRadar, irlandzki organ nadzoru nałożył tę rekordową karę na TikToka.

"Zeszłoroczny poziom kar pokazuje, że europejskie organy regulacyjne pozostają bardzo aktywne. Tę aktywność widać szczególnie w obszarach takich, jak bezpieczeństwo informacji, międzynarodowe transfery danych, transparentność, a także w kwestii wykorzystania danych do rozwoju sztucznej inteligencji" - mówi Ewa Kurowska-Tober, partnerka kierująca zespołem prawa własności intelektualnej i nowych technologii w DLA Piper w Warszawie.

Irlandia pozostaje bezsporna liderem pod względem wysokości kar - od maja 2018 roku nałożyła sankcje o łącznej wartości 4,04 mld euro.

Na drugim miejscu plasuje się Francja z 1,13 mld euro, a na trzecim Luksemburg z 747 mln euro.

W Polsce łączna wartość kar wydanych przez Prezesa UODO wyniosła 22,3 mln euro.

Dlaczego liczba naruszeń danych rośnie w zastraszającym tempie

Liczba zgłoszeń naruszeń danych osobowych w Europie wzrosła w 2025 roku o 22 proc., osiągając średnio 443 zgłoszenia dziennie.

Trzy kraje - Holandia (39 773 naruszeń), Niemcy (34 467) i Polska (19 065) - zajmują czołowe miejsca pod względem liczby zgłoszonych przypadków.

W Polsce liczba zgłoszonych naruszeń wzrosła rok do roku o 4 779 przypadków, czyli o 33 proc. Eksperci wiążą ten drastyczny wzrost z rosnącym zagrożeniem cyberatakami oraz upowszechnieniem narzędzi AI wykorzystywanych przez hakerów. Według danych Check Point Software Technologies, polskie firmy są celem ataków hakerskich ponad 250 razy dziennie, co plasuje Polskę wśród pięciu najbardziej atakowanych krajów Unii Europejskiej.

"Silny wzrost liczby naruszeń pokazuje, jak ważne jest cyberbezpieczeństwo, coraz większa liczba cyberataków na systemy IT przekłada się na liczbę naruszeń" - dodaje Ewa Kurowska-Tober. "Ta sytuacja powinna skłonić firmy do skupienia się na obszarze bezpieczeństwa danych w nadchodzącym roku, zaniedbanie oznacza rosnące ryzyko strat finansowych i wizerunkowych związanych z cyberatakami."

Czytaj także: O 14 procent wzrosły kary za naruszenie RODO w UE

Sztuczna inteligencja w centrum uwagi regulatorów

Wraz z rozwojem sztucznej inteligencji pojawiają się nowe zagrożenia związane z ochroną danych, na które wiele organizacji nie jest dziś przygotowanych.

Włoski organ nadzoru ukarał lokalnego przedsiębiorcę za oferowanie chatbota opartego na generatywnej AI, który naruszał przepisy RODO - firma nie określiła podstawy prawnej przetwarzania danych, nie dostarczyła odpowiednich klauzul informacyjnych i nie wdrożyła mechanizmów weryfikacji wieku użytkowników.

"Europejscy regulatorzy nadal aktywnie monitorują wykorzystanie danych do szkolenia modeli językowych, ale znajdują się pod coraz większą presją, by ochrona danych nie stała na przeszkodzie innowacji zarówno w sektorze prywatnym, jak i publicznym" - dodaje Piotr Czulak, counsel w zespole IPT w warszawskim biurze DLA Piper.

Propozycje zmian w prawie wysuwane w ostatnich miesiącach zakładają wyjątki od przepisów RODO związane z wykorzystaniem danych osobowych na potrzeby rozwoju AI na podstawie "prawnie uzasadnionego interesu", z zachowaniem zabezpieczeń, takich jak minimalizacja danych, przejrzystość i prawo do sprzeciwu. Warto jednak pamiętać, że zgodnie z AI Act, który wejdzie w życie w sierpniu 2026 roku, kary za naruszenia mogą sięgać nawet 35 mln euro lub 7 proc. globalnego obrotu - więcej niż w przypadku RODO.

Warto zapamiętać

• Europejskie organy nie ulegają presji i konsekwentnie egzekwują przepisy RODO, szczególnie wobec firm technologicznych i mediów społecznościowych
• Wzrost liczby naruszeń w Polsce o 33 proc. wymaga od firm pilnego wzmocnienia cyberbezpieczeństwa i procedur ochrony danych
• Firmy rozwijające produkty AI muszą przygotować się na podwójną kontrolę - zarówno pod kątem RODO, jak i nadchodzącego AI Act
• Inwestycja w bezpieczeństwo danych to nie koszt, ale ochrona przed stratami finansowymi i wizerunkowymi sięgającymi milionów euro

Źródło: DLA Piper, TechRadar, Check Point Software Technologies

Foto: Freepik