Od wejścia w życie RODO europejscy regulatorzy nałożyli kary o łącznej wartości 7,1 mld euro. Najnowszy raport GDPR Fines and Data Breach Survey, przygotowany przez kancelarię DLA Piper pokazuje, że w 2025 roku gwałtownie wzrosła liczba zgłoszeń naruszeń danych – także w Polsce. Sprzyjają temu cyberataki i rosnące wykorzystanie narzędzi AI.
Jak wynika z analizy, sam 2025 rok przyniósł kary o wartości 1,2 mld euro. Najwyższa pojedyncza sankcja – 530 mln euro – dotknęła firmę z sektora mediów społecznościowych za niewystarczające zabezpieczenia przy transferze danych do Chin. Decyzję wydał irlandzki organ nadzorczy.
Równolegle wyraźnie wzrosła liczba zgłoszeń naruszeń ochrony danych. W 2025 roku w Europie odnotowano ich o ponad 20% więcej niż rok wcześniej – średnio 443 dziennie. W czołówce państw znalazły się ponownie Holandia (39 773 zgłoszenia), Niemcy (34 467) oraz Polska. W naszym kraju liczba naruszeń wzrosła rok do roku o 33%, do 19 065 przypadków.
„Skala wzrostu jasno pokazuje, jak silnie cyberataki przekładają się dziś na bezpieczeństwo danych osobowych. Organizacje muszą traktować ten obszar jako priorytet, bo zaniedbania oznaczają realne ryzyko finansowe i reputacyjne” – podkreśla Ewa Kurowska-Tober, partnerka w DLA Piper. Jak dodaje, dodatkowym wyzwaniem jest rozwój sztucznej inteligencji, który generuje nowe ryzyka, na które wiele firm nie jest jeszcze przygotowanych.
Irlandia liderem kar, AI nowym polem sporów z regulatorami
Liderem pod względem łącznej wartości kar pozostaje Irlandia, z sumą 4,04 mld euro od 2018 roku. Kolejne miejsca zajmują Francja (1,13 mld euro) i Luksemburg (747 mln euro). W Polsce łączna wartość kar nałożonych przez UODO wyniosła dotąd 22,3 mln euro. Choć regulatorzy coraz częściej przyglądają się sektorom finansowemu, telekomunikacyjnemu i usług użyteczności publicznej, najwyższe sankcje wciąż dotyczą firm technologicznych i mediów społecznościowych.
Raport zwraca też uwagę na rosnące zainteresowanie organów nadzoru wykorzystaniem danych osobowych w systemach AI. Przykładem jest kara nałożona we Włoszech na firmę Luka Inc., twórcę chatbota Replika, za brak podstawy prawnej przetwarzania danych i mechanizmów weryfikacji wieku. Jednocześnie regulatorzy mierzą się z presją, by ochrona danych nie hamowała innowacji – w Europie coraz częściej dyskutuje się o możliwych wyjątkach w RODO dla rozwoju AI, przy zachowaniu zasad minimalizacji, przejrzystości i prawa do sprzeciwu.
Badanie DLA Piper objęło kraje UE oraz Wielką Brytanię, Norwegię, Islandię i Liechtenstein.
