Prezes UODO nałożył w tym roku ponad 64 mln zł kar na firmy i jednostki publiczne

W tym roku prezes UODO Mirosław Wróblewski nałożył ponad 64 mln zł kar na przedsiębiorców i instytucje publiczne za naruszenia przepisów. W 2024 r. było to ok. 13 mln, a wzrost jest spowodowany m.in. zakończeniem się długich postępowań - przekazał Wróblewski w środę w Studio PAP.

W tym roku Prezes Urzędu Ochrony Danych Osobowych nałożył ponad 64 mln zł kar administracyjnych na jednostki sektora prywatnego i publicznego, a także podmioty prowadzące działalność hybrydową, jak komornicy sądowi. W 2024 r. łączna kwota kar wyniosła ok. 13 ml zł i był one nakładane głównie na przedsiębiorstwa. Z kolei w 2023 r. łączna kwota kar wyniosła ok. 1 mln zł.

- Wysokie kary (w tym roku - PAP) to wynik kończenia pewnych długo ciągnących się postępowań wobec dużych przedsiębiorców, w tym banków i Poczty Polskiej; to duże sprawy, gdzie naruszenia były potężne - poinformował prezes Urzędu Ochrony Danych Osobowych.

- Wydaje mi się, że kary są proporcjonalne i adekwatne do konkretnych przewinień - zaznaczył. Dodał, że w styczniu br. „udało mu się zreorganizować urząd”, co usprawniło pracę UODO. Wskazał też, że wzrost łącznej kwoty kar rok do roku to „urealnienie”, które wynika z dużego obrotu polskich przedsiębiorstw.

- To jest też trochę efekt naszego rozwoju gospodarczego, a z drugiej strony - zbliżenia się do standardów w Unii Europejskiej - mówił Wróblewski. Zauważył, że kary nakładane przez urzędy ochrony danych osobowych w Irlandii czy we Francji są wyższe niż w Polsce, w przeliczeniu na złotówki.

Prezes UODO wskazał, że ukarane naruszenia często dotyczyły nieprawidłowości związanych z analizą ryzyka, z jej błędnym przeprowadzeniem albo zupełnie nietrafną analizą, czyli „z brakiem refleksji okoliczności budowania systemu zapewniającego skuteczną ochronę danych na samym początku”.

- Bardzo dużą rolę przykładamy też do zabezpieczeń technicznych, organizacyjnych, ich monitorowania, aktualizowania, audytowania po to, żeby bezpieczeństwo danych osobowych było zapewniane - mówił prezes urzędu.

Podał, że w br., karane było również niezgłaszanie incydentów cyberbezpieczeństwa do UODO, czyli „zamiatanie spraw pod dywan”. Wróblewski zaznaczył, że nie warto tego robić, bo sprawy często i tak docierają do urzędu, m.in. na skutek skarg składanych przez osoby prywatne.

Podkreślił też, że w obecnych czasach „bardzo wielu” cyberataków bezpieczeństwo danych osobowych należy postrzegać w świetle bezpieczeństwa państwa.

UODO razem z Europejską Radą Ochrony Danych Osobowych (EROD) i Europejskim Inspektorem Ochrony Danych (EIOD) rozpoczął prace nad wspólną opinią dotyczącą propozycji pakietu deregulacyjnego o nazwie Digital Omnibus (cyfrowy omnibus), opublikowanego przez Komisję Europejską w ubiegłym tygodniu - przekazał Wróblewski. Dodał, że EIOD ma osiem tygodni na przygotowanie tej opinii.

- Jest wiele wątpliwości i pytań dotyczących szczegółowych rozwiązań (propozycji KE - PAP), które muszą być wcześniej wyjaśnione, także w świetle orzecznictwa Trybunału Sprawiedliwości - zaznaczył. Wyjaśnił, że wątpliwości budzą m.in. rozwiązania dot. trenowania algorytmów sztucznej inteligencji czy danych w obszarze zdrowia. Dodał, że popiera niektóre rozwiązania zawarte w Omnibusie, związane z ułatwieniami dla biznesu, m.in. ws. stworzenia jednego punktu kontaktowego do zgłaszania incydentów cyberbezpieczeństwa i ochrony danych.

- To rozwiązanie realizujemy już na poziomie krajowym. Jestem bardzo zadowolony, że udało nam się podpisać w ostatnim czasie z ministrem cyfryzacji, premierem Gawkowskim porozumienie dotyczącego tak zwanego systemu S46, czyli jednego punktu zgłoszeń - zaznaczył.

Wróblewski odniósł się też do propozycji Danii nazywanej chat control. Zakłada ona dobrowolne skanowanie wiadomości wysłanych przez użytkowników na komunikatorach internetowych w celu wykrywania materiałów przedstawiających wykorzystanie seksualne dzieci.

- Obecna propozycja jest daleko idąca i budzi wątpliwości co do poszanowania ochrony danych osobowych; co do możliwości kontrolowania treści przesyłanych przez komunikatory - ocenił Wróblewski.

- W moim przekonaniu to jest problem, który musi być rozwiązany na gruncie skutecznej weryfikacji atrybutu wieku, przy zachowaniu anonimowości użytkowników sieci, ale w taki sposób, żeby z treściami nielegalnymi, pornograficznymi, wiadomościami ze strony przestępców seksualnych, dzieci nie miały kontaktu - podkreślił prezes UODO.

Wskazał, że w przypadku kontroli osób dorosłych „należy znaleźć odpowiednie rozwiązania technologiczne”, które pozwolą na ochronę danych osobowych przy jednoczesnym spełnieniu celu, jakim jest zapobieganie przestępstwom związanym z ochroną małoletnich. - Dzisiaj propozycje prezydencji duńskiej wydają się tego celu jeszcze nie spełniać - ocenił.

19 listopada Komisja Europejska przedstawiła projekt uproszczenia przepisów cyfrowych - Digital Omnibus. Zakłada on opóźnienie o co najmniej rok, nawet do grudnia 2027 r., obowiązywanie części przepisów unijnego aktu o sztucznej inteligencji, zmiany w przepisach RODO, dotyczących ochrony danych, uproszczenie regulacji dotyczących plików cookie oraz sprawozdawczości w zakresie cyberbezpieczeństwa.

17 listopada grupa robocza w Radzie Unii Europejskiej zaakceptowała propozycję Danii ws. zamiany unijnego rozporządzenia dot. walki z materiałami przedstawiającymi wykorzystywanie seksualne dzieci (CSAM). Propozycja zakłada, że państwa członkowskie UE będą mogły zastosować wobec usługodawców zasadę dobrowolnego skanowania wiadomości wysyłanych przez osoby prywatne w komunikatorach internetowych. Dania, która sprawuje obecnie prezydencję w Radzie UE, stwierdziła, że to kompromis, który ma zażegnać spór wokół omawianej regulacji, nazywanej „chat control” (kontrola czatu). Eksperci cyberbezpieczeństwa wskazali jednak, że rozwiązanie może wprowadzać inwigilację „tylnymi drzwiami”. Wicepremier i minister cyfryzacji zapowiedział w rozmowie z PAP, że „Polska nigdy nie zgodzi się na jakiekolwiek obowiązkowe skanowanie”; a ostateczne stanowisko polskiego rządu będzie zależało od tego, jak będzie wyglądał tekst rozporządzenia przygotowywanego podczas duńskiej prezydencji w Radzie Unii Europejskiej.

W 2025 r. prezes UODO m.in. ukarał Toyota Bank Polska kwotami ponad 314 tys. zł za profilowanie danych klientów bez uwzględnienia tego w odpowiednim rejestrze oraz prawie 262 tys. zł za nieodpowiednie usytuowanie inspektora ochrony danych osobowych. Z kolei na ING Bank Śląski została nałożona kara w wysokości 18,4 mln zł za skanowanie dokumentów tożsamości klientów. Bank zapowiedział zaskarżenie decyzji, wskazując jako powód pobierania skanów przepisy o przeciwdziałaniu praniu pieniędzy.

W marcu 2025 roku Prezes UODO podał, że zdecydował o nałożeniu kary na Pocztę Polską i ministra cyfryzacji w wysokości - odpowiednio - 27 mln zł i 100 tys. zł w związku z organizacją tzw. wyborów korespondencyjnych w 2020 r. W przypadku Poczty chodziło o przetwarzanie danych osobowych bez podstawy prawnej.

Z kolei w czerwcu br. Prezes UODO złożył skargę kasacyjną do Naczelnego Sądu Administracyjnego, zaskarżając wyrok WSA uwzględniający skargę Santander Bank Polska SA wobec nałożonej przez Prezesa UODO kary pieniężnej w wysokości 1 440 549 zł. Sprawa dotyczyła zdarzenia z 2018 r., kiedy dokumenty bankowe zawierające dane osobowe zostały skradzione, a potem porzucone na śmietniku; jak podał urząd, chodziło o naruszenie przepisów o ochronie danych osobowych i o niezgłoszenie Prezesowi UODO przez bank incydentu naruszenia ochrony danych osobowych.

Monika Blandyna Lewkowicz (PAP)

mbl/ malk/ lm/ grg/