Ponad 400 naruszeń dziennie. Kary za RODO idą w miliardy

Po okresie względnej stabilizacji europejski system egzekwowania przepisów o ochronie danych osobowych wyraźnie przyspiesza. Najnowsze badanie kancelarii DLA Piper pokazuje, że w 2025 roku łączna wartość kar za naruszenia RODO wynosi około 1,2 miliarda euro, a organy nadzorcze w Europie mierzą się z niespotykaną dotąd liczbą zgłoszeń o incydentach związanych z danymi osobowymi.

Z raportu GDPR Fines and Data Breach Survey wynika, że tylko w minionym roku nałożono grzywny o wartości bliskiej 1,2 miliarda euro, co oznacza dalszy wzrost względem 2024 roku. Od momentu wejścia RODO w życie w maju 2018 roku łączna suma kar w Europie sięgnęła już 7,1 miliarda euro. Choć tempo wzrostu samych grzywien nie jest gwałtowne, skala egzekwowania przepisów coraz wyraźniej pokazuje, że okres pobłażliwości dobiegł końca.

Zgłoszenia naruszeń wymykają się spod kontroli

Znacznie bardziej dynamicznie rośnie liczba raportowanych naruszeń danych. Od końca stycznia 2025 roku europejskie organy ochrony danych otrzymują średnio 443 zgłoszenia dziennie. To wynik wyższy o ponad jedną piątą w porównaniu z analogicznym okresem rok wcześniej i pierwszy przypadek, gdy dzienna liczba notyfikacji przekroczyła poziom 400.

Siedem lat po wejściu w życie RODO trudno mówić o zmęczeniu regulacją. Liczba zgłoszeń rośnie, kary stały się elementem codzienności, a obowiązki administracyjne nie maleją. 

Eksperci DLA Piper unikają wskazania jednego dominującego źródła problemu. W raporcie nakładają się na siebie czynniki geopolityczne, fala powtarzalnych cyberataków oraz rosnąca dostępność narzędzi ofensywnych. Równolegle firmy funkcjonują w gąszczu regulacji, w którym RODO przestało być jedynym punktem odniesienia. Przepisy takie jak NIS2 czy DORA rozszerzyły zakres obowiązków sprawozdawczych i skróciły czas reakcji na incydenty, zwiększając presję na zespoły prawne i bezpieczeństwa.

Zaostrzenie reguł

Zdaniem Rossa McKeana, szefa praktyki danych, prywatności i cyberbezpieczeństwa w brytyjskim oddziale DLA Piper, przedstawione liczby powinny działać jak sygnał alarmowy. Wskazuje on na narastającą odpowiedzialność po stronie zarządów, także w wymiarze osobistym, wynikającą z nowych przepisów sektorowych. W tym otoczeniu organizacje nie mogą już odkładać inwestycji w cyberbezpieczeństwo i odporność operacyjną.

Egzekwowanie RODO pozostaje silnie skoncentrowane geograficznie. Irlandia po raz kolejny zajmuje pozycję lidera, a tamtejszy urząd ochrony danych odpowiada za kary o łącznej wartości ponad 4 miliardów euro, co stanowi ponad połowę wszystkich sankcji nałożonych w Europie od 2018 roku. Francja i Luksemburg pozostają w ścisłej czołówce, choć dystans do Irlandii jest wyraźny.

Big Tech wciąż na celowniku

Najwyższa kara nałożona w 2025 roku również przypadła Irlandii. TikTok otrzymał grzywnę w wysokości 530 milionów euro za nieprawidłowości związane z międzynarodowym transferem danych. Mimo wysokiej kwoty nie udało się jednak pobić rekordu sprzed dwóch lat, gdy Meta została ukarana sankcją sięgającą 1,2 miliarda euro.

Z analizy DLA Piper wynika, że największe firmy technologiczne pozostają głównym celem regulatorów. Dziewięć z dziesięciu najwyższych kar w historii RODO dotyczyło właśnie globalnych gigantów cyfrowych, co potwierdza, że skala działalności i międzynarodowy charakter przetwarzania danych wciąż przyciągają szczególną uwagę organów nadzorczych.