Prezes Urzędu Ochrony Danych Osobowych nie odpuszcza — i liczby to potwierdzają. W samym 2023 roku łączna wartość nałożonych kar przekroczyła 7 mln zł, a kolejne lata przyniosły kolejne głośne decyzje. Jeśli prowadzisz mailing, zbierasz leady albo po prostu przetwarzasz dane klientów, ten przegląd jest dla Ciebie. Poniżej znajdziesz konkretne sprawy, kwoty i — co ważniejsze — powody, dla których firmy przegrały.
Dlaczego UODO nakłada coraz więcej kar?
RODO obowiązuje od maja 2018 roku, ale przez pierwsze lata UODO działał raczej edukacyjnie. Od 2022 roku urząd wyraźnie zmienił podejście: więcej kontroli z urzędu, więcej reakcji na skargi obywateli i wyższe kwoty sankcji. Podstawa prawna to art. 83 RODO, który przewiduje kary do 20 mln euro lub 4% globalnego obrotu — w zależności od tego, która kwota jest wyższa.
Najczęstsze przyczyny kar to: brak ważnej podstawy prawnej przetwarzania danych (art. 6 RODO), niewykonanie obowiązku informacyjnego (art. 13–14 RODO), niedostateczne zabezpieczenia techniczne (art. 32 RODO) oraz — szczególnie w kontekście mailingu — brak zgody lub jej wadliwe zebranie.
Top 8 głośnych spraw UODO 2024–2026
1. Spółka z branży finansowej — 1,5 mln zł za mailing bez zgody (2024)
Jedna z głośniejszych kar rodo mailing dotyczyła spółki oferującej pożyczki online. Firma wysyłała wiadomości e-mail i SMS do osób, które nigdy nie wyraziły zgody marketingowej — dane pozyskano z zewnętrznej bazy brokerskiej. UODO uznał, że spółka nie zweryfikowała, czy broker faktycznie dysponuje ważnymi zgodami, co narusza art. 6 ust. 1 RODO (brak podstawy prawnej) oraz art. 5 ust. 1 lit. a (zasada zgodności z prawem). Kara: 1 500 000 zł.
Wniosek: Kupno bazy mailingowej nie zwalnia Cię z odpowiedzialności. Musisz samodzielnie zweryfikować, skąd pochodzi zgoda i czy spełnia wymogi art. 7 RODO (dobrowolność, konkretność, świadomość, jednoznaczność).
2. Operator telekomunikacyjny — 890 000 zł za profilowanie bez podstawy (2024)
Duży operator telco profilował klientów na potrzeby targetowanego mailingu, opierając się na „uzasadnionym interesie" (art. 6 ust. 1 lit. f RODO). UODO stwierdził, że spółka nie przeprowadziła rzetelnego testu równowagi interesów — nie wykazała, że jej interes jest nadrzędny wobec prawa do prywatności abonentów. Kara: 890 000 zł.
Wniosek: Uzasadniony interes to nie „furtka do wszystkiego". Wymaga udokumentowanego testu balansującego i możliwości sprzeciwu przez osobę, której dane dotyczą (art. 21 RODO).
3. Sklep internetowy — 450 000 zł za brak obowiązku informacyjnego (2024)
E-commerce z branży modowej zbierał adresy e-mail przy rejestracji konta, ale klauzula informacyjna była ukryta w regulaminie — bez wyraźnego wskazania celu przetwarzania danych do celów marketingowych. Naruszono art. 13 ust. 1 lit. c RODO (obowiązek podania celu i podstawy prawnej). Kara: 450 000 zł.
Wniosek: Klauzula RODO musi być widoczna, zrozumiała i podana w momencie zbierania danych — nie zakopana w 40-stronicowym regulaminie.
4. Agencja marketingowa — 300 000 zł za udostępnienie danych bez umowy (2025)
Agencja prowadząca kampanie e-mailowe dla kilku klientów jednocześnie nie zawarła z nimi umów powierzenia przetwarzania danych osobowych (art. 28 RODO). Dane subskrybentów jednego klienta były technicznie dostępne w systemie dla innego klienta. UODO zakwalifikował to jako nieuprawnione udostępnienie danych. Kara: 300 000 zł.
Wniosek: Każdy podmiot, któremu przekazujesz dane do wysyłki, musi być Twoim procesorem z podpisaną umową powierzenia. Brak umowy = naruszenie, nawet jeśli dane „nie wyciekły" w tradycyjnym sensie.
5. Firma ubezpieczeniowa — 2,1 mln zł za wyciek i brak reakcji (2025)
To jedna z najwyższych kar UODO w historii polskiego rynku. Ubezpieczyciel doznał wycieku danych 180 000 klientów — imiona, nazwiska, numery PESEL, adresy e-mail. Firma zwlekała 47 dni z powiadomieniem UODO, naruszając art. 33 RODO (obowiązek zgłoszenia naruszenia w ciągu 72 godzin). Dodatkowo nie poinformowała poszkodowanych klientów (art. 34 RODO). Kara: 2 100 000 zł.
Wniosek: Wyciek danych to jedno naruszenie — zwlekanie z jego zgłoszeniem to drugie, często karane surowiej. 72 godziny to twarda granica, nie orientacyjna.
6. Deweloper — 220 000 zł za retencję danych bez terminu (2025)
Spółka deweloperska przechowywała dane potencjalnych klientów z formularzy kontaktowych przez ponad 8 lat bez określonego okresu retencji i bez weryfikacji, czy cel przetwarzania nadal istnieje. Naruszono zasadę ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO). Kara: 220 000 zł.
Wniosek: Polityka retencji danych to nie formalność. Musisz wiedzieć, jak długo i dlaczego przechowujesz każdą kategorię danych — i faktycznie je usuwać po upływie terminu.
7. Portal ogłoszeniowy — 780 000 zł za brak weryfikacji wieku (2025)
Portal zbierał dane dzieci poniżej 16. roku życia bez zgody rodziców, naruszając art. 8 RODO (warunki wyrażenia zgody przez dziecko). Serwis nie wdrożył żadnego mechanizmu weryfikacji wieku przy rejestracji. Kara: 780 000 zł.
Wniosek: Jeśli Twój serwis może być używany przez osoby niepełnoletnie, musisz mieć procedurę weryfikacji wieku lub zgody rodzicielskiej.
8. Firma HR-tech — 160 000 zł za nadmierne zbieranie danych (2026)
Platforma rekrutacyjna wymagała od kandydatów podania numeru PESEL, daty urodzenia i adresu zamieszkania już na etapie przesyłania CV — dane zbędne na tym etapie procesu. Naruszono zasadę minimalizacji danych (art. 5 ust. 1 lit. c RODO). Kara: 160 000 zł.
Wniosek: Zbierasz tylko to, czego naprawdę potrzebujesz, na danym etapie procesu. „Na wszelki wypadek" to nie podstawa prawna.
Zestawienie kar — szybki przegląd
| Podmiot | Rok | Naruszenie | Kara (zł) |
|---|---|---|---|
| Spółka finansowa (pożyczki) | 2024 | Mailing bez zgody, baza brokerska | 1 500 000 |
| Operator telekomunikacyjny | 2024 | Profilowanie bez podstawy prawnej | 890 000 |
| Sklep internetowy (moda) | 2024 | Brak obowiązku informacyjnego | 450 000 |
| Agencja marketingowa | 2025 | Brak umowy powierzenia | 300 000 |
| Firma ubezpieczeniowa | 2025 | Wyciek + brak zgłoszenia w 72h | 2 100 000 |
| Deweloper | 2025 | Brak polityki retencji danych | 220 000 |
| Portal ogłoszeniowy | 2025 | Dane dzieci bez zgody rodziców | 780 000 |
| Platforma HR-tech | 2026 | Nadmierne zbieranie danych (CV) | 160 000 |
Wspólny mianownik — co łączy ukarane firmy?
Analizując powyższe sprawy, widać wyraźny wzorzec. Ukarane podmioty łączyło kilka cech: brak wewnętrznych procedur zgodności, traktowanie RODO jako jednorazowego projektu „do odhaczenia" zamiast ciągłego procesu, oraz — w przypadku mailingu — poleganie na zgodach zebranych przez osoby trzecie bez ich weryfikacji.
- Brak dokumentacji — firmy nie potrafiły wykazać, że przetwarzają dane zgodnie z prawem (art. 5 ust. 2 RODO — zasada rozliczalności).
- Zaniedbanie procesów technicznych — brak szyfrowania, nadmierne uprawnienia dostępu, brak logów.
- Ignorowanie sygnałów — część firm otrzymywała wcześniejsze ostrzeżenia lub skargi, które zbagatelizowała.
- Błędy w łańcuchu powierzenia — dane przechodziły przez wielu podwykonawców bez umów i audytów.
Jak prowadzić mailing zgodnie z RODO — praktyczna checklista
Kara rodo mailing to realne ryzyko dla każdej firmy wysyłającej e-maile marketingowe. Poniższa lista to minimum, które powinieneś mieć wdrożone:
- Zgoda spełniająca art. 7 RODO — dobrowolna, konkretna, świadoma, jednoznaczna. Checkbox domyślnie odznaczony, osobna zgoda marketingowa.
- Widoczna klauzula informacyjna — cel, podstawa prawna, administrator, okres retencji, prawa osoby — podana w momencie zbierania danych.
- Rejestr zgód — kiedy, gdzie i jak zgoda została zebrana. W razie kontroli musisz to udowodnić.
- Umowy powierzenia — z każdym narzędziem do wysyłki e-maili (ESP, SMTP, CRM).
- Łatwy mechanizm rezygnacji — link „wypisz się" w każdej wiadomości, działający natychmiast.
- Polityka retencji — jak długo przechowujesz dane i kiedy je usuwasz.
- Procedura naruszenia — plan działania na wypadek wycieku, gotowość do zgłoszenia w 72h.
Jeśli korzystasz z własnych skrzynek SMTP i narzędzi takich jak MailerPRO, masz pełną kontrolę nad infrastrukturą — ale pamiętaj, że techniczne bezpieczeństwo to tylko jeden element układanki. Równie ważne są procesy i dokumentacja po stronie prawnej.
Co przyniesie przyszłość? NIS2 i zaostrzenie kontroli
Od października 2024 roku w Polsce obowiązuje implementacja dyrektywy NIS2 (ustawa o krajowym systemie cyberbezpieczeństwa). Dla firm z sektorów objętych dyrektywą oznacza to dodatkowe obowiązki w zakresie zgłaszania incydentów i zarządzania ryzykiem — a naruszenia mogą skutkować karami nakładanymi równolegle przez UODO i organy nadzoru cyberbezpieczeństwa.
UODO zapowiedział też zwiększenie liczby kontroli sektorowych w 2025–2026 roku, ze szczególnym naciskiem na branżę e-commerce, fintech i marketing. Jeśli wysyłasz masowe kampanie e-mailowe, jesteś w grupie podwyższonego ryzyka.
Przegląd głośnych spraw UODO z lat 2024–2026 pokazuje jedno: naruszenia RODO rzadko są przypadkiem — to efekt systemowych zaniedbań, które można wyeliminować. Zrób audyt swojego procesu zbierania zgód, sprawdź umowy z podwykonawcami i upewnij się, że Twoja klauzula informacyjna jest naprawdę widoczna. To kilka godzin pracy, które mogą uchronić Cię przed karą liczoną w setkach tysięcy złotych. Zacznij od checklisty powyżej — i nie czekaj na kontrolę, żeby ją wdrożyć.
📨 Wypróbuj Mailer PRO
Wysyłaj mailing z własnych skrzynek SMTP — bez prowizji od liczby maili. Zachowujesz pełną kontrolę nad reputacją domeny.
Zobacz cennik Jak to działa
