Kara za brak polityki prywatności — ile ryzykujesz?

Czy wiesz, że UODO (Urząd Ochrony Danych Osobowych) może nałożyć na Twoją firmę karę administracyjną do 20 milionów euro lub 4% rocznego globalnego obrotu — w zależności od tego, która kwota jest wyższa? Brzmi abstrakcyjnie? Poniżej opisujemy realne przypadki i wyjaśniamy, jakie ryzyko rzeczywiście ponoszą polskie firmy.

Realne kary nałożone przez UODO

UODO jest aktywnym organem nadzorczym i regularnie nakłada kary na polskie firmy. Oto wybrane przykłady:

Morele.net (2019) — 2,8 mln zł za naruszenie bezpieczeństwa danych ok. 2,2 mln klientów. Sklep internetowy nie wdrożył odpowiednich środków technicznych i organizacyjnych.

Bisnode Polska (2019) — 943 000 zł za niezrealizowanie obowiązku informacyjnego wobec osób, których dane przetwarzano. Firma nie poinformowała setek tysięcy osób o przetwarzaniu ich danych.

TikTok (2023) — 14,5 mln euro w Irlandii za przetwarzanie danych dzieci bez odpowiednich zabezpieczeń.

Amazon (2021) — 746 mln euro przez luksemburski organ nadzorczy za naruszenia związane z reklamą behawioralną.

Kary dla małych firm — czy UODO ściga MŚP?

Tak. UODO regularnie wszczyna postępowania wobec małych i średnich firm. Kary dla MŚP są oczywiście niższe niż dla korporacji, ale nadal bolesne:

• Sklep internetowy: 20 000 – 100 000 zł
• Agencja marketingowa: 50 000 – 200 000 zł
• SaaS / aplikacja webowa: 10 000 – 500 000 zł

Co ważne — UODO bierze pod uwagę:

• Charakter naruszenia (umyślne vs nieumyślne)
• Liczbę poszkodowanych osób
• Czas trwania naruszenia
• Podjęte środki naprawcze
• Wcześniejsze naruszenia

Za co konkretnie grożą kary?

Najczęstsze powody wszczęcia postępowania przez UODO:

1. Brak lub niekompletna polityka prywatności

Polityka prywatności musi być publicznie dostępna i zawierać wszystkie elementy wymagane przez art. 13 RODO. Dokument "kopiuj-wklej" ze strony konkurencji, który nie odzwierciedla Twojej rzeczywistej działalności, może być gorszy niż brak dokumentu.

2. Używanie Google Analytics bez zgody cookie

Google Analytics 4 przetwarza dane osobowe (adresy IP, identyfikatory urządzeń). Ich zbieranie wymaga uprzedniej, świadomej zgody użytkownika — banery cookie "zamknij" bez prawdziwego wyboru są niezgodne z RODO.

3. Brak podstawy prawnej dla newslettera

Zapisywanie użytkowników na newsletter bez wyraźnej zgody (lub oparcie jej na "uzasadnionym interesie") jest jednym z najczęstszych naruszeń. Zgoda musi być:

• dobrowolna,
• konkretna,
• świadoma,
• jednoznaczna.

4. Przekazywanie danych do USA bez odpowiednich zabezpieczeń

Transfer danych do firm mających serwery w USA (Google, Meta, Amazon, Microsoft) wymaga podania podstawy prawnej — zazwyczaj jest to Decyzja Komisji w sprawie adekwatności (DPF) lub Standardowe Klauzule Umowne (SCCs).

5. Brak odpowiedzi na żądania osób, których dane dotyczą

Użytkownik ma prawo zażądać dostępu do swoich danych, ich usunięcia lub sprostowania. Masz 30 dni na odpowiedź. Brak reakcji to naruszenie RODO.

Jak się chronić?

Minimalne kroki, które powinieneś podjąć natychmiast:

1. Wdróż politykę prywatności — dostosowaną do Twojej rzeczywistej działalności, nie szablon.
2. Wdróż politykę cookies — z prawdziwym banerem zgody, który daje użytkownikowi realny wybór.
3. Sprawdź, kto przetwarza dane w Twoim imieniu — Stripe, Mailchimp, AWS, Google — wszystko to procesory danych.
4. Ustal okresy przechowywania danych — i ich przestrzegaj.
5. Szkol pracowników — błędy ludzkie to najczęstsze przyczyny naruszeń.

Podsumowanie

• Kary RODO sięgają €20 000 000 lub 4% rocznego obrotu.
• UODO aktywnie kontroluje polskie firmy i nakłada realne kary.
• Małe firmy też są na celowniku — kary 20–200 tys. zł to realia.
• Brak polityki prywatności lub jej niekompletność to jedno z najczęstszych naruszeń.
• Wdrożenie dokumentów RODO kosztuje od €29 z Polisio — wielokrotnie mniej niż najniższa możliwa kara.

Wygeneruj politykę prywatności zgodną z RODO w 3 minuty →