BIULETYN №075Aktualizacja · 10 cze 2026
Rejestr kar.
Publiczny rejestr kar regulacyjnych nałożonych na podstawie dyrektyw UE. Aktualizowany w miarę publikacji decyzji przez krajowe organy nadzoru.
35 pozycji
| № | Nałożona | Firma | Kraj | Organ | Rodzaj | Kwota | ↗ |
|---|---|---|---|---|---|---|---|
| 001 | — | Lensa.roLensa.ro, prowadzona przez Tensa Art Design, została ukarana przez rumuński organ ochrony danych ANSPDCP grzywną w wysokości 20 000 euro. Sprawa dotyczyła śledzenia opartego na plikach cookie i reklamy behawioralnej bez wyraźnej zgody użytkowników oraz braku odpowiedzi na oficjalne żądania informacji organu. | RO | Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal | GDPR consent and cooperation violation | 20 000 € | ↗ |
| 002 | — | Enel Energia SpAEnel Energia SpA została ukarana grzywną w wysokości 79,1 mln EUR przez włoski organ ochrony danych Garante. Sprawa dotyczyła niewłaściwego wykorzystania danych osobowych i stanowiła istotne działanie egzekucyjne w ramach RODO. | IT | Garante per la protezione dei dati personali | Misuse of personal data | 79 100 000 € | ↗ |
| 003 | — | DPD PolskaPrezes Urzędu Ochrony Danych Osobowych nałożył na DPD Polska administracyjną karę pieniężną w wysokości ponad 11 mln PLN za naruszenia RODO. Organ wskazał na brak zawarcia umów powierzenia przetwarzania danych z zewnętrznymi przewoźnikami oraz na niewystarczające środki organizacyjne zapewniające bezpieczeństwo danych. | PL | Prezes Urzędu Ochrony Danych Osobowych | GDPR fine | 11 000 000 zł | ↗ |
| 004 | — | FC BarcelonaAEPD nałożył na FC Barcelona karę w wysokości 500 000 EUR za naruszenie przepisów RODO. Sprawa dotyczyła niezgodnego z wymogami przetwarzania danych osobowych. | ES | AEPD | — | 500 000 € | ↗ |
| 005 | 05 gru 2026 | XKomisja Europejska nałożyła na X karę w wysokości 120 mln EUR za naruszenie wymogów przejrzystości wynikających z Aktu o usługach cyfrowych. Sankcja dotyczyła wprowadzającego w błąd oznaczenia weryfikacji, niedostatecznego repozytorium reklam oraz ograniczonego dostępu badaczy do danych. | EU | European Commission | Digital Services Act transparency violation | 120 000 000 € | ↗ |
| 006 | 24 lut 2026 | Reddit, Inc.ICO nałożył na Reddit, Inc. karę w wysokości 14,5 mln GBP za naruszenie UK GDPR związane z mechanizmami age-gating oraz ochroną danych dzieci. Sprawa została początkowo błędnie zarejestrowana jako notice enforcement, a następnie ponownie złożona jako monetary penalty notice. | GB | Information Commissioner's Office | Children's data protection | 14 500 000 £ | ↗ |
| 007 | 31 sty 2026 | SC Tensa Art Design SARumuński organ ochrony danych nałożył na SC Tensa Art Design SA, operatora marki Lensa, karę 20,000 EUR na podstawie RODO. Sankcja została wymierzona po tym, jak spółka nie odpowiedziała na żądanie organu w ramach postępowania dotyczącego śledzenia plików cookie i reklamy behawioralnej na stronie internetowej. | RO | Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal | GDPR investigation non-cooperation | 20 000 € | ↗ |
| 008 | 13 sty 2026 | Free Mobile and FreeFrancuski organ CNIL nałożył na spółki Free Mobile i Free łączną karę 42 mln EUR za naruszenia RODO związane z wyciekiem danych z 2024 r., który objął ponad 24 mln użytkowników. Organ uznał, że spółki nie wdrożyły odpowiednich środków bezpieczeństwa, a Free Mobile bezprawnie przechowywała dane byłych abonentów. | FR | Commission nationale de l’informatique et des libertés | Data protection | 42 000 000 € | ↗ |
| 009 | 01 sty 2026 | CloudflareAGCOM wydał wobec Cloudflare ordinanza ingiunzione na podstawie Digital Services Act. Kara wynosi 100 000 EUR i dotyczy naruszenia obowiązków wynikających z DSA. | IT | AGCOM | DSA | 100 000 € | ↗ |
| 010 | 19 gru 2025 | HelsaMiNorweski regulator dostępności cyfrowej stwierdził w HelsaMi 119 błędów dostępności, a 64 z nich pozostały nierozwiązane po pierwotnym terminie naprawy. Nakazano usunięcie nieprawidłowości do 2025-12-19, pod rygorem kary 50,000 NOK dziennie do czasu osiągnięcia zgodności. | NO | Tilsynet for universell utforming av IKT | Accessibility fine | 50 000 kr | ↗ |
| 011 | 19 lis 2025 | About YouWęgierski Urząd Ochrony Konkurencji (GVH) uznał, że About You stosował wprowadzające w błąd ceny promocyjne oraz wywierał presję na konsumentów za pomocą liczników czasu i komunikatów o ograniczonej dostępności. Spółka ma zapłacić 505 mln HUF do budżetu centralnego Węgier oraz zapewnić rekompensatę dla poszkodowanych klientów na Węgrzech. | HU | Gazdasági Versenyhivatal | Misleading pricing | 505 000 000 Ft | ↗ |
| 012 | 01 lis 2025 | LastPass UK LtdW listopadzie 2025 r. Information Commissioner’s Office nałożył na LastPass UK Ltd karę pieniężną w wysokości około 1,2 mln GBP. Sankcja dotyczyła uchybień w zakresie bezpieczeństwa i nadzoru, które doprowadziły do naruszenia obejmującego około 1,6 mln użytkowników w Wielkiej Brytanii, mimo stosowania silnego szyfrowania. | GB | Information Commissioner's Office | Inadequate security measures | 1 200 000 £ | ↗ |
| 013 | 22 paź 2025 | εκδοτικός οίκοςGrecki organ ochrony danych nałożył karę 9 000 EUR na wydawnictwo za ujawnienie w wiadomości e-mail danych osobowych i szczególnych kategorii danych autora do 55 odbiorców. Organ stwierdził także brak wdrożenia ochrony danych już na etapie projektowania oraz brak zgłoszenia naruszenia do organu i osoby, której dane dotyczą. | GR | Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα | GDPR data breach | 9000 € | ↗ |
| 014 | 10 paź 2025 | Capita plc and Capita Pension Solutions LimitedInformation Commissioner's Office nałożył na Capita plc i Capita Pension Solutions Limited karę w wysokości 14 mln GBP za naruszenia UK GDPR związane z cyberatakiem z marca 2023 r. Sprawa dotyczyła niewystarczających środków technicznych i organizacyjnych oraz opóźnionej reakcji na alerty bezpieczeństwa. | GB | Information Commissioner's Office | Data protection breach | 14 000 000 £ | ↗ |
| 015 | 01 wrz 2025 | Osnovna škola XAZOP nałożył na Osnovna škola X karę w wysokości 2,000 EUR za naruszenie zasad RODO dotyczących przetwarzania danych osobowych. Sprawa dotyczyła bezprawnego przetwarzania danych, co stanowi ryzyko dla zgodności z przepisami o ochronie danych. | HR | AZOP | GDPR fine | 2000 € | ↗ |
| 016 | 02 lip 2025 | Hrvatski ured za osiguranjeAZOP nałożył na Hrvatski ured za osiguranje (HUO) karę w wysokości 101 000 euro po stwierdzeniu braku odpowiednich środków technicznych i organizacyjnych do ochrony danych osobowych. Decyzja była następstwem postępowania dotyczącego poważnego wycieku danych obejmującego około 1,2 miliona właścicieli pojazdów w Chorwacji. | HR | AZOP | Personal data protection | 101 000 € | ↗ |
| 017 | 23 cze 2025 | McDonald's Polska sp. z o.o.Prezes Urzędu Ochrony Danych Osobowych nałożył na McDonald's Polska sp. z o.o. administracyjną karę pieniężną w wysokości 16 932 657 PLN oraz odrębną karę na procesora. Decyzja z 23.06.2025 dotyczyła nieprawidłowej weryfikacji procesora, niewystarczającej analizy ryzyka i braku odpowiednich środków ochrony danych zgodnie z RODO. | PL | President of the Personal Data Protection Office | Data protection violation | 16 932 657 zł | ↗ |
| 018 | 03 cze 2025 | Spotify ABKammarrätten w dniu 2025-06-03 orzekł, że Spotify AB ma zapłacić administracyjną karę w wysokości 58 mln SEK. Sprawa dotyczyła niewystarczającej przejrzystości i nieadekwatnego informowania osób, których dane dotyczą, w ramach RODO, po kontroli przeprowadzonej przez Integritetsskyddsmyndigheten. | SE | Integritetsskyddsmyndigheten (IMY) | GDPR transparency violation | 58 000 000 kr | ↗ |
| 019 | 03 cze 2025 | Regione LombardiaWłoski organ ochrony danych, Garante per la protezione dei dati personali, nałożył na Regione Lombardia karę w wysokości 50 000 EUR. Sprawa dotyczyła bezprawnego przechowywania metadanych e-mail pracowników, nadmiernego retencjonowania logów przeglądania stron oraz zbyt długiego przechowywania danych z systemu helpdesk. | IT | Garante per la protezione dei dati personali | GDPR data retention violation | 50 000 € | ↗ |
| 020 | 01 cze 2025 | CarrefourAgencia Española de Protección de Datos nałożyła na Carrefour karę w wysokości 3,2 mln euro. Sankcja była związana z pięcioma naruszeniami bezpieczeństwa między styczniem a kwietniem 2023 r., które dotknęły dane osobowe tysięcy klientów. | ES | Agencia Española de Protección de Datos | Data security breach | 3 200 000 € | ↗ |