BIULETYN №075Aktualizacja · 10 cze 2026
Rejestr kar.
Publiczny rejestr kar regulacyjnych nałożonych na podstawie dyrektyw UE. Aktualizowany w miarę publikacji decyzji przez krajowe organy nadzoru.
61 pozycji
| № | Nałożona | Firma | Kraj | Organ | Rodzaj | Kwota | ↗ |
|---|---|---|---|---|---|---|---|
| 021 | 22 paź 2025 | εκδοτικός οίκοςGrecki organ ochrony danych nałożył karę 9 000 EUR na wydawnictwo za ujawnienie w wiadomości e-mail danych osobowych i szczególnych kategorii danych autora do 55 odbiorców. Organ stwierdził także brak wdrożenia ochrony danych już na etapie projektowania oraz brak zgłoszenia naruszenia do organu i osoby, której dane dotyczą. | GR | Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα | GDPR data breach | 9000 € | ↗ |
| 022 | 10 paź 2025 | Capita plc and Capita Pension Solutions LimitedInformation Commissioner's Office nałożył na Capita plc i Capita Pension Solutions Limited karę w wysokości 14 mln GBP za naruszenia UK GDPR związane z cyberatakiem z marca 2023 r. Sprawa dotyczyła niewystarczających środków technicznych i organizacyjnych oraz opóźnionej reakcji na alerty bezpieczeństwa. | GB | Information Commissioner's Office | Data protection breach | 14 000 000 £ | ↗ |
| 023 | 04 wrz 2025 | GoogleFrancuski organ CNIL nałożył na Google rekordową karę 325 mln euro za naruszenia dotyczące zgody na pliki cookie. Organ uznał, że Google nie uzyskał swobodnej i świadomej zgody przed umieszczaniem reklamowych cookies oraz stosował praktyki reklamowe w Gmailu wymagające uprzedniej zgody. | FR | CNIL | Cookie consent violation | 325 000 000 € | ↗ |
| 024 | 01 wrz 2025 | Osnovna škola XAZOP nałożył na Osnovna škola X karę w wysokości 2,000 EUR za naruszenie zasad RODO dotyczących przetwarzania danych osobowych. Sprawa dotyczyła bezprawnego przetwarzania danych, co stanowi ryzyko dla zgodności z przepisami o ochronie danych. | HR | AZOP | GDPR fine | 2000 € | ↗ |
| 025 | 02 lip 2025 | Hrvatski ured za osiguranjeAZOP nałożył na Hrvatski ured za osiguranje (HUO) karę w wysokości 101 000 euro po stwierdzeniu braku odpowiednich środków technicznych i organizacyjnych do ochrony danych osobowych. Decyzja była następstwem postępowania dotyczącego poważnego wycieku danych obejmującego około 1,2 miliona właścicieli pojazdów w Chorwacji. | HR | AZOP | Personal data protection | 101 000 € | ↗ |
| 026 | 24 cze 2025 | OLXUOKiK nałożył na OLX karę w wysokości 28,4 mln PLN za nieprawidłowości w systemie ocen, które mogły wprowadzać konsumentów w błąd. Decyzja nie była jeszcze ostateczna, ponieważ spółka mogła się odwołać. | PL | Urząd Ochrony Konkurencji i Konsumentów | Misleading consumers | 28 400 000 zł | ↗ |
| 027 | 23 cze 2025 | McDonald's Polska sp. z o.o.Prezes Urzędu Ochrony Danych Osobowych nałożył na McDonald's Polska sp. z o.o. administracyjną karę pieniężną w wysokości 16 932 657 PLN oraz odrębną karę na procesora. Decyzja z 23.06.2025 dotyczyła nieprawidłowej weryfikacji procesora, niewystarczającej analizy ryzyka i braku odpowiednich środków ochrony danych zgodnie z RODO. | PL | President of the Personal Data Protection Office | Data protection violation | 16 932 657 zł | ↗ |
| 028 | 04 cze 2025 | Noi Compriamo Auto.it S.r.l.W dniu 4 czerwca 2025 r. włoski organ ochrony danych nałożył na Noi Compriamo Auto.it S.r.l. karę za niezgodne z RODO działania w zakresie marketingu e-mailowego. Organ stwierdził wysyłanie wiadomości promocyjnych bez zgody, niewłaściwe uregulowanie relacji z podmiotami przetwarzającymi oraz brak należytego wsparcia realizacji praw osób, których dane dotyczą. | IT | Garante per la protezione dei dati personali | Unlawful marketing | 27 800 000 € | ↗ |
| 029 | 03 cze 2025 | Regione LombardiaWłoski organ ochrony danych, Garante per la protezione dei dati personali, nałożył na Regione Lombardia karę w wysokości 50 000 EUR. Sprawa dotyczyła bezprawnego przechowywania metadanych e-mail pracowników, nadmiernego retencjonowania logów przeglądania stron oraz zbyt długiego przechowywania danych z systemu helpdesk. | IT | Garante per la protezione dei dati personali | GDPR data retention violation | 50 000 € | ↗ |
| 030 | 03 cze 2025 | VodafoneVodafone został ukarany grzywną w wysokości 45 mln euro przez niemiecki federalny organ ochrony danych za naruszenia związane z RODO. Sprawa dotyczyła słabości w uwierzytelnianiu oraz nadzorze nad partnerami, które mogły umożliwić nieuprawniony dostęp do danych klientów i profili eSIM. | DE | Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) | Data protection | 45 000 000 € | ↗ |
| 031 | 03 cze 2025 | Spotify ABKammarrätten w dniu 2025-06-03 orzekł, że Spotify AB ma zapłacić administracyjną karę w wysokości 58 mln SEK. Sprawa dotyczyła niewystarczającej przejrzystości i nieadekwatnego informowania osób, których dane dotyczą, w ramach RODO, po kontroli przeprowadzonej przez Integritetsskyddsmyndigheten. | SE | Integritetsskyddsmyndigheten (IMY) | GDPR transparency violation | 58 000 000 kr | ↗ |
| 032 | 01 cze 2025 | CarrefourAgencia Española de Protección de Datos nałożyła na Carrefour karę w wysokości 3,2 mln euro. Sankcja była związana z pięcioma naruszeniami bezpieczeństwa między styczniem a kwietniem 2023 r., które dotknęły dane osobowe tysięcy klientów. | ES | Agencia Española de Protección de Datos | Data security breach | 3 200 000 € | ↗ |
| 033 | 21 maj 2025 | NN ΕλληνικήGrecki organ ochrony danych nałożył na NN Ελληνική karę 22,000 EUR w związku z odmową udostępnienia nagrań rozmów telefonicznych osobie, której dane dotyczą. Sprawa dotyczyła niewykonania żądania dostępu do danych, co stanowi naruszenie obowiązków administratora. | GR | Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα | Data subject access request violation | 22 000 € | ↗ |
| 034 | 29 kwi 2025 | Ordine professionale degli psicologi della Lombardia29.04.2025 włoski organ ochrony danych nałożył na Ordine professionale degli psicologi della Lombardia karę w wysokości 30 000 EUR. Sankcja dotyczyła naruszeń art. 5 ust. 1 lit. f oraz art. 32 RODO po incydencie naruszenia danych i braku wdrożenia odpowiednich środków bezpieczeństwa. | IT | Garante per la protezione dei dati personali | Failure to implement adequate security measures | 30 000 € | ↗ |
| 035 | 23 kwi 2025 | MetaKomisja Europejska nałożyła na Meta karę w wysokości 200 mln EUR za naruszenie Aktu o rynkach cyfrowych. Sankcja dotyczy modelu „zgoda albo płatność” stosowanego wobec użytkowników Facebooka i Instagrama w Europie. | IE | European Commission | Digital Markets Act violation | 200 000 000 € | ↗ |
| 036 | 04 kwi 2025 | Unnamed bankPolski organ ochrony danych nałożył na bank karę w wysokości 928 498,06 EUR. Organ uznał, że bank nie poinformował klientów o naruszeniu ochrony danych osobowych. Sprawa dotyczy obowiązków informacyjnych po incydencie bezpieczeństwa. | PL | Polish Data Protection Authority | Failure to notify data breach | 928 498 € | ↗ |
| 037 | 01 kwi 2025 | BitdefenderBitdefender otrzymał karę GDPR w wysokości 10 000 euro od rumuńskiego organu ochrony danych. Sankcja została nałożona po zakończeniu postępowania w kwietniu 2025 r. po zgłoszeniu naruszenia danych, a organ wskazał na niewystarczające techniczne i organizacyjne środki bezpieczeństwa. | RO | Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal | GDPR data security breach | 10 000 € | ↗ |
| 038 | 24 mar 2025 | Komendant Główny PolicjiPrezes Urzędu Ochrony Danych Osobowych nałożył na Komendanta Głównego Policji administracyjną karę pieniężną w wysokości 75 000 PLN. Organ uznał, że podczas konferencji prasowej bez podstawy prawnej ujawniono dane osobowe oraz informacje o stanie zdrowia kobiety. | PL | Urząd Ochrony Danych Osobowych | Unauthorized disclosure of personal data | 75 000 zł | ↗ |
| 039 | 01 sty 2025 | Εθνική Τράπεζα της Ελλάδος Α.Ε.Organ nadzorczy ds. ochrony danych nałożył na Εθνική Τράπεζα της Ελλάδος Α.Ε. karę w wysokości 220,000 EUR za naruszenie przepisów RODO. Sprawa dotyczyła uchybień w zakresie ochrony danych osobowych i zgodności z wymogami GDPR. | GR | Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα | GDPR | 220 000 € | ↗ |
| 040 | 01 sty 2025 | Sambla GroupFiński organ ochrony danych nałożył na Sambla Group karę 950 000 EUR po tym, jak osoby nieuprawnione uzyskały dostęp do danych z wniosków kredytowych poprzez manipulację adresami URL. Organ uznał, że spółka nie wdrożyła odpowiednich zabezpieczeń, aby zapobiec naruszeniu. | FI | Tietosuojavaltuutetun toimisto | Insufficient security measures | 950 000 € | ↗ |