BIULETYN №076Aktualizacja · 17 cze 2026
Rejestr kar.
Publiczny rejestr kar regulacyjnych nałożonych na podstawie dyrektyw UE. Aktualizowany w miarę publikacji decyzji przez krajowe organy nadzoru.
129 pozycji
- Suma kar
- 5,5 mld €
- Decyzje
- 129
- Jurysdykcje
- 26
- Regulatorzy
- 50
- Śr. miesięcznie
- 66,7 mln €
- Wzrost r/r
- +57,1%
| № | Nałożona | Firma | Kraj | Organ | Rodzaj | Kwota | ↗ |
|---|---|---|---|---|---|---|---|
| 021 | 04 paź 2023 | Amazon EuropeCNPD nałożyła na Amazon Europe karę w wysokości 746 000 000 EUR za naruszenia przepisów o ochronie danych. Sprawa dotyczyła uchybień w zakresie przetwarzania danych osobowych i zgodności z wymogami RODO. | LU | CNPD | GDPR | 746 000 000 € | ↗ |
| 022 | 05 paź 2023 | DPP Law LtdInformation Commissioner's Office nałożył na DPP Law Ltd karę pieniężną. Spółka została ukarana kwotą 60 000 GBP za brak wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych. | GB | Information Commissioner's Office | Data security | 69 420 € | ↗ |
| 023 | 10 paź 2023 | UAB RamidonasOrgan nadzorczy nałożył na UAB Ramidonas karę w wysokości 6,000 EUR za naruszenia bezpieczeństwa danych osobowych. Sprawa dotyczyła nieprawidłowości w ochronie danych, które mogły narazić informacje osób fizycznych na ryzyko. | LT | Valstybinė duomenų apsaugos inspekcija | GDPR | 6000 € | ↗ |
| 024 | 10 paź 2023 | ComuneWłoski organ ochrony danych nałożył na gminę karę 12 000 EUR za bezprawne publikowanie danych osobowych online w rejestrach wniosków o dostęp do informacji. Dokumenty w sekcji przejrzystości na stronie urzędu ujawniały nazwiska, numery protokołów i inne wrażliwe dane setek obywateli. | IT | Garante per la protezione dei dati personali | Unlawful disclosure of personal data | 12 000 € | ↗ |
| 025 | 10 paź 2023 | Hogeschool van Arnhem en Nijmegen (HAN)Autoriteit Persoonsgegevens nałożył na Hogeschool van Arnhem en Nijmegen (HAN) karę w wysokości 175 000 EUR. Organ uznał, że uczelnia nie zapewniła wystarczającej ochrony danych osobowych studentów. | NL | Autoriteit Persoonsgegevens | GDPR | 175 000 € | ↗ |
| 026 | 10 paź 2023 | American ExpressCNIL nałożyła na American Express karę w wysokości 1 500 000 EUR za umieszczanie plików cookie bez uprzedniej zgody użytkowników. Sprawa dotyczy naruszeń przepisów GDPR oraz prawa prywatności. | FR | CNIL | GDPR | 1 500 000 € | ↗ |
| 027 | 01 gru 2023 | ENDESA, S.A.Hiszpański organ ochrony danych nałożył na ENDESA karę w wysokości 6,1 mln EUR w grudniu 2023 r. Sprawa dotyczyła naruszenia bezpieczeństwa, które doprowadziło do sprzedaży danych osobowych klientów za pośrednictwem reklam na Facebooku. | ES | Agencia Española de Protección de Datos | Data breach | 6 100 000 € | ↗ |
| 028 | 01 sty 2024 | Santander BankW 2024 r. Santander Bank został ukarany przez UODO grzywną w wysokości 1 440 000 PLN. Sankcja dotyczyła niezgłoszenia naruszenia ochrony danych osobowych, co stanowi istotne naruszenie obowiązków wynikających z RODO. | PL | Urząd Ochrony Danych Osobowych | Failure to report a personal data breach | 339 000 € | ↗ |
| 029 | 01 sty 2024 | Unnamed data controllerNAIH nałożył karę 50 mln HUF na nieujawniony podmiot publiczny za niewywiązanie się z obowiązku przekazania danych do Centralnego Rejestru Informacji Publicznej. Sprawa dotyczyła braku publikacji danych finansowych wymaganych przez prawo. | HU | Nemzeti Adatvédelmi és Információszabadság Hatóság | Transparency violation | 142 000 € | ↗ |
| 030 | 26 sty 2024 | Allium UPI OÜEstoński organ ochrony danych nałożył na Allium UPI OÜ, operatora programu lojalnościowego Apotheka, karę w wysokości 3 milionów euro. Organ uznał, że spółka nie zapewniła odpowiedniej ochrony danych klientów i stosowała niewystarczające środki bezpieczeństwa, co naraziło dane ponad 750 000 osób. | EE | Andmekaitse Inspektsioon | Data protection and security breach | 3 000 000 € | ↗ |
| 031 | 18 mar 2024 | Arbeids- og velferdsetaten (NAV)Datatilsynet nałożył 18.03.2024 na Arbeids- og velferdsetaten (NAV) karę 20 milionów koron oraz dodatkowe nakazy. Sprawa dotyczyła niedostatecznego zabezpieczenia poufności danych poprzez kontrolę dostępu i monitorowanie logów, co skutkowało poważnymi uchybieniami zgodności. | NO | Datatilsynet | GDPR confidentiality and security breach | 1 813 000 € | ↗ |
| 032 | 01 kwi 2024 | Your Consulting SRLANSPDCP nałożył na Your Consulting SRL karę w związku z naruszeniem RODO dotyczącym niewystarczających technicznych i organizacyjnych środków bezpieczeństwa. Luka w zabezpieczeniach umożliwiła nieuprawniony dostęp do danych osobowych za pośrednictwem jednej z aplikacji spółki. | RO | ANSPDCP | Inadequate security measures | 3000 € | ↗ |
| 033 | 20 maj 2024 | Taxa 4X35Østre Landsret utrzymał i podwyższył karę za naruszenie RODO wobec Taxa 4X35 za zbyt długie przechowywanie danych osobowych. Sąd wymierzył grzywnę w wysokości 250 000 DKK, obniżoną z 500 000 DKK ze względu na długi czas prowadzenia sprawy. | DK | Østre Landsret | GDPR data retention | 33 448 € | ↗ |
| 034 | 04 cze 2024 | Elkjøp Nordic AS and Elkjøp Norge ASDatatilsynet nałożył na Elkjøp Nordic AS i Elkjøp Norge AS karę administracyjną w wysokości 20 mln NOK za kilka naruszeń przepisów o ochronie danych w programie klubowym klientów. Organ wskazał brak ważnej zgody, wykorzystywanie danych osobowych do nowych celów bez właściwej oceny oraz zbyt wolne reagowanie na żądania osób, których dane dotyczą. | NO | Datatilsynet | Administrative fine | 1 813 000 € | ↗ |
| 035 | 27 wrz 2024 | Meta Platforms Ireland LimitedIrlandzka Komisja Ochrony Danych nałożyła na Meta Platforms Ireland Limited karę w wysokości 91 000 000 EUR za niewystarczające zabezpieczenie haseł użytkowników Facebooka i Instagrama. Według decyzji spółka przechowywała hasła w postaci jawnej bez odpowiedniego szyfrowania, a decyzję końcową ogłoszono 2024-09-27. | IE | Irish Data Protection Commission | Data security | 91 000 000 € | ↗ |
| 036 | 28 paź 2024 | LinkedInIrlandzka Komisja Ochrony Danych nałożyła na LinkedIn karę w wysokości 310 mln euro w dniu 2024-10-28. Organ uznał, że spółka bezprawnie wykorzystywała dane użytkowników do celów reklamowych, z naruszeniem RODO. | IE | Irish Data Protection Commission | Unlawful processing of personal data | 310 000 000 € | ↗ |
| 037 | 02 lis 2024 | Intesa SanpaoloWłoski organ ochrony danych nałożył na Intesa Sanpaolo karę 31,8 mln EUR za naruszenie danych obejmujące nieuprawniony dostęp do informacji bankowych ponad 3 500 klientów. Organ wskazał także na opóźnione wykrycie zdarzenia oraz złożenie niepełnego i spóźnionego zgłoszenia naruszenia. | IT | Garante per la protezione dei dati personali | Data breach | 31 800 € | ↗ |
| 038 | 26 lis 2024 | NetflixAutoriteit Persoonsgegevens nałożył na Netflix karę 4,75 mln euro za naruszenia związane z prywatnością i przejrzystością w rozumieniu RODO. Decyzja z 26 listopada 2024 r. dotyczyła niewystarczających wyjaśnień w polityce prywatności oraz zbyt mało jasnych odpowiedzi na wnioski o dostęp do danych. | NL | Autoriteit Persoonsgegevens | Transparency violation | 4 750 000 € | ↗ |
| 039 | 05 gru 2024 | KASPRCNIL nałożyła na KASPR karę administracyjną w wysokości 240 000 EUR 5 grudnia 2024 r. Sprawa dotyczyła data scrapingu oraz kilku naruszeń RODO, w tym braku podstawy prawnej, niewystarczającej przejrzystości, zbyt długiego okresu przechowywania danych i naruszenia prawa dostępu. | FR | CNIL | Administrative fine | 240 000 € | ↗ |
| 040 | 18 gru 2024 | Toyota Bank Polska S.A.Polski organ nadzorczy nałożył na Toyota Bank Polska S.A. administracyjną karę pieniężną w wysokości 132 000 EUR w dniu 18 grudnia 2024 r. Sankcja dotyczyła naruszeń art. 30, 35 i 38 RODO, w tym niezależności inspektora ochrony danych, dokumentacji profilowania oraz obowiązków związanych z oceną skutków dla ochrony danych. | PL | President of the Personal Data Protection Office (UODO) | Administrative fine | 132 000 € | ↗ |