Rejestr kar — Compliwatch

№	Nałożona	Firma	Kraj	Organ	Rodzaj	Kwota	↗
041	22 paź 2025	εκδοτικός οίκοςGrecki organ ochrony danych nałożył karę 9 000 EUR na wydawnictwo za ujawnienie w wiadomości e-mail danych osobowych i szczególnych kategorii danych autora do 55 odbiorców. Organ stwierdził także brak wdrożenia ochrony danych już na etapie projektowania oraz brak zgłoszenia naruszenia do organu i osoby, której dane dotyczą.	GR	Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα	GDPR data breach	9000 €	↗
042	10 paź 2025	Capita plc and Capita Pension Solutions LimitedInformation Commissioner's Office nałożył na Capita plc i Capita Pension Solutions Limited karę w wysokości 14 mln GBP za naruszenia UK GDPR związane z cyberatakiem z marca 2023 r. Sprawa dotyczyła niewystarczających środków technicznych i organizacyjnych oraz opóźnionej reakcji na alerty bezpieczeństwa.	GB	Information Commissioner's Office	Data protection breach	14 000 000 £	↗
043	12 wrz 2025	A Düsseldorf-based personnel recruitment companyLDI NRW poinformował 12.09.2025 o nałożeniu kary ponad 35 000 EUR na firmę rekrutacyjną z Düsseldorfu. Organ wskazał, że spółka wielokrotnie ignorowała wnioski kandydatów o dostęp do danych i ich usunięcie oraz nie odpowiadała na pytania organu nadzorczego.	DE	Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen	GDPR rights violation	35 000 €	↗
044	11 wrz 2025	Apotheka and PetCity client data handlerEstoński Urząd Ochrony Danych Osobowych (Andmekaitse Inspektsioon) nałożył na podmiot obsługujący dane klientów Apotheka i PetCity karę w wysokości 3 mln EUR. Organ wskazał na naruszenie wymogów bezpieczeństwa przetwarzania danych osobowych. Sprawa dotyczyła ochrony danych klientów i zgodności z RODO.	EE	Andmekaitse Inspektsioon	GDPR fine	3 000 000 €	↗
045	11 wrz 2025	ILVA A/SVestre Landsret utrzymał karę dla ILVA A/S w wysokości 1,5 mln DKK za naruszenie RODO. Sprawa dotyczyła przechowywania danych około 385 000 klientów bez polityki usuwania, a wysokość kary oparto na obrotach całej grupy.	DK	Datatilsynet	GDPR fine	1 500 000 kr	↗
046	10 wrz 2025	S-PankkiOrgan sankcyjny Office of the Data Protection Ombudsman nałożył na S-Pankki karę 1,8 mln EUR za zaniedbania w zakresie bezpieczeństwa informacji w usłudze uwierzytelniania bankowości internetowej. Sprawa dotyczyła luki w oprogramowaniu S-mobiili, która umożliwiała logowanie się przy użyciu danych uwierzytelniających innego klienta i doprowadziła do naruszenia bezpieczeństwa danych osobowych.	FI	Office of the Data Protection Ombudsman	Data security	1 800 000 €	↗
047	04 wrz 2025	GoogleFrancuski organ CNIL nałożył na Google rekordową karę 325 mln euro za naruszenia dotyczące zgody na pliki cookie. Organ uznał, że Google nie uzyskał swobodnej i świadomej zgody przed umieszczaniem reklamowych cookies oraz stosował praktyki reklamowe w Gmailu wymagające uprzedniej zgody.	FR	CNIL	Cookie consent violation	325 000 000 €	↗
048	04 wrz 2025	Owner of the studentenkotenBelgijski organ ochrony danych GBA nałożył łączną karę 9 700 euro na właściciela domu studenckiego. Sprawa dotyczyła nielegalnego używania kamer monitoringu wewnątrz i wokół budynku w celu obserwowania studentów.	BE	Gegevensbeschermingsautoriteit (GBA)	Unlawful surveillance cameras	9700 €	↗
049	01 wrz 2025	INFINITE STYLES SERVICES CO. LIMITEDFrancuski organ ochrony danych CNIL nałożył na INFINITE STYLES SERVICES CO. LIMITED karę w wysokości 150 mln EUR w dniu 2025-09-01. Decyzja dotyczyła naruszeń związanych z plikami cookie, w tym umieszczania reklamowych cookies przed uzyskaniem zgody, nieuwzględniania wyborów użytkowników oraz niepełnych informacji.	FR	CNIL	Cookie consent violation	150 000 000 €	↗
050	01 wrz 2025	Osnovna škola XAZOP nałożył na Osnovna škola X karę w wysokości 2,000 EUR za naruszenie zasad RODO dotyczących przetwarzania danych osobowych. Sprawa dotyczyła bezprawnego przetwarzania danych, co stanowi ryzyko dla zgodności z przepisami o ochronie danych.	HR	AZOP	GDPR fine	2000 €	↗
051	27 sie 2025	INGUrząd Ochrony Danych Osobowych nałożył na ING karę w wysokości ponad 18 mln PLN. Organ uznał, że bank skanował dokumenty tożsamości w sytuacjach niewynikających z wymogów AML, w tym wobec osób niebędących klientami i przy czynnościach niezwiązanych ze świadczeniem usług.	PL	Urząd Ochrony Danych Osobowych	Unlawful processing of personal data	18 000 000 zł	↗
052	04 sie 2025	Azienda Ospedaliero-UniversitariaWłoski organ ochrony danych nałożył na Azienda Ospedaliero-Universitaria karę 80 000 EUR za nieprawidłową konfigurację dossier zdrowotnego. Ustalono, że personel miał dostęp do historii klinicznych pacjentów bez odpowiedniego profilowania, alertów i rejestracji dostępu, a pacjenci nie zostali właściwie poinformowani ani nie mogli skutecznie wyrazić zgody lub sprzeciwu.	IT	Garante per la protezione dei dati personali	Health data access control violation	80 000 €	↗
053	01 sie 2025	Dr. Max SRLANSPDCP nałożył na Dr. Max SRL karę 1 000 EUR po zakończeniu postępowania w sierpniu 2025 r. Organ stwierdził naruszenia art. 12 i 17 RODO, w tym brak odpowiedzi na żądanie usunięcia danych oraz bezprawne przechowywanie kopii dowodu tożsamości bez zgody.	RO	Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal	GDPR data subject rights violation	1000 €	↗
054	23 lip 2025	ING Bank Śląski SAPolski organ nadzorczy nałożył na ING Bank Śląski SA administracyjną karę pieniężną za skanowanie dokumentów tożsamości klientów i potencjalnych klientów bez należytej oceny, czy było to konieczne w świetle przepisów AML. Decyzja została ostatecznie wydana 23 lipca 2025 r. i dotyczy naruszeń art. 5 ust. 1 lit. a, b i c oraz art. 6 ust. 1 RODO.	PL	President of the Personal Data Protection Office	Administrative fine	4 375 273 €	↗
055	16 lip 2025	Georgescu CălinRumuński organ ochrony danych ANSPDCP nałożył na Georgescu Călin karę w dniu 2025-07-16. Sprawa dotyczyła bezprawnego przechowywania plików cookie bez uprzedniej zgody oraz niewywiązania się z obowiązku informacyjnego wobec osób, których dane dotyczą, na podstawie art. 12–14 RODO.	RO	ANSPDCP	Cookie consent violation	30 000 lej	↗
056	07 lip 2025	AURRumuński organ ochrony danych nałożył na AUR dwie kary łącznie w wysokości 25 000 euro. Sankcje dotyczyły nieuprawnionego dostępu do danych osobowych sympatyków w aplikacji AUR oraz bezprawnego zbierania danych osobowych na platformach kampanijnych.	RO	Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal	GDPR	25 000 €	↗
057	02 lip 2025	Hrvatski ured za osiguranjeAZOP nałożył na Hrvatski ured za osiguranje (HUO) karę w wysokości 101 000 euro po stwierdzeniu braku odpowiednich środków technicznych i organizacyjnych do ochrony danych osobowych. Decyzja była następstwem postępowania dotyczącego poważnego wycieku danych obejmującego około 1,2 miliona właścicieli pojazdów w Chorwacji.	HR	AZOP	Personal data protection	101 000 €	↗
058	24 cze 2025	OLXUOKiK nałożył na OLX karę w wysokości 28,4 mln PLN za nieprawidłowości w systemie ocen, które mogły wprowadzać konsumentów w błąd. Decyzja nie była jeszcze ostateczna, ponieważ spółka mogła się odwołać.	PL	Urząd Ochrony Konkurencji i Konsumentów	Misleading consumers	28 400 000 zł	↗
059	23 cze 2025	McDonald's Polska sp. z o.o.Prezes Urzędu Ochrony Danych Osobowych nałożył na McDonald's Polska sp. z o.o. administracyjną karę pieniężną w wysokości 16 932 657 PLN oraz odrębną karę na procesora. Decyzja z 23.06.2025 dotyczyła nieprawidłowej weryfikacji procesora, niewystarczającej analizy ryzyka i braku odpowiednich środków ochrony danych zgodnie z RODO.	PL	President of the Personal Data Protection Office	Data protection violation	16 932 657 zł	↗
060	23 cze 2025	City of Dublin Education and Training Board (CDETB)Irlandzki organ nadzorczy zakończył postępowanie wobec City of Dublin Education and Training Board (CDETB) i stwierdził naruszenia RODO związane z naruszeniem ochrony danych osobowych. Nałożono łączne kary administracyjne w wysokości 125 000 EUR oraz wydano upomnienie 23 czerwca 2025 r.	IE	Data Protection Commission (Ireland)	Personal data breach	125 000 €	↗

Rejestr kar.