BIULETYN №076Aktualizacja · 17 cze 2026
Rejestr kar.
Publiczny rejestr kar regulacyjnych nałożonych na podstawie dyrektyw UE. Aktualizowany w miarę publikacji decyzji przez krajowe organy nadzoru.
129 pozycji
- Suma kar
- 5,5 mld €
- Decyzje
- 129
- Jurysdykcje
- 26
- Regulatorzy
- 50
- Śr. miesięcznie
- 66,7 mln €
- Wzrost r/r
- +57,1%
| № | Nałożona | Firma | Kraj | Organ | Rodzaj | Kwota | ↗ |
|---|---|---|---|---|---|---|---|
| 001 | 19 lis 2025 | About YouWęgierski Urząd Ochrony Konkurencji (GVH) uznał, że About You stosował wprowadzające w błąd ceny promocyjne oraz wywierał presję na konsumentów za pomocą liczników czasu i komunikatów o ograniczonej dostępności. Spółka ma zapłacić 505 mln HUF do budżetu centralnego Węgier oraz zapewnić rekompensatę dla poszkodowanych klientów na Węgrzech. | HU | Gazdasági Versenyhivatal | Misleading pricing | 1 440 000 € | ↗ |
| 002 | 18 lut 2026 | A contact center companyHiszpański organ ochrony danych nałożył na firmę contact center karę 48 000 EUR za wykorzystywanie prywatnych telefonów pracowników do odbierania danych dostępu do pracy. Sprawa dotyczyła także zbierania numerów telefonów i dat urodzenia bez ważnej podstawy prawnej; kara została obniżona z 80 000 EUR po przyznaniu się i dobrowolnej zapłacie. | ES | Agència Catalana de Protecció de Dades | Unlawful processing of personal data | 48 000 € | ↗ |
| 003 | 25 lut 2020 | Addiko Bank d.d.Visoki upravni sud Republike Hrvatske utrzymał w mocy decyzję AZOP z 25 lutego 2020 r. wobec Addiko Bank d.d. Potwierdzona kara administracyjna wyniosła 145,995.09 EUR za utrudnianie klientom dostępu do ich danych osobowych i dokumentacji kredytowej. | HR | AZOP | GDPR access rights violation | 145 000 € | ↗ |
| 004 | 12 wrz 2025 | A Düsseldorf-based personnel recruitment companyLDI NRW poinformował 12.09.2025 o nałożeniu kary ponad 35 000 EUR na firmę rekrutacyjną z Düsseldorfu. Organ wskazał, że spółka wielokrotnie ignorowała wnioski kandydatów o dostęp do danych i ich usunięcie oraz nie odpowiadała na pytania organu nadzorczego. | DE | Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen | GDPR rights violation | 35 000 € | ↗ |
| 005 | 26 lis 2025 | AenaHiszpański organ ochrony danych nałożył na Aena karę 10,043,002 euro za system boardingowy oparty na rozpoznawaniu twarzy. Organ uznał, że spółka nie przeprowadziła prawidłowej oceny skutków dla ochrony danych i nie wykazała konieczności ani proporcjonalności przetwarzania danych biometrycznych. | ES | AEPD | GDPR compliance | 10 043 000 € | ↗ |
| 006 | 11 lut 2025 | A követeléskezelő társaságNAIH nałożył karę 10 mln HUF na spółkę windykacyjną za dalsze przetwarzanie danych osobowych po uznaniu długu za przedawniony przez sąd. Spółka nie uwzględniła żądania usunięcia danych i utrzymywała sprawę w swoim systemie. | HU | Nemzeti Adatvédelmi és Információszabadság Hatóság | Unlawful data processing | 28 518 € | ↗ |
| 007 | 28 paź 2025 | Aktia PankkiSeuraamuskollegio Tietosuojavaltuutetun toimistossa nałożyło na Aktia Pankki karę 865 000 EUR za zaniedbania w zakresie bezpieczeństwa informacji w usłudze silnej identyfikacji elektronicznej. Incydent spowodował, że część użytkowników mogła zobaczyć dane innych klientów w usługach wymagających silnego uwierzytelnienia. | FI | Tietosuojavaltuutetun toimisto | Administrative fine | 865 000 € | ↗ |
| 008 | 26 sty 2024 | Allium UPI OÜEstoński organ ochrony danych nałożył na Allium UPI OÜ, operatora programu lojalnościowego Apotheka, karę w wysokości 3 milionów euro. Organ uznał, że spółka nie zapewniła odpowiedniej ochrony danych klientów i stosowała niewystarczające środki bezpieczeństwa, co naraziło dane ponad 750 000 osób. | EE | Andmekaitse Inspektsioon | Data protection and security breach | 3 000 000 € | ↗ |
| 009 | 04 paź 2023 | Amazon EuropeCNPD nałożyła na Amazon Europe karę w wysokości 746 000 000 EUR za naruszenia przepisów o ochronie danych. Sprawa dotyczyła uchybień w zakresie przetwarzania danych osobowych i zgodności z wymogami RODO. | LU | CNPD | GDPR | 746 000 000 € | ↗ |
| 010 | 10 paź 2023 | American ExpressCNIL nałożyła na American Express karę w wysokości 1 500 000 EUR za umieszczanie plików cookie bez uprzedniej zgody użytkowników. Sprawa dotyczy naruszeń przepisów GDPR oraz prawa prywatności. | FR | CNIL | GDPR | 1 500 000 € | ↗ |
| 011 | 16 kwi 2026 | An unnamed energy companyWęgierski organ ochrony danych NAIH nałożył karę 75 mln HUF w sprawie NAIH-19-18/2024 na nieujawnioną spółkę energetyczną. Sprawa dotyczyła przetwarzania danych w ogólnokrajowym programie wymiany oświetlenia LED, w którym stwierdzono poważne uchybienia w zakresie ochrony prywatności. | HU | Nemzeti Adatvédelmi és Információszabadság Hatóság | GDPR fine | 213 000 € | ↗ |
| 012 | 11 wrz 2025 | Apotheka and PetCity client data handlerEstoński Urząd Ochrony Danych Osobowych (Andmekaitse Inspektsioon) nałożył na podmiot obsługujący dane klientów Apotheka i PetCity karę w wysokości 3 mln EUR. Organ wskazał na naruszenie wymogów bezpieczeństwa przetwarzania danych osobowych. Sprawa dotyczyła ochrony danych klientów i zgodności z RODO. | EE | Andmekaitse Inspektsioon | GDPR fine | 3 000 000 € | ↗ |
| 013 | 18 mar 2024 | Arbeids- og velferdsetaten (NAV)Datatilsynet nałożył 18.03.2024 na Arbeids- og velferdsetaten (NAV) karę 20 milionów koron oraz dodatkowe nakazy. Sprawa dotyczyła niedostatecznego zabezpieczenia poufności danych poprzez kontrolę dostępu i monitorowanie logów, co skutkowało poważnymi uchybieniami zgodności. | NO | Datatilsynet | GDPR confidentiality and security breach | 1 813 000 € | ↗ |
| 014 | 19 sty 2023 | A startup football clubBelgijski organ ochrony danych GBA nałożył na startupowy klub piłkarski karę 8 000 EUR. Sprawa dotyczyła braku odpowiedzi na wniosek o dostęp do danych oraz dodatkowych naruszeń RODO związanych z przejrzystością i umowami z podmiotami przetwarzającymi. | BE | Gegevensbeschermingsautoriteit (GBA) | GDPR data subject rights violation | 8000 € | ↗ |
| 015 | 07 lip 2025 | AURRumuński organ ochrony danych nałożył na AUR dwie kary łącznie w wysokości 25 000 euro. Sankcje dotyczyły nieuprawnionego dostępu do danych osobowych sympatyków w aplikacji AUR oraz bezprawnego zbierania danych osobowych na platformach kampanijnych. | RO | Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal | GDPR | 25 000 € | ↗ |
| 016 | 04 sie 2025 | Azienda Ospedaliero-UniversitariaWłoski organ ochrony danych nałożył na Azienda Ospedaliero-Universitaria karę 80 000 EUR za nieprawidłową konfigurację dossier zdrowotnego. Ustalono, że personel miał dostęp do historii klinicznych pacjentów bez odpowiedniego profilowania, alertów i rejestracji dostępu, a pacjenci nie zostali właściwie poinformowani ani nie mogli skutecznie wyrazić zgody lub sprzeciwu. | IT | Garante per la protezione dei dati personali | Health data access control violation | 80 000 € | ↗ |
| 017 | 16 gru 2025 | Bank MillenniumNaczelny Sąd Administracyjny utrzymał w mocy karę administracyjną w wysokości 350 000 PLN nałożoną na Bank Millennium przez Prezesa UODO. Sankcja dotyczyła braku zgłoszenia naruszenia ochrony danych osobowych oraz braku powiadomienia osób, których dane dotyczyły, po zaginięciu przesyłki kurierskiej zawierającej dane klientów. | PL | Urząd Ochrony Danych Osobowych | Failure to notify data breach | 82 456 € | ↗ |
| 018 | 01 lut 2026 | Biržų ligoninėVDAI nałożył na Biržų ligoninė karę w wysokości 6 000 EUR za nieprawidłowe przetwarzanie danych osobowych. Sprawa dotyczy naruszenia wymogów ochrony danych, które mogło wpłynąć na zgodność z przepisami RODO. | LT | VDAI | GDPR | 6000 € | ↗ |
| 019 | 01 kwi 2025 | BitdefenderBitdefender otrzymał karę GDPR w wysokości 10 000 euro od rumuńskiego organu ochrony danych. Sankcja została nałożona po zakończeniu postępowania w kwietniu 2025 r. po zgłoszeniu naruszenia danych, a organ wskazał na niewystarczające techniczne i organizacyjne środki bezpieczeństwa. | RO | Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal | GDPR data security breach | 10 000 € | ↗ |
| 020 | 29 maj 2026 | BlikkWęgierski organ ochrony danych NAIH nałożył na Blikk karę 25 mln HUF za opublikowanie danych osobowych i informacji o tranzycji płciowej kobiety transpłciowej bez podstawy prawnej. Organ uznał naruszenie za umyślne i wskazał, że redakcja nie zareagowała na żądania usunięcia treści. | HU | Nemzeti Adatvédelmi és Információszabadság Hatóság | Unlawful disclosure of personal data | 71 295 € | ↗ |