BIULETYN №076Aktualizacja · 17 cze 2026
Rejestr kar.
Publiczny rejestr kar regulacyjnych nałożonych na podstawie dyrektyw UE. Aktualizowany w miarę publikacji decyzji przez krajowe organy nadzoru.
129 pozycji
- Suma kar
- 5,5 mld €
- Decyzje
- 129
- Jurysdykcje
- 26
- Regulatorzy
- 50
- Śr. miesięcznie
- 66,7 mln €
- Wzrost r/r
- +57,1%
| № | Nałożona | Firma | Kraj | Organ | Rodzaj | Kwota | ↗ |
|---|---|---|---|---|---|---|---|
| 001 | 26 lis 2025 | AenaHiszpański organ ochrony danych nałożył na Aena karę 10,043,002 euro za system boardingowy oparty na rozpoznawaniu twarzy. Organ uznał, że spółka nie przeprowadziła prawidłowej oceny skutków dla ochrony danych i nie wykazała konieczności ani proporcjonalności przetwarzania danych biometrycznych. | ES | AEPD | GDPR compliance | 10 043 000 € | ↗ |
| 002 | — | FC BarcelonaAEPD nałożył na FC Barcelona karę w wysokości 500 000 EUR za naruszenie przepisów RODO. Sprawa dotyczyła niezgodnego z wymogami przetwarzania danych osobowych. | ES | AEPD | GDPR | 500 000 € | ↗ |
| 003 | 01 sty 2026 | CloudflareAGCOM wydał wobec Cloudflare ordinanza ingiunzione na podstawie Digital Services Act. Kara wynosi 100 000 EUR i dotyczy naruszenia obowiązków wynikających z DSA. | IT | AGCOM | DSA | 100 000 € | ↗ |
| 004 | 18 lut 2026 | A contact center companyHiszpański organ ochrony danych nałożył na firmę contact center karę 48 000 EUR za wykorzystywanie prywatnych telefonów pracowników do odbierania danych dostępu do pracy. Sprawa dotyczyła także zbierania numerów telefonów i dat urodzenia bez ważnej podstawy prawnej; kara została obniżona z 80 000 EUR po przyznaniu się i dobrowolnej zapłacie. | ES | Agència Catalana de Protecció de Dades | Unlawful processing of personal data | 48 000 € | ↗ |
| 005 | 01 gru 2023 | ENDESA, S.A.Hiszpański organ ochrony danych nałożył na ENDESA karę w wysokości 6,1 mln EUR w grudniu 2023 r. Sprawa dotyczyła naruszenia bezpieczeństwa, które doprowadziło do sprzedaży danych osobowych klientów za pośrednictwem reklam na Facebooku. | ES | Agencia Española de Protección de Datos | Data breach | 6 100 000 € | ↗ |
| 006 | 01 sty 2023 | YoigoHiszpański organ ochrony danych AEPD nałożył na Yoigo łączną karę 4 mln EUR po błędzie technicznym, który przez kilka tygodni umożliwiał nieautoryzowany dostęp do danych osobowych klientów. Sprawa obejmuje dwie skumulowane sankcje, a decyzja jest obecnie zaskarżana. | ES | Agencia Española de Protección de Datos | Data breach | 4 000 000 € | ↗ |
| 007 | 01 cze 2025 | CarrefourAgencia Española de Protección de Datos nałożyła na Carrefour karę w wysokości 3,2 mln euro. Sankcja była związana z pięcioma naruszeniami bezpieczeństwa między styczniem a kwietniem 2023 r., które dotknęły dane osobowe tysięcy klientów. | ES | Agencia Española de Protección de Datos | Data security breach | 3 200 000 € | ↗ |
| 008 | 11 wrz 2025 | Apotheka and PetCity client data handlerEstoński Urząd Ochrony Danych Osobowych (Andmekaitse Inspektsioon) nałożył na podmiot obsługujący dane klientów Apotheka i PetCity karę w wysokości 3 mln EUR. Organ wskazał na naruszenie wymogów bezpieczeństwa przetwarzania danych osobowych. Sprawa dotyczyła ochrony danych klientów i zgodności z RODO. | EE | Andmekaitse Inspektsioon | GDPR fine | 3 000 000 € | ↗ |
| 009 | 26 sty 2024 | Allium UPI OÜEstoński organ ochrony danych nałożył na Allium UPI OÜ, operatora programu lojalnościowego Apotheka, karę w wysokości 3 milionów euro. Organ uznał, że spółka nie zapewniła odpowiedniej ochrony danych klientów i stosowała niewystarczające środki bezpieczeństwa, co naraziło dane ponad 750 000 osób. | EE | Andmekaitse Inspektsioon | Data protection and security breach | 3 000 000 € | ↗ |
| 010 | 01 mar 2025 | Tensa Art Design S.A.Rumuński organ ochrony danych zbadał Tensa Art Design S.A., operatora lensa.ro, w marcu 2025 r. Stwierdzono naruszenia RODO związane z przetwarzaniem danych do marketingu bez ważnej zgody oraz niewłaściwą obsługą żądań dostępu i usunięcia danych. Nałożono dwie kary łącznie na 15,000 EUR. | RO | ANSPDCP | GDPR | 10 000 € | ↗ |
| 011 | 01 kwi 2024 | Your Consulting SRLANSPDCP nałożył na Your Consulting SRL karę w związku z naruszeniem RODO dotyczącym niewystarczających technicznych i organizacyjnych środków bezpieczeństwa. Luka w zabezpieczeniach umożliwiła nieuprawniony dostęp do danych osobowych za pośrednictwem jednej z aplikacji spółki. | RO | ANSPDCP | Inadequate security measures | 3000 € | ↗ |
| 012 | 25 mar 2026 | RENAULT COMMERCIAL ROUMANIE S.R.L.Rumuński organ ochrony danych ANSPDCP nałożył na RENAULT COMMERCIAL ROUMANIE S.R.L. karę za naruszenia GDPR po cyberataku na aplikację obsługiwaną przez podmiot przetwarzający. Organ uznał, że dane osobowe zostały uzyskane i ujawnione bez upoważnienia, a spółka nie zapewniła odpowiednich środków bezpieczeństwa ani wystarczających gwarancji po stronie procesora. | RO | ANSPDCP | Insufficient security measures | 125 000 € | ↗ |
| 013 | 16 lip 2025 | Georgescu CălinRumuński organ ochrony danych ANSPDCP nałożył na Georgescu Călin karę w dniu 2025-07-16. Sprawa dotyczyła bezprawnego przechowywania plików cookie bez uprzedniej zgody oraz niewywiązania się z obowiązku informacyjnego wobec osób, których dane dotyczą, na podstawie art. 12–14 RODO. | RO | ANSPDCP | Cookie consent violation | 5729 € | ↗ |
| 014 | 31 sty 2026 | SC Tensa Art Design SARumuński organ ochrony danych nałożył na SC Tensa Art Design SA, operatora marki Lensa, karę 20,000 EUR na podstawie RODO. Sankcja została wymierzona po tym, jak spółka nie odpowiedziała na żądanie organu w ramach postępowania dotyczącego śledzenia plików cookie i reklamy behawioralnej na stronie internetowej. | RO | Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal | GDPR investigation non-cooperation | 20 000 € | ↗ |
| 015 | — | Lensa.roLensa.ro, prowadzona przez Tensa Art Design, została ukarana przez rumuński organ ochrony danych ANSPDCP grzywną w wysokości 20 000 euro. Sprawa dotyczyła śledzenia opartego na plikach cookie i reklamy behawioralnej bez wyraźnej zgody użytkowników oraz braku odpowiedzi na oficjalne żądania informacji organu. | RO | Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal | GDPR consent and cooperation violation | 20 000 € | ↗ |
| 016 | 01 lut 2025 | Orange RomaniaAutoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) nałożyła na Orange Romania karę 40 000 euro za naruszenia RODO. Organ wskazał na nieprawidłową obsługę żądań usunięcia danych osobowych oraz nadmierne pozyskiwanie kopii dokumentów tożsamości. | RO | Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal | GDPR | 40 000 € | ↗ |
| 017 | 01 sie 2025 | Dr. Max SRLANSPDCP nałożył na Dr. Max SRL karę 1 000 EUR po zakończeniu postępowania w sierpniu 2025 r. Organ stwierdził naruszenia art. 12 i 17 RODO, w tym brak odpowiedzi na żądanie usunięcia danych oraz bezprawne przechowywanie kopii dowodu tożsamości bez zgody. | RO | Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal | GDPR data subject rights violation | 1000 € | ↗ |
| 018 | 01 kwi 2025 | BitdefenderBitdefender otrzymał karę GDPR w wysokości 10 000 euro od rumuńskiego organu ochrony danych. Sankcja została nałożona po zakończeniu postępowania w kwietniu 2025 r. po zgłoszeniu naruszenia danych, a organ wskazał na niewystarczające techniczne i organizacyjne środki bezpieczeństwa. | RO | Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal | GDPR data security breach | 10 000 € | ↗ |
| 019 | 07 lip 2025 | AURRumuński organ ochrony danych nałożył na AUR dwie kary łącznie w wysokości 25 000 euro. Sankcje dotyczyły nieuprawnionego dostępu do danych osobowych sympatyków w aplikacji AUR oraz bezprawnego zbierania danych osobowych na platformach kampanijnych. | RO | Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal | GDPR | 25 000 € | ↗ |
| 020 | 01 sty 2019 | KNLTBHolenderski związek tenisowy KNLTB został ukarany przez Autoriteit Persoonsgegevens za naruszenie RODO/AVG. Początkowa kara wyniosła 525 000 EUR, a następnie została obniżona do 250 000 EUR, ponieważ organizacja przekazała dane osobowe członków dwóm sponsorom bez ważnej podstawy prawnej. | NL | Autoriteit Persoonsgegevens | Unauthorized disclosure of personal data | 525 000 € | ↗ |