Rok 2025 przynosi znaczące zmiany w krajobrazie ochrony danych osobowych w Europie. Ogólne Rozporządzenie o Ochronie Danych, znane jako RODO, obowiązuje od 2018 roku, jednak wciąż ewoluuje poprzez nowe wytyczne organów nadzorczych, orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej oraz zmieniające się realia technologiczne. Dla przedsiębiorców oznacza to konieczność ciągłego dostosowywania procedur i dokumentów wewnętrznych. W tym artykule omawiamy kluczowe zmiany, nowe obowiązki oraz realne konsekwencje finansowe, które powinny zmotywować każdą organizację do aktywnego działania.

Ochrona danych osobowych to nie jednorazowy projekt wdrożeniowy, lecz proces wymagający stałej uwagi. Firmy, które potraktowały RODO jako formalną czynność w 2018 roku i od tamtego czasu nie aktualizowały swoich procedur, narażają się dziś na poważne ryzyko regulacyjne. Przyjrzyjmy się konkretnie, co zmieniło się w 2025 roku.

1. Co się zmieniło w RODO w 2025 roku

Choć sam tekst Rozporządzenia 2016/679 nie został formalnie znowelizowany, rok 2025 przynosi szereg zmian wynikających z nowych wytycznych Europejskiej Rady Ochrony Danych (EROD), orzeczeń TSUE oraz krajowych decyzji organów nadzorczych. Najistotniejsze zmiany dotyczą trzech obszarów: rozszerzonej odpowiedzialności administratorów danych, zasad transferu danych do państw trzecich oraz nowych reguł dotyczących sztucznej inteligencji.

EROD wydała zaktualizowane wytyczne dotyczące obliczania kar administracyjnych, które uszczegółowiły sposób interpretacji art. 83 RODO. Oznacza to bardziej przewidywalny, ale też bardziej rygorystyczny system nakładania sankcji. Ponadto wytyczne dotyczące profilowania zostały rozszerzone o kontekst systemów AI, co bezpośrednio wpływa na firmy wykorzystujące algorytmy do podejmowania decyzji o klientach.

Warto podkreślić, że dyrektywa NIS2, która weszła w życie w październiku 2024 roku, wzmacnia wymogi bezpieczeństwa cybernetycznego i tworzy dodatkową warstwę obowiązków, które często pokrywają się z RODO. Administrator danych musi teraz koordynować zgodność z oboma regulacjami jednocześnie.

2. Nowe obowiązki dla administratorów danych

Zaktualizowane wytyczne EROD z 2024/2025 precyzują kilka kluczowych obowiązków, które wcześniej były interpretowane rozbieżnie. Po pierwsze, obowiązek prowadzenia rejestru czynności przetwarzania (art. 30 RODO) został rozszerzony o konieczność dokumentowania podstaw prawnych przetwarzania w sposób bardziej granularny. Nie wystarczy już ogólne powołanie się na „uzasadniony interes”. Należy wskazać konkretny interes, przeprowadzić test równowagi i udokumentować wynik.

Po drugie, obowiązek informacyjny został de facto rozszerzony przez orzecznictwo TSUE. W wyroku z października 2024 roku Trybunał orzekł, że klauzule informacyjne muszą być nie tylko kompletne, ale również „rzeczywiście zrozumiałe” dla przeciętnego odbiorcy. To oznacza, że wielostronicowe polityki prywatności napisane językiem prawniczym mogą zostać uznane za niewystarczające.

Trzeci istotny obszar dotyczy oceny skutków dla ochrony danych (DPIA). EROD rozszerzyła katalog operacji przetwarzania, które wymagają obligatoryjnego przeprowadzenia DPIA. Obejmuje to teraz każde wykorzystanie systemów AI do podejmowania decyzji dotyczących osób fizycznych, monitorowanie pracowników przy pracy zdalnej oraz przetwarzanie danych biometrycznych w systemach kontroli dostępu.

3. Kary finansowe: ile naprawdę grozi

Rok 2024 był rekordowy pod względem wysokości nałożonych kar za naruszenie RODO w Europie. Łączna kwota sankcji przekroczyła 4,5 miliarda euro, a pojedyncze kary sięgały setek milionów. Trend ten utrzymuje się w 2025 roku, a organy nadzorcze wyraźnie zaostrzyły podejście do powtarzających się naruszeń.

W Polsce Urząd Ochrony Danych Osobowych (UODO) nałożył w 2024 roku kary o łącznej wartości przekraczającej 15 milionów złotych. Największe sankcje dotyczyły braku współpracy z organem nadzorczym, niedostatecznych środków bezpieczeństwa technicznego oraz niewystarczającej reakcji na naruszenia ochrony danych. Warto zwrócić uwagę, że UODO coraz częściej kontroluje sektor MSP, nie ograniczając się do dużych korporacji.

„Wysokość kary to tylko wierzchołek góry lodowej. Rzeczywisty koszt naruszenia RODO obejmuje utratę reputacji, koszty obsługi prawnej, notyfikacje podmiotów danych oraz potencjalne roszczenia odszkodowawcze. Dla średniego przedsiębiorcy całkowity koszt może sięgnąć wielokrotności samej kary administracyjnej.”

— Raport EROD, Annual Report on GDPR Enforcement 2024

Nowe wytyczne EROD dotyczące obliczania kar wprowadzają precyzyjniejszą metodologię opartą na obrotach firmy, liczbie osób dotkniętych naruszeniem oraz stopniu współpracy z organem nadzorczym. Dla firm o obrotach do 50 mln euro kary bazowe ustalane są na podstawie wielokrotności obrotu, co sprawia, że sankcje stają się bardziej proporcjonalne, lecz również bardziej dotkliwe dla mniejszych podmiotów.

4. Transfer danych po wyroku Schrems III

Problematyka transferu danych osobowych do państw trzecich, w szczególności do Stanów Zjednoczonych, pozostała jednym z najbardziej dynamicznych obszarów regulacyjnych. W 2023 roku Komisja Europejska przyjęła decyzję o adekwatności w ramach EU-US Data Privacy Framework. Jednak w 2024 roku wpłynęły pierwsze skargi kwestionujące tę decyzję, określane już jako „Schrems III”.

Niezależnie od wyniku postępowania przed TSUE, przedsiębiorcy powinni przygotować się na scenariusz, w którym decyzja adekwatności zostanie uchylona. Oznacza to konieczność posiadania alternatywnych mechanizmów transferu, takich jak standardowe klauzule umowne (SCC) uzupełnione o transfer impact assessment (TIA). Firmy korzystające z usług chmurowych amerykańskich dostawców powinny już teraz dokonać przeglądu swoich umów i ocenić ryzyko.

EROD zaleca stosowanie podejścia „plan B”, czyli przygotowanie dokumentacji SCC i TIA równolegle z korzystaniem z Data Privacy Framework. W przypadku firm przetwarzających dane wrażliwe zalecane jest rozważenie lokalizacji danych w Europejskim Obszarze Gospodarczym lub zastosowanie dodatkowych środków technicznych, takich jak szyfrowanie z kluczami zarządzanymi wyłącznie przez europejski podmiot.

Potrzebujesz audytu RODO?

Nasz zespół compliance pomoże Ci zidentyfikować luki w ochronie danych i przygotować firmę na nowe wymogi regulacyjne.

Umów konsultację

5. AI i RODO: nowe wyzwania

Wejście w życie Rozporządzenia o Sztucznej Inteligencji (AI Act) w sierpniu 2024 roku stworzyło nową warstwę regulacyjną, która w wielu punktach krzyżuje się z RODO. Każda firma wykorzystująca systemy AI do przetwarzania danych osobowych musi teraz spełnić wymogi obu regulacji jednocześnie. W praktyce oznacza to znaczne komplikacje, szczególnie w obszarach takich jak automatyczne podejmowanie decyzji, profilowanie klientów i analityka predykcyjna.

EROD wydała w grudniu 2024 roku wytyczne dotyczące relacji między RODO a AI Act, w których podkreśliła, że wykorzystanie danych osobowych do trenowania modeli AI wymaga odrębnej podstawy prawnej. Sama zgoda użytkownika na usługę nie oznacza zgody na wykorzystanie jego danych do trenowania algorytmów. Firmy muszą zapewnić transparentność w zakresie tego, jakie dane są wykorzystywane do jakiego celu, oraz umożliwić skuteczne wykonywanie prawa do sprzeciwu wobec przetwarzania danych w celach treningowych.

Szczególnie istotna jest kwestia automatycznego podejmowania decyzji na podstawie art. 22 RODO. Każdy system AI, który podejmuje decyzje mające istotny wpływ na osoby fizyczne (np. ocena zdolności kredytowej, rekrutacja, ustalanie warunków ubezpieczenia), musi spełniać dodatkowe wymogi: zapewnić prawo do interwencji człowieka, wyjaśnić logikę decyzji oraz umożliwić skuteczne zaskarżenie rozstrzygnięcia. W praktyce wymaga to wdrożenia mechanizmów „explainability” oraz procedur odwoławczych.

6. Checklista compliance RODO na 2025

Poniżej przedstawiamy listę kluczowych działań, które każdy administrator danych osobowych powinien zrealizować lub zweryfikować w 2025 roku. Ta checklista stanowi punkt wyjścia do kompleksowego audytu zgodności.

  • Aktualizacja rejestru czynności przetwarzania z uwzględnieniem nowych wytycznych EROD dotyczących dokumentowania podstaw prawnych
  • Przegląd i aktualizacja klauzul informacyjnych pod kątem „rzeczywistej zrozumiałości” zgodnie z orzecznictwem TSUE
  • Przeprowadzenie DPIA dla wszystkich procesów wykorzystujących systemy AI do podejmowania decyzji o osobach fizycznych
  • Weryfikacja mechanizmów transferu danych do państw trzecich i przygotowanie dokumentacji SCC oraz TIA jako planu awaryjnego
  • Audyt polityki retencji danych i weryfikacja, czy dane są faktycznie usuwane po upływie okresu przechowywania
  • Przegląd umów powierzenia przetwarzania danych (art. 28 RODO) ze wszystkimi procesorami
  • Aktualizacja procedury reagowania na naruszenia ochrony danych z uwzględnieniem wymogów NIS2
  • Szkolenie personelu z zakresu nowych wymogów RODO, ze szczególnym uwzględnieniem zasad wykorzystania narzędzi AI
  • Weryfikacja zgodności cookies i mechanizmów consent management z najnowszymi wytycznymi EROD
  • Przegląd środków bezpieczeństwa technicznego i organizacyjnego w kontekście wymogów NIS2
  • Aktualizacja dokumentacji Inspektora Ochrony Danych i weryfikacja jego niezależności operacyjnej
  • Przeprowadzenie testu równowagi (balancing test) dla wszystkich procesów opartych na uzasadnionym interesie administratora

7. Jak przygotować firmę

Przygotowanie firmy na zmiany regulacyjne w 2025 roku wymaga podejścia systemowego. Pierwszym krokiem powinien być kompleksowy audyt istniejących procedur ochrony danych osobowych, który wskaże luki względem aktualnych wymogów. Audyt ten powinien objąć nie tylko dokumentację, ale również faktyczne praktyki przetwarzania danych w organizacji. Często okazuje się, że istniejące procedury są kompletne na papierze, ale nie są stosowane w codziennej praktyce.

Drugim krokiem jest wyznaczenie lub weryfikacja roli Inspektora Ochrony Danych. Nawet jeśli RODO nie nakłada bezwzględnego obowiązku wyznaczenia IOD na każdą organizację, posiadanie kompetentnej osoby odpowiedzialnej za compliance RODO staje się de facto standardem rynkowym. Organy nadzorcze pozytywnie oceniają proaktywną postawę firm w tym zakresie, co może mieć wpływ na ewentualny wymiar kary.

Trzecim elementem jest budowanie kultury ochrony danych w organizacji. Pojedyncze szkolenie roczne to za mało. Skuteczna ochrona danych wymaga ciągłego podnoszenia świadomości pracowników, regularnych ćwiczeń z zakresu reagowania na incydenty oraz jasnych kanałów komunikacji w przypadku wątpliwości dotyczących przetwarzania danych. Przedsiębiorcy, którzy inwestują w edukację zespołu, znacząco zmniejszają ryzyko naruszeń wynikających z błędu ludzkiego, który wciąż pozostaje najczęstszą przyczyną incydentów.

Wreszcie, warto rozważyć współpracę z zewnętrzną kancelarią specjalizującą się w ochronie danych osobowych. Regulacje stają się coraz bardziej złożone, a ich interpretacja wymaga specjalistycznej wiedzy. Zewnętrzny audyt przeprowadzany okresowo (np. raz w roku) pozwala zidentyfikować ryzyka, których wewnętrzny zespół może nie dostrzegać, oraz dostarcza niezależnej oceny stanu zgodności organizacji.