Согласно годовому отчету UODO за 2024 год, регулятор принял 1 719 административных решений, включая:

• 1 670 решений по жалобам,
• 20 решений по нарушениям,
• 7 решений по результатам проверок,
• 22 постановления о штрафах.

Количество жалоб выросло примерно на 15 % и достигло 8 056 обращений (для сравнения: в 2023 году — 6 962). Жалобы охватывали широкий спектр ситуаций — от ошибочных e-mail-рассылок без BCC и проблем видеонаблюдения до биометрии, прямого маркетинга, обработки данных сотрудников и детей, а также использования deepfake-технологий в рекламе.

Отдельного внимания заслуживает рост сообщений об утечках персональных данных — 14 842 инцидента. Основными причинами по-прежнему остаются человеческие ошибки, некорректная анонимизация, потеря корреспонденции, несанкционированный доступ и кража носителей информации.

UODO опубликовал План контрольных мероприятий на 2026 год, определив направления, где риск проверок будет наиболее высоким.

В фокусе регулятора:

• маркетинговые организации — в части правовых оснований обработки данных;
• онлайн-платформы доставки и маркетплейсы — обработка данных при посреднических услугах;
• медицинские учреждения — обработка персональных данных с использованием видеонаблюдения, особенно в отношении детей;
• органы, обрабатывающие данные в крупных системах ЕС (SIS, VIS) — продолжение проверок, начатых в 2025 году;
• организации, обязанные вести Biuletyn Informacji Publicznej — вопросы анонимизации и доступа к материалам заседаний органов власти.

Это подтверждает общий тренд: контроль смещается в сторону массовой и чувствительной обработки данных, а также цифровых сервисов.

Анализ решений UODO за 2025 год позволяет выделить несколько устойчивых позиций регулятора.

1. Нельзя хранить данные «на всякий случай». Даже если закон допускает копирование документов (например, для целей AML), контролер обязан обосновать необходимость, объем и срок хранения.

Так, ING Bank Śląski оштрафован на 18.4 млн злотых (≈ €4.3 млн) за массовое сканирование и хранение ID-документов клиентов и потенциальных клиентов без достаточного правового основания (решение здесь).

2. Легитимный интерес (Legitimate Interest) не может использоваться для гипотетических или абстрактных рисков.

Правовое основание «Legitimate Interest» применяется только там, где обработка необходима для реализации или защиты от фактической, существующей претензии, а не для гипотетических, неопределенных споров (Решение по делу № III ОСК 4868/21, стр. 15 Biuletyn UODONr 07_08/07_08/25).

3. Работодатель может использовать банковские реквизиты сотрудника без отдельного согласия.

4. Видеонаблюдение на рабочем месте может включать видео, но не звук – см. разъяснение.

5. DPO не может быть CEO.
UODO оштрафовал компанию за совмещение ролей CEO и DPO, подчеркнув, что DPO должен быть структурно и функционально независим от исполнительного руководства. Независимость DPO является ключевым приоритетом для польского регулятора.

6. Обязанностью контролера является проведение обоснованного анализа рисков, в том числе независимо от отношений между контроллером и процессором (Решение Воеводского административного суда № II SA/Wa 45/25, Решение DKN.5131.48.2022).

7. Процессор может стать контролером.
Как только сервисный договор закончился, и компания продолжила хранить данные для собственных целей (самозащиты), она стала контролером и, следовательно, несет полную ответственность перед UODO за незаконное хранение (NSA отклонил довод компании о том, что она действовала лишь как процессор, и согласился с UODO).

8. Если вы только процессор, то не освобождаетесь от организационной стороны соблюдения GDPR.

McDonald's Polska Sp. z o. o. (контролер) и Communication Sp. z o. o. (процессор) не провели анализ рисков, не были внедрены технические и организационные меры, соответствующие масштабу обработки данных. Утечка персональных данных произошла из-за неправильной настройки сервера, за который отвечал обработчик данных. При обработке доверенных персональных данных обработчик использовал услуги другой организации, с которой он не заключил соглашение о субподряде.

Соответствующее соглашение было подписано только после нарушения и на этапе расследования надзорного органа, несмотря на то, что в соответствии с GDPR (ст. 28 (4) и (9) и ранее заключенное обязательство существовало –решение здесь.

9. За несообщение о нарушении защиты персональных данных одного физического лица и за его неуведомление можно получить штраф.

И номер PESEL в сочетании с именем, фамилией и другими личными данными может представлять высокий риск нарушения прав и свобод физического лица – решение здесь).

10. Незаявление или несвоевременное заявление UODO о нарушении защиты персональных данных в установленный 72-часовой срок.

Основные рекомендации по оценке рисков и предотвращению утечек даны в обновленном руководство UODO по нарушениям защиты данных. Примером штрафных санкций служит Решение DKN.5131.3.2025.

11. Нарушение защиты данных ваше – даже если ошибся провайдер.
UODO подтвердил, что ошибочная доставка электронного письма является нарушением защиты данных (утечкой), даже если это произошло из-за алгоритмов работы провайдера (например, игнорирование точек в адресе). (Разъяснения на стр. 19 Biuletyn UODO  Nr 07_08/07_08/2).

Решающим фактором является факт раскрытия данных неавторизованному получателю (Разъяснения – см здесь).

12. Непредоставление информационного уведомления (ст. 13 или 14 GDPR) не квалифицируется как нарушение защиты данных (утечка) и, следовательно, не требует уведомления UODO по ст. 33 (Разъяснения UODO). Это разграничение помогает компаниям сосредоточить ресурсы на сообщении о реальных инцидентах.

13. Полное игнорирование требований GDPR наказывается максимально строго (пример кейса).

14. Отказ от сотрудничества с UODO, включая непредоставление доступа к необходимым данным и информации, является нарушением GDPR, и приводит к административным штрафам на основании ст. 58, ст.83 GDPR (Примеры решений: DKE.561.35.2022, DKE.561.37.2022, DKE.561.38.2022, DOKE.561.1.2023*. *Примеры прошлых лет).

Верховный административный суд дополнительно уточнил, как следует толковать обязательство по передаче информации в соответствии с GDPR (ст. 34(1), ст.33(1):

• Контролер обязан уведомлять надзорный орган и субъектов данных только тогда, когда нарушение персональных данных может повлечь риск для прав и свобод физических лиц. Если после оценки обстоятельств инцидента можно обоснованно считать, что такой риск маловероятен, уведомление не требуется. Эта обязанность не является абсолютной.

• Оценка должна быть объективной, основанной на фактических данных о характере нарушения, объеме и типе затронутых данных, уровне защиты, а также на профессиональных знаниях контролера (например, опыте управления инцидентами и информационной безопасности).

• Контролер должен установить низкую вероятность не только самого нарушения прав и свобод, но и возникновения такого риска, чтобы отказаться от уведомления.

• Не требуется, чтобы вред реально наступил, а достаточно появления высокого риска, чтобы обязанности по уведомлению возникли.

• При определении уровня риска контролер обязан учитывать весь возможный вред для физических лиц, в том числе:

- утрату контроля над персональными данными;
- риск неправомерного использования данных третьими лицами;
- финансовые потери;
- ущерб репутации;
- возможные социальные или дискриминационные последствия.

Таким образом, наличие риска определяется потенциальными последствиями инцидента, а не фактом наступления реального вреда.

Помимо практики польского UODO, компаниям важно учитывать подходы других европейских регуляторов. На примере такой важной и чувствительной области, как маркетинг, это позволяет увидеть, как формируются общие стандарты толкования GDPR в ЕС и понять, какие требования следует соблюдать.

1. Адреса электронной почты для прямой рекламы аналогичных услуг, собранные при создании пользователем бесплатного аккаунта на онлайн-платформе, могут быть получены «в контексте продажи продукта или услуги» в значении 13(2) ePrivacy Directive и использоваться без предварительного согласия при соблюдении всех следующих условий:

- адрес электронной почты был получен во время продажи/предоставления услуги;
- маркетинг касается аналогичных продуктов или услуг;
- пользователь был четко проинформирован в момент сбора данных;
- при сборе данных и в каждом сообщении предлагалась бесплатная и простая возможность отказа от подписки.
Если какое-либо условие отсутствует, требуется предварительное согласие (CJEU judgment C-654/23 Inteligo Media).

2. Письма о «Брошенной корзине» являются рекламой.

Немецкий регулятор HBDI (Гессен) подтвердил, что отправка писем о «брошенной корзине» пользователю, который не завершил покупку, является рекламой и требует предварительного, явного согласия (ст. 6(1)(a) GDPR) или наличия действующей клиентской связи по принципу «soft opt-in» (Отчет HBDI 2024).

3. Пиксели слежения требуют отдельного согласия

Французский регулятор по защите данных (CNIL) выпустил проект руководства, который приравнивает встраивание трекинг-пикселей в электронные письма к размещению файлов cookie. Это означает, что отдельное, явное согласие (Opt-in) требуется для отслеживания открытия писем, персонализации контента и сегментации пользователей (Проект руководства CNIL).

Среди ключевых направлений регуляторной политики ЕС:

• контроль за ИИ-системами и алгоритмическими решениями;
• минимизация объема данных;
• усиленная защита чувствительных категорий данных;
• борьба с дипфейками и дезинформацией;
• строгая реализация принципов Privacy by Design и Privacy by Default;
• усиление требований к электронным коммуникациям и рассылкам;
• более жесткая оценка рисков при обработке данных.

Успешное соблюдение GDPR зависит не столько от наличия политик, сколько от их практической реализации (настройки процессов, способности быстро реагировать на инциденты, обоснования каждого акта обработки данных, активного сотрудничества с надзорным органом).

1. Проведите аудит соответствия GDPR / RODO (сбор, хранение, передача, удаление, доступ, логирование, хранение данных, функционал и независимость DPO, уведомления сторон и т.д.);
2. Используйте принципы privacy-by-design / by-default;
3. Настройте процедуры обработки инцидентов (как реагировать, кому и когда уведомлять, как оценивать риск и вред, как документировать);
4. При масштабных / «чувствительных» проектах проводите DPIA, особенно перед запуском, изменением архитектуры, добавлением новых модулей (аналитика, хранение ID, health-данные, трекинг, видео, биометрия);
5. На этапе заключений контрактов предусматривайте ограничения на дальнейшую передачу/суб-обработку, обязанности по защите данных, логированию, меры минимизации;
6. Проведите аудит маркетинговых рассылок и коммуникаций. Убедитесь, что soft opt-in применяется корректно, есть явная информация при сборе e-mail, понятный opt-out, документированное согласие и надлежащая правовая база;
7. Усильте технические и организационные меры (TOMs) (шифрование, логирование, MFA, безопасные процедуры доступа, аудит, тестирование);

Если у Вас есть кейс для рассмотрения – вы можете связаться с нами посредством telegram или оставив заявку на сайте. Мы изучим Вашу ситуацию и поможем найти лучший вариант решения.

Команда ALG Legal консультирует компании по вопросам GDPR и RODO-соответствия, сопровождает проверки UODO, проводит аудиты, DPIA и разрабатывает практические compliance-модели, адаптированные под реальные процессы бизнеса.

Мы помогаем не просто «соответствовать формально», а выстроить устойчивую систему защиты данных с учетом приоритетов регуляторов 2026 года.