Ochrona danych osobowych w Polsce: RODO, UODO i przewodnik na 2026 r.

Polską ochronę danych osobowych regulują ogólne rozporządzenie o ochronie danych Unii Europejskiej (RODO), rozporządzenie (UE) 2016/679, oraz krajowa ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Oba akty weszły w życie 25 maja 2018 r. i są egzekwowane przez UODO, polski niezależny organ nadzorczy.
Polska prowadzi jeden z bardziej aktywnych systemów egzekwowania ochrony danych osobowych w Unii Europejskiej. W kraju stosuje się unijne ogólne rozporządzenie o ochronie danych (RODO), rozporządzenie (UE) 2016/679, obok krajowej ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Oba akty weszły w życie 25 maja 2018 r. Krajowy organ nadzorczy, UODO (Urząd Ochrony Danych Osobowych), znacząco zwiększył swoją aktywność egzekucyjną w latach 2024 i 2025, nakładając rekordowe kary i rozpatrując ponad 8000 skarg rocznie.
Informacje zweryfikowano ostatnio 19 maja 2026 r. Niniejszy artykuł przedstawia ogólne informacje prawne dotyczące polskich ram ochrony danych osobowych. Nie został on zweryfikowany przez licencjonowanego prawnika i nie stanowi porady prawnej.
Zakres jurysdykcyjny: niniejszy artykuł omawia polskie ramy ochrony danych osobowych na podstawie RODO, polskiej ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. oraz ustawy z dnia 21 lutego 2019 r. zmieniającej przepisy sektorowe. Nie porusza on polskiego prawa karnego dotyczącego inwigilacji; zasady zgody na nagrywanie w Polsce opisano w artykule Przepisy dotyczące nagrywania rozmów w Polsce. Szersze ramy unijne opisano w artykule Przepisy o ochronie danych osobowych w UE.
Podstawa konstytucyjna: artykuły 47 i 51
Polskie ramy ochrony danych osobowych mają korzenie konstytucyjne, które sięgają czasów sprzed uchwalenia RODO. Konstytucja RP z dnia 2 kwietnia 1997 r. ustanowiła dwie nakładające się na siebie gwarancje ochrony prywatności, które stanowią podstawę wszystkich późniejszych przepisów o ochronie danych.
Artykuł 47 przewiduje ogólne prawo do prywatności: "Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym". Przepis ten stanowi szeroką konstytucyjną podstawę ochrony autonomii jednostki przed ingerencją, w tym ze strony państwa. Były polski Generalny Inspektor Ochrony Danych Osobowych (GIODO, poprzednik UODO) uznawał art. 47 za jeden z dwóch konstytucyjnych filarów polskiego prawa ochrony danych, wskazując, że chroni on prywatną sferę jednostki przed nieuzasadnioną ingerencją.
Artykuł 51 odnosi się w szczególności do autonomii informacyjnej. Gwarantuje on każdej osobie prawo do odmowy ujawnienia informacji jej dotyczących, chyba że obowiązek ich ujawnienia wynika z ustawy, zapewnia prawo dostępu do dotyczących jej urzędowych dokumentów i zbiorów danych oraz ustanawia prawo do żądania sprostowania lub usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. Artykuł 51 ust. 5 pozostawia szczegółowe uregulowanie tych gwarancji ustawie, co stanowi bezpośrednią podstawę dla ustawy o ochronie danych osobowych z 2018 r.
Te prawa konstytucyjne są uzupełnione przez art. 49 (wolność i tajemnica komunikowania się) oraz art. 30 (przyrodzona godność człowieka jako źródło wszystkich wolności konstytucyjnych). Łącznie tworzą one architekturę konstytucyjną, która zobowiązuje polskiego ustawodawcę do utrzymywania silnego systemu ochrony danych osobowych i którą polskie sądy wykorzystują do oceny proporcjonalności, gdy kwestionowane są ograniczenia przetwarzania danych.
"Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym."
- Konstytucja Rzeczypospolitej Polskiej, art. 47 (1997 r.)
Ramy prawne: RODO i polska ustawa o ochronie danych osobowych z 2018 r.
Polski system ochrony danych osobowych opiera się na dwóch filarach ustawowych. RODO ma bezpośrednie zastosowanie we wszystkich państwach członkowskich UE i obowiązuje od 25 maja 2018 r. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (ustawa wdrażająca) została uchwalona przez Sejm tego samego dnia i uzupełnia RODO w obszarach, w których rozporządzenie wyraźnie pozostawia państwom członkowskim swobodę regulacyjną.

Ustawa krajowa nie powiela ani nie zastępuje przepisów RODO. Jej główne funkcje to: ustanowienie struktury, mandatu i procedury powoływania UODO; ustalenie krajowego wieku zgody cyfrowej na 16 lat; ograniczenie kar dla podmiotów publicznych do 100 000 zł; wprowadzenie 14-dniowego terminu na zgłoszenie inspektora ochrony danych; zapewnienie szerszych wyłączeń dla przetwarzania danych w celach dziennikarskich, artystycznych i literackich; oraz ustanowienie zasad proceduralnych dla postępowań egzekucyjnych i odwołań sądowych.
Towarzysząca ustawa, ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO, znowelizowała ponad 160 sektorowych ustaw polskich. Nowelizacje te dostosowały przepisy dotyczące bankowości, ochrony zdrowia, telekomunikacji, prawa pracy, edukacji i administracji publicznej do wymogów RODO, dzięki czemu przepisy sektorowe przestały być sprzeczne z zasadami rozporządzenia dotyczącymi zgodności z prawem, ograniczenia celu i minimalizacji danych.
Kluczowe przepisy krajowe w skrócie
| Przepis | Zasada polska | Domyślna zasada RODO |
|---|---|---|
| Wiek zgody cyfrowej | 16 lat | 16 (państwa członkowskie mogą obniżyć do 13) |
| Limit kary dla sektora publicznego | 100 000 zł | RODO nie przewiduje odrębnego limitu |
| Termin zgłoszenia IOD | 14 dni od powołania | RODO nie określa terminu |
| Publikacja danych kontaktowych IOD | Niezwłocznie na stronie internetowej lub w siedzibie | Nieokreślone |
| Wyłączenia dziennikarskie | Szersze niż minimum wynikające z RODO | Odstępstwo z art. 85 |
| Kary karne | Do 3 lat pozbawienia wolności za naruszenia dotyczące danych szczególnych kategorii | Nie stanowi części RODO |
UODO: polski organ nadzorczy
Prezes Urzędu Ochrony Danych Osobowych (UODO) pełni funkcję polskiego niezależnego organu nadzorczego na podstawie art. 51 RODO. UODO zastąpił dawnego Generalnego Inspektora Ochrony Danych Osobowych (GIODO), gdy w życie weszła ustawa z 2018 r.
Struktura i powoływanie
Prezes UODO posiada rangę ministra i jest powoływany przez Sejm za zgodą Senatu. Kadencja trwa cztery lata i może zostać jednokrotnie odnowiona. RODO wymaga, aby organy nadzorcze działały w sposób w pełni niezależny; Prezes UODO nie może otrzymywać instrukcji od rządu w sprawach merytorycznych dotyczących ochrony danych.
Uprawnienia
Narzędzia egzekucyjne UODO obejmują:
- Przeprowadzanie planowych i doraźnych kontroli u administratorów i podmiotów przetwarzających
- Wydawanie wiążących decyzji administracyjnych (nakazów dostosowania się do przepisów, nakazów zaprzestania przetwarzania, nakazów usunięcia danych)
- Nakładanie kar administracyjnych do 20 mln euro lub 4% globalnego rocznego obrotu
- Prowadzenie postępowań na podstawie skarg składanych przez osoby, których dane dotyczą
- Opiniowanie projektów ustaw (samo w 2024 r. wydano 779 opinii)
- Współpracę z unijnymi organami nadzorczymi za pośrednictwem Europejskiej Rady Ochrony Danych (EROD)
- Udzielanie wytycznych, opracowywanie kodeksów postępowania i ram certyfikacji
Statystyki z raportu rocznego za 2024 r.
Raport roczny za 2024 r., przedstawiony przez Prezesa UODO, wskazuje na istotny wzrost zarówno liczby skarg, jak i wartości nakładanych kar:
- 8056 przyjętych skarg: ponad 1000 więcej niż w 2023 r.
- 1719 wydanych decyzji administracyjnych
- 27 kar administracyjnych o łącznej wartości 13 907 740 zł w 22 sprawach (w 2023 r. było to 1 230 331 zł, co oznacza dziesięciokrotny wzrost łącznej wartości kar)
- 14 842 zgłoszenia naruszeń ochrony danych osobowych
- 50 skontrolowanych podmiotów w ramach planu kontroli sektorowych
- 779 opinii dotyczących projektów ustaw
Wzrost łącznej wartości kar odzwierciedla zmianę strukturalną: UODO odszedł od przeważnie niewielkich kar naprawczych na rzecz wyższych, odstraszających kar nakładanych za systemowe naruszenia popełniane przez duże podmioty komercyjne.
Priorytety kontrolne
UODO publikuje coroczne plany kontroli sektorowych, dając organizacjom wcześniejsze powiadomienie o docelowych sektorach. Plan na 2025 r. objął: wielkoskalowe unijne systemy informatyczne (dane SIS/VIS); bezpieczeństwo danych medycznych; przetwarzanie danych dzieci (zgoda rodziców i opiekunów); oraz dokumentowanie naruszeń zgodnie z art. 33 ust. 5 RODO.
Plan kontroli sektorowych na 2026 r., opublikowany 8 stycznia 2026 r., obejmuje pięć obszarów:
- Podmioty przetwarzające dane w wielkoskalowych systemach unijnych (SIS/VIS, kontynuacja z 2025 r.)
- Podmioty lecznicze wykorzystujące monitoring wizyjny (w szczególności bezpieczeństwo danych dzieci)
- Operatorów Biuletynu Informacji Publicznej (BIP)
- Podmioty marketingowe i ich podstawy prawne przetwarzania danych
- Platformy dostaw internetowych przetwarzające dane klientów
Podstawy prawne i zgoda
W Polsce bez modyfikacji stosuje się sześć podstaw prawnych przetwarzania danych przewidzianych w RODO: zgodę, umowę, obowiązek prawny, żywotne interesy, zadanie publiczne oraz prawnie uzasadniony interes (art. 6 ust. 1 lit. a-f). Zgoda na podstawie art. 7 musi być dobrowolna, konkretna, świadoma i jednoznaczna. Domyślnie zaznaczone pola, zgoda łączona z innymi zgodami oraz zgoda wymuszona jako warunek świadczenia usługi są nieważne.
W przypadku danych szczególnych kategorii (art. 9: dane dotyczące zdrowia, dane biometryczne, genetyczne, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych, przynależności związkowej, orientacji seksualnej lub wyroków skazujących), konieczne jest spełnienie dodatkowego warunku z art. 9 ust. 2, najczęściej wyraźnej zgody lub przetwarzania niezbędnego w celach zdrowotnych.
Zgoda dzieci
Polska korzysta z opcji przewidzianej w art. 8 RODO dla państw członkowskich w maksymalnym zakresie: 16 lat. Przetwarzanie danych osobowych dzieci poniżej 16 roku życia w ramach usług społeczeństwa informacyjnego wymaga możliwej do zweryfikowania zgody osoby sprawującej władzę rodzicielską. Administratorzy muszą podjąć rozsądne działania w celu zweryfikowania, czy zgoda rodzica została udzielona, i nie mogą powoływać się na wprowadzenie w błąd przez dziecko co do jego wieku w celu dalszego przechowywania danych po wykryciu takiego wprowadzenia w błąd.
Dane pracowników
Kodeks pracy (zmieniony ustawą sektorową z 2019 r.) reguluje przetwarzanie danych osobowych pracowników obok RODO. Pracodawcy mogą przetwarzać kategorie danych określone w art. 22(1) Kodeksu pracy bez konieczności powoływania się na zgodę; zgoda jest ważną podstawą wyłącznie dla danych wykraczających poza ten ustawowy katalog. Kluczowa konsekwencja jest taka, że zgoda pracownika generalnie nie stanowi wiarygodnej podstawy prawnej przetwarzania danych związanych z zatrudnieniem na gruncie RODO, ponieważ zgoda udzielona w ramach stosunku pracy rzadko jest w pełni dobrowolna.
Prawa osób, których dane dotyczą
Polskie osoby, których dane dotyczą, dysponują pełnym zestawem praw przewidzianych w RODO:
- Prawo dostępu (art. 15): potwierdzenie przetwarzania, kopia danych oraz dodatkowe informacje o odbiorcach, okresach przechowywania i innych prawach.
- Prawo do sprostowania (art. 16): poprawienie nieprawidłowych danych i uzupełnienie danych niekompletnych.
- Prawo do usunięcia danych (art. 17): usunięcie danych, gdy nie są już potrzebne, zgoda została wycofana, przetwarzanie jest niezgodne z prawem lub obowiązek prawny wymaga usunięcia danych.
- Prawo do ograniczenia przetwarzania (art. 18): czasowe zawieszenie przetwarzania na czas rozstrzygania sporów dotyczących dokładności danych lub sprzeciwów.
- Prawo do przenoszenia danych (art. 20): otrzymanie danych w ustrukturyzowanym, nadającym się do odczytu maszynowego formacie oraz przekazanie ich innemu administratorowi.
- Prawo do sprzeciwu (art. 21): sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie lub w celach marketingu bezpośredniego; administrator musi zaprzestać przetwarzania, chyba że wykaże istnienie ważnych, prawnie uzasadnionych podstaw.
- Prawa związane ze zautomatyzowanym podejmowaniem decyzji (art. 22): ochrona przed decyzjami opartymi wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, wywołującymi skutki prawne lub podobnie istotnie wpływającymi na osobę.
Administratorzy muszą odpowiedzieć w terminie miesiąca. Termin ten wydłuża się do trzech miesięcy w przypadku żądań o złożonym charakterze, jednak administrator musi poinformować osobę, której dane dotyczą, o przedłużeniu terminu jeszcze w trakcie pierwszego miesiąca.
Ścieżka skargowa do UODO
Przed złożeniem skargi do UODO osoba, której dane dotyczą, powinna najpierw skierować pisemne żądanie do administratora. Jeśli administrator nie odpowie w terminie miesiąca, odpowie w sposób niewystarczający lub odmówi realizacji żądania, osoba może złożyć skargę do Prezesa UODO. UODO wydaje wiążącą decyzję administracyjną. Decyzję tę można zaskarżyć do wojewódzkiego sądu administracyjnego (WSA). Od wyroków WSA przysługuje skarga kasacyjna do Naczelnego Sądu Administracyjnego (NSA). Roszczenia o odszkodowanie cywilne na podstawie art. 82 RODO można dochodzić przed sądami cywilnymi niezależnie od postępowania przed UODO.
Wymogi dotyczące zgłaszania naruszeń
Polska stosuje ramy zgłaszania naruszeń przewidziane w RODO, z jednym krajowym uzupełnieniem dotyczącym dostawców usług telekomunikacyjnych.
Zgłoszenie do UODO
Administratorzy muszą zgłosić UODO naruszenie ochrony danych osobowych w terminie 72 godzin od stwierdzenia naruszenia, jeżeli może ono skutkować ryzykiem naruszenia praw lub wolności osób fizycznych. Zgłoszenie musi zawierać: charakter naruszenia (kategorie i przybliżoną liczbę osób i rekordów danych, których dotyczy naruszenie); imię, nazwisko i dane kontaktowe inspektora ochrony danych; prawdopodobne konsekwencje naruszenia; oraz środki podjęte lub proponowane w celu usunięcia naruszenia i złagodzenia jego skutków. Jeśli pełne informacje nie są jeszcze dostępne, można złożyć wstępne zgłoszenie i uzupełnić je później.
Dostawcy usług telekomunikacyjnych: termin 24-godzinny
Na podstawie polskiego prawa telekomunikacyjnego dostawcy publicznie dostępnych usług łączności elektronicznej muszą zgłosić naruszenie w terminie 24 godzin od jego wykrycia, co stanowi bardziej rygorystyczny wymóg niż standardowy 72-godzinny termin z RODO.
Powiadomienie osób, których dane dotyczą
Gdy naruszenie może powodować wysokie ryzyko dla osób fizycznych, administrator musi również bez zbędnej zwłoki powiadomić o tym osoby, których dane dotyczą, w jasnym i prostym języku. Powiadomienie musi opisywać naruszenie, zawierać dane kontaktowe inspektora ochrony danych, wskazywać prawdopodobne konsekwencje oraz wyjaśniać, jakie kroki mogą podjąć osoby fizyczne, aby się zabezpieczyć. Jak pokazuje sprawa McDonald's Polska, komunikaty prasowe nie mogą zastąpić bezpośredniego powiadomienia indywidualnego, gdy występuje wysokie ryzyko.
Dokumentacja
Artykuł 33 ust. 5 RODO wymaga, aby administratorzy dokumentowali wszystkie naruszenia, w tym te nieprzekraczające progu obowiązku zgłoszenia, w wewnętrznym rejestrze naruszeń, obejmującym okoliczności naruszenia, jego skutki oraz podjęte działania naprawcze. Zgodność w zakresie dokumentowania naruszeń była jednym z priorytetów kontrolnych UODO w 2025 r.
Rola IOD w reagowaniu na naruszenia
Wytyczne UODO z lutego 2025 r. potwierdziły, że inspektor ochrony danych doradza i monitoruje, jednak to administrator, a nie inspektor, odpowiada za zgłoszenie naruszenia do UODO, powiadomienie osób, których dane dotyczą, oraz podjęcie decyzji o działaniach naprawczych. Nałożenie odpowiedzialności za zgłaszanie naruszeń na inspektora ochrony danych stanowi błąd strukturalny, który sam w sobie może skutkować nałożeniem kary.
Wymogi dotyczące inspektora ochrony danych
Kiedy powołanie jest obowiązkowe
Inspektor ochrony danych musi zostać powołany, gdy administrator lub podmiot przetwarzający jest organem lub podmiotem publicznym (z wyłączeniem sądów działających w ramach sprawowania wymiaru sprawiedliwości), gdy główna działalność wymaga regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub gdy główna działalność obejmuje przetwarzanie na dużą skalę danych szczególnych kategorii lub danych o wyrokach skazujących (art. 37 ust. 1 RODO).
Polskie przepisy szczególne dotyczące IOD
Polska nakłada dodatkowe wymogi ponad te wynikające z art. 37-39 RODO:
- Termin 14 dni na zgłoszenie: administrator lub podmiot przetwarzający musi zgłosić UODO powołanie, zmianę lub odwołanie inspektora ochrony danych w terminie 14 dni, korzystając z formularza zgłoszeniowego UODO składanego elektronicznie z kwalifikowanym podpisem elektronicznym lub profilem zaufanym ePUAP.
- Publiczne ujawnienie danych: imię, nazwisko i dane kontaktowe inspektora ochrony danych muszą zostać opublikowane na stronie internetowej organizacji niezwłocznie po powołaniu. Jeśli strona internetowa nie istnieje, informacje te muszą zostać udostępnione w siedzibie przedsiębiorstwa.
- Niezależność: inspektor ochrony danych nie może otrzymywać instrukcji dotyczących sposobu wykonywania swoich zadań ani być odwoływany lub karany za wykonywanie tych obowiązków.
- Bezpośrednia podległość służbowa: inspektor ochrony danych musi podlegać bezpośrednio najwyższemu kierownictwu. UODO nałożył na Toyota Bank karę w wysokości 132 000 euro w 2024 r. za umieszczenie inspektora ochrony danych w strukturze podległej kierownikowi liniowemu, a nie najwyższemu kierownictwu.

Transgraniczne przekazywanie danych
Jako państwo członkowskie UE, Polska stosuje unijne ramy przekazywania danych do państw trzecich (rozdział V RODO) bez modyfikacji krajowych.
Decyzje stwierdzające odpowiedni poziom ochrony: przekazywanie danych do państw objętych decyzją Komisji Europejskiej stwierdzającą odpowiedni poziom ochrony, w tym do Wielkiej Brytanii, Japonii (sektor prywatny), Kanady (sektor prywatny), Szwajcarii, Izraela, Nowej Zelandii, Urugwaju, Argentyny oraz organizacji uczestniczących w unijno-amerykańskich ramach ochrony danych (EU-US Data Privacy Framework), może odbywać się bez dodatkowych zabezpieczeń.
Standardowe klauzule umowne: przekazywanie danych do krajów nieobjętych decyzją stwierdzającą odpowiedni poziom ochrony wymaga zastosowania standardowych klauzul umownych (decyzja Komisji z dnia 4 czerwca 2021 r.) lub innego mechanizmu przewidzianego w art. 46, takiego jak wiążące reguły korporacyjne lub zatwierdzony kodeks postępowania.
Ocena skutków przekazania: w następstwie wyroku Trybunału Sprawiedliwości UE w sprawie C-311/18 (Data Protection Commissioner przeciwko Facebook Ireland, znanej jako Schrems II), przed skorzystaniem ze standardowych klauzul umownych w odniesieniu do przekazywania danych do krajów, których system prawny może nie zapewniać zasadniczo równoważnego poziomu ochrony, wymagana jest ocena skutków przekazania. Ocena taka musi uwzględniać lokalne przepisy dotyczące inwigilacji, dostępne środki odwoławcze oraz konieczność zastosowania dodatkowych środków technicznych, takich jak szyfrowanie end-to-end lub pseudonimizacja.
Przekazywanie w ramach EOG: przekazywanie danych z Polski do innych państw EOG (w tym pozostałych 26 państw członkowskich UE oraz Islandii, Liechtensteinu i Norwegii) nie wymaga żadnego mechanizmu przekazania, ponieważ RODO ma jednolite zastosowanie na całym obszarze EOG.
Ochrona numeru PESEL
PESEL (Powszechny Elektroniczny System Ewidencji Ludności) to polski uniwersalny 11-cyfrowy numer identyfikacyjny, nadawany przy urodzeniu lub rejestracji każdemu obywatelowi i stałemu mieszkańcowi. UODO traktuje numer PESEL jako jedną z najbardziej wrażliwych kategorii danych osobowych w polskim prawie, ustępującą pod tym względem jedynie imieniu i nazwisku.
W przeciwieństwie do haseł, numery PESEL są trwałe i nie mogą zostać zmienione (z wyjątkiem wąskich sytuacji, takich jak zmiana płci metrykalnej). Nieuprawnione ujawnienie numeru PESEL powoduje więc trwałe narażenie na oszustwa związane z kradzieżą tożsamości i podszywaniem się. Sprawa Poczty Polskiej, w której numery PESEL 30 milionów obywateli zostały przekazane bez ważnej podstawy prawnej, stanowi najwyraźniejszą ilustrację systemowego ryzyka wynikającego z niewłaściwego obchodzenia się z numerami PESEL.
Organizacje zbierające numery PESEL muszą wskazać konkretną podstawę prawną zgodnie z art. 6 ust. 1 RODO, stosować kontrole dostępu proporcjonalne do wysokiej wrażliwości tych danych oraz uwzględniać przetwarzanie numerów PESEL w ocenach skutków dla ochrony danych, gdy przetwarzanie odbywa się na dużą skalę lub wiąże się z wysokim ryzykiem.
Monitoring pracowników
Kodeks pracy, zmieniony ustawą sektorową z 2019 r., zawiera szczegółowe przepisy dotyczące monitoringu w miejscu pracy, uzupełniające RODO:
- Monitoring wizyjny jest dozwolony w celu zapewnienia bezpieczeństwa pracowników, ochrony mienia, kontroli procesu produkcji oraz zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę (art. 22(2) Kodeksu pracy).
- Kamer nie można umieszczać w toaletach, szatniach, stołówkach, pomieszczeniach socjalnych ani pomieszczeniach organizacji związkowych.
- Nagrywanie dźwięku za pomocą systemów monitoringu jest zakazane: Kodeks pracy nie przewiduje podstawy prawnej dla nagrywania dźwięku w ramach ciągłych systemów monitoringu w miejscu pracy.
- Dwutygodniowe wyprzedzenie: pracodawcy muszą poinformować pracowników o monitoringu, jego celach i zakresie przechowywania danych co najmniej dwa tygodnie przed jego wdrożeniem.
- Monitoring poczty elektronicznej i internetu jest dozwolony w uzasadnionych celach biznesowych, jednak musi zostać ujawniony w regulaminie pracy i zakomunikowany wszystkim pracownikom.
Kary i sankcje
Kary administracyjne RODO
Zastosowanie ma dwupoziomowa struktura kar przewidziana w art. 83 RODO:
- Poziom 1 (do 10 mln euro lub 2% globalnego rocznego obrotu): naruszenia obowiązków administratora i podmiotu przetwarzającego (art. 8, 11, 25-39, 42, 43) oraz wymogów certyfikacji.
- Poziom 2 (do 20 mln euro lub 4% globalnego rocznego obrotu): naruszenia podstawowych zasad przetwarzania (art. 5), zgodności z prawem (art. 6), warunków wyrażenia zgody (art. 7), danych dzieci (art. 8), zasad dotyczących danych szczególnych kategorii (art. 9), praw osób, których dane dotyczą (art. 12-22), oraz zasad przekazywania danych do państw trzecich (art. 44-49).
Limit dla sektora publicznego
Podmioty publiczne podlegają maksymalnej karze w wysokości 100 000 zł na podstawie art. 102 polskiej ustawy o ochronie danych osobowych. W sprawie Poczty Polskiej limit ten zastosowano do Ministra Cyfryzacji (100 000 zł), podczas gdy sama Poczta Polska, jako podmiot komercyjny, otrzymała pełną karę w wysokości 27 mln zł.
Kary w zakresie komunikacji elektronicznej
Na podstawie art. 209 polskiego Prawa komunikacji elektronicznej naruszenia wymogów dotyczących zgody na marketing elektroniczny (wiadomości e-mail, SMS, automatyczne połączenia głosowe) oraz obowiązków dotyczących plików cookie zagrożone są karami do 3% przychodu z poprzedniego roku.
Kary karne
Polska ustawa o ochronie danych osobowych penalizuje nieuprawnione przetwarzanie danych. Przetwarzanie danych osobowych bez uprawnienia lub w sposób niedozwolony przez ustawę zagrożone jest grzywną, karą ograniczenia wolności albo pozbawieniem wolności do dwóch lat (art. 107 ust. 1). Gdy naruszenie dotyczy danych szczególnych kategorii, maksymalna kara wzrasta do trzech lat pozbawienia wolności (art. 107 ust. 2).
Odszkodowanie cywilne
Osoby, których dane dotyczą, mogą dochodzić odszkodowania cywilnego za szkodę majątkową lub niemajątkową spowodowaną naruszeniem RODO (art. 82 RODO). Postępowanie może zostać wszczęte przed sądami cywilnymi niezależnie od jakiegokolwiek postępowania administracyjnego przed UODO. Organizacje non-profit działające w interesie publicznym mogą reprezentować osoby, których dane dotyczą, w postępowaniach o odszkodowanie zgodnie z polskimi przepisami proceduralnymi.
Istotne decyzje egzekucyjne

Poczta Polska: 27 mln zł (marzec 2025 r.)
Dotychczas najwyższa kara UODO dotyczyła państwowego operatora pocztowego w związku z jego rolą w wyborach korespondencyjnych z maja 2020 r. Ministerstwo Cyfryzacji przekazało dane z rejestru PESEL dotyczące około 30 milionów dorosłych obywateli Poczcie Polskiej, zanim w życie weszły przepisy upoważniające do przeprowadzenia głosowania korespondencyjnego. UODO stwierdził naruszenie art. 5 ust. 1 lit. a oraz art. 6 ust. 1 RODO (zasady zgodności z prawem i ograniczenia celu). EROD potwierdziła zasadność kary. Minister Cyfryzacji, jako podmiot publiczny, otrzymał ustawowe maksimum w wysokości 100 000 zł.
ING Bank Śląski: 4 375 273 euro (2025 r.)
UODO nałożył karę na ING Bank Śląski za skanowanie i przechowywanie obrazów dokumentów tożsamości około 4,7 miliona obecnych i potencjalnych klientów w okresie od kwietnia 2019 r. do września 2020 r. Choć przepisy o przeciwdziałaniu praniu pieniędzy zezwalają na kopiowanie dokumentów tożsamości w określonych okolicznościach, nie czynią tego obowiązkowym; ING nie przeprowadził wymaganej indywidualnej oceny konieczności przed zastosowaniem skanowania dokumentów. Stwierdzono naruszenie art. 5 ust. 1 lit. a, art. 5 ust. 1 lit. b, art. 5 ust. 1 lit. c oraz art. 6 ust. 1 RODO.
McDonald's Polska: 4 022 773 euro (2025 r.)
Naruszenie ochrony danych w McDonald's Polska ujawniło dane pracowników (w tym numery PESEL, dane paszportowe, stanowiska i harmonogramy zmian) przechowywane przez zewnętrznego przetwarzającego zajmującego się planowaniem grafików (24/7 Communication, ukarany odrębnie grzywną w wysokości 43 680 euro). UODO stwierdził uchybienia w zakresie należytej staranności wobec dostawcy, brak oceny ryzyka, korzystanie z niezatwierdzonego podwykonawcy oraz niewłaściwe powiadomienie byłych pracowników o naruszeniu (zastosowano komunikaty prasowe zamiast bezpośredniego powiadomienia indywidualnego). Stwierdzono naruszenie art. 24 ust. 1, art. 25 ust. 1, art. 28 ust. 1, art. 32 ust. 1 oraz art. 38 ust. 1 RODO.
mBank: 4 053 173 zł (2024 r.)
UODO nałożył karę na mBank za niepoinformowanie ofiar naruszenia ochrony danych po tym, jak dane osobowe klientów zostały wysłane do nieuprawnionego odbiorcy 30 czerwca 2022 r. Bank wykrył naruszenie, ale nie poinformował dotkniętych nim klientów o ujawnieniu ich danych, naruszając art. 34 RODO (obowiązek powiadomienia osób, których dane dotyczą, o naruszeniu wysokiego ryzyka) bez zbędnej zwłoki.
Toyota Bank Polska: 132 000 euro + 78 000 euro (2024 r.)
Toyota Bank otrzymał dwie kary: 132 000 euro za niewłaściwe umiejscowienie inspektora ochrony danych w strukturze podległej kierownictwu, zamiast bezpośrednio najwyższemu kierownictwu (art. 38 ust. 3 RODO), oraz 78 000 euro za niezgłoszenie naruszenia ochrony danych osobowych w terminie 72 godzin (art. 33 ust. 1 RODO). Sprawa pokazuje, że UODO kontroluje nie tylko uchybienia w zakresie bezpieczeństwa danych, lecz również strukturę zarządzania inspektorem ochrony danych.
DPD Polska: 11,46 mln zł (kilka decyzji)
Firma kurierska DPD Polska otrzymała dwie kary o łącznej wartości ponad 11 mln zł: 6,251 mln zł za niezawarcie wymaganych umów powierzenia przetwarzania danych z zewnętrznymi przewoźnikami przed udzieleniem im dostępu do danych klientów (art. 28 RODO) oraz 5,209 mln zł za niewystarczające techniczne i organizacyjne środki bezpieczeństwa, w tym za zautomatyzowany system generowania danych uwierzytelniających bez weryfikacji tożsamości (art. 32 RODO).
Wzajemne oddziaływanie z unijnym aktem o sztucznej inteligencji
Unijny akt o sztucznej inteligencji, rozporządzenie (UE) 2024/1689, zaczął częściowo obowiązywać od 2 sierpnia 2024 r. Systemy sztucznej inteligencji wysokiego ryzyka muszą osiągnąć pełną zgodność do 2 sierpnia 2026 r. Akt o sztucznej inteligencji krzyżuje się z RODO w kilku istotnych punktach dla organizacji działających w Polsce.
Zakazane praktyki w zakresie AI (od 2 lutego 2025 r.): akt o sztucznej inteligencji zakazuje systemów AI wykorzystujących techniki manipulacji podprogowej, wykorzystujących słabości jednostek, prowadzących ocenę społeczną (social scoring) przez organy publiczne, wykorzystujących identyfikację biometryczną w czasie rzeczywistym w przestrzeni publicznej (z wąskimi wyjątkami dla organów ścigania) oraz wnioskujących o wrażliwych cechach osobowych na podstawie danych biometrycznych. Większość tych zakazanych zastosowań wiąże się z przetwarzaniem danych osobowych, co oznacza, że obok zakazów wynikających z aktu o AI zastosowanie mają wymogi zgodności z prawem przewidziane w RODO.
Systemy AI wysokiego ryzyka: systemy wykorzystywane w identyfikacji biometrycznej, infrastrukturze krytycznej, edukacji, zatrudnieniu, usługach podstawowych, ściganiu przestępstw, migracji oraz wymiarze sprawiedliwości są klasyfikowane jako systemy wysokiego ryzyka. Operatorzy muszą przeprowadzać oceny zgodności, prowadzić dokumentację techniczną, wdrażać nadzór ludzki oraz rejestrować systemy w unijnej bazie danych AI, co wymaga ścisłej koordynacji z wymogami RODO (oceny skutków dla ochrony danych, minimalizacja danych, ograniczenie celu).
Stanowisko UODO w sprawie krajowego nadzoru nad AI: UODO opublikował stanowisko dotyczące wdrażania unijnego aktu o sztucznej inteligencji, krytykując polski projekt krajowej ustawy wdrażającej akt o AI za ograniczenie roli UODO do funkcji doradczej, bez prawa głosu. UODO argumentuje, że egzekwowanie aktu o AI dotyczące danych osobowych wymaga rzeczywistego udziału w procesie decyzyjnym, a nie jedynie konsultacji. Polski projekt ustawy o systemach sztucznej inteligencji (przyjęty przez Radę Ministrów 31 marca 2026 r. i skierowany do Sejmu) zakłada utworzenie nowej Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI) jako głównego krajowego organu nadzoru, przy czym UODO zachowuje rolę koordynacyjną w zakresie ochrony danych. Podział kompetencji między KRiBSI a UODO w sprawach dotyczących AI wiążących się z przetwarzaniem danych osobowych pozostawał nierozstrzygnięty na maj 2026 r.
Lista kontrolna zgodności dla przedsiębiorstw
Organizacje przetwarzające dane osobowe osób znajdujących się w Polsce powinny uwzględnić następujące kwestie:
Podstawa prawna i dokumentacja
- Wskazać ważną podstawę prawną z art. 6 ust. 1 RODO dla każdej czynności przetwarzania i udokumentować tę analizę.
- W przypadku danych szczególnych kategorii wskazać dodatkowy warunek z art. 9 ust. 2.
- Unikać opierania się wyłącznie na zgodzie pracownika jako podstawie przetwarzania danych związanych z zatrudnieniem.
- Przeprowadzać oceny skutków dla ochrony danych w przypadku przetwarzania wysokiego ryzyka; skonsultować się z UODO przed dalszym działaniem, jeśli ryzyko rezydualne pozostaje wysokie po przeprowadzeniu oceny.
IOD i zarządzanie
- Ustalić, czy powołanie inspektora ochrony danych jest obowiązkowe; jeśli tak, dokonać powołania.
- Zgłosić UODO powołanie, zmianę lub odwołanie inspektora w terminie 14 dni.
- Niezwłocznie opublikować imię, nazwisko i dane kontaktowe inspektora na stronie internetowej organizacji.
- Zapewnić, aby inspektor podlegał bezpośrednio najwyższemu kierownictwu (a nie kierownikowi liniowemu).
- Nie wyznaczać inspektora jako osoby odpowiedzialnej za zgłaszanie naruszeń.
Zarządzanie dostawcami
- Zawrzeć umowy powierzenia przetwarzania danych zgodne z art. 28 RODO z wszystkimi podmiotami przetwarzającymi przed rozpoczęciem przetwarzania.
- Zatwierdzać podwykonawców; uwzględniać ich w umowach powierzenia przetwarzania.
- Przeprowadzać należytą staranność wobec dostawców; dokumentować ocenę ryzyka.
Bezpieczeństwo i naruszenia
- Wdrożyć środki techniczne i organizacyjne na podstawie art. 32, proporcjonalne do ryzyka.
- Prowadzić wewnętrzny rejestr naruszeń (art. 33 ust. 5) obejmujący wszystkie naruszenia, w tym te nieprzekraczające progu obowiązku zgłoszenia.
- Zgłosić UODO naruszenie podlegające zgłoszeniu w terminie 72 godzin; powiadomić osoby, których dane dotyczą, gdy występuje wysokie ryzyko.
- Nie zastępować bezpośredniego powiadomienia indywidualnego komunikatami prasowymi.
Numery PESEL
- Zbierać numery PESEL wyłącznie wtedy, gdy istnieje konkretna podstawa prawna; udokumentować ją.
- Stosować kontrole dostępu proporcjonalne do wysokiej wrażliwości danych PESEL.
- Uwzględniać przetwarzanie numerów PESEL w ocenach skutków dla ochrony danych w przypadku zastosowań na dużą skalę lub wysokiego ryzyka.
Przekazywanie danych za granicę
- Przed przekazaniem danych do państw trzecich potwierdzić, czy są one objęte decyzją stwierdzającą odpowiedni poziom ochrony.
- Stosować standardowe klauzule umowne z 2021 r. w przypadku przekazywania danych bez decyzji stwierdzającej odpowiedni poziom ochrony; przeprowadzać oceny skutków przekazania.
Marketing elektroniczny
- Uzyskać uprzednią zgodę na wysyłanie wiadomości e-mail, SMS oraz automatycznych połączeń marketingowych na podstawie art. 398 polskiego Prawa komunikacji elektronicznej.
- Wdrożyć ważny mechanizm zgody na pliki cookie; domyślnie zaznaczone pola są nieważne.
Zastrzeżenie prawne
Niniejszy artykuł przedstawia ogólne informacje prawne dotyczące ram ochrony danych osobowych w Polsce na podstawie unijnego ogólnego rozporządzenia o ochronie danych (rozporządzenie (UE) 2016/679) oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Informacje zweryfikowano na dzień 19 maja 2026 r. Artykuł nie stanowi porady prawnej i nie tworzy relacji prawnik-klient. Przepisy i wytyczne organów nadzorczych ulegają zmianom; czytelnicy powinni skonsultować się z prawnikiem uprawnionym do wykonywania zawodu w Polsce lub we właściwej jurysdykcji unijnej w celu uzyskania porady dotyczącej ich konkretnej sytuacji.
Powiązane artykuły
- Przepisy o ochronie danych osobowych w UE: ramy RODO
- Przepisy dotyczące nagrywania rozmów w Polsce: zasady zgody i inwigilacji
Cytowane źródła
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Polska). https://uodo.gov.pl/en/660/1464
- Rozporządzenie (UE) 2016/679 (ogólne rozporządzenie o ochronie danych). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
- Rozporządzenie (UE) 2024/1689 (unijny akt o sztucznej inteligencji). https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32024R1689
- Konstytucja Rzeczypospolitej Polskiej (1997 r.), art. 30, 47, 49, 51. https://www.sejm.gov.pl/prawo/konst/angielski/kon1.htm
- Oficjalna strona UODO. https://uodo.gov.pl/en
- Prawa osób, których dane dotyczą, w Polsce: UODO. https://uodo.gov.pl/en/694
- Wyznaczenie i pozycja inspektora ochrony danych: UODO. https://uodo.gov.pl/en/679
- Plan kontroli sektorowych UODO na 2025 r. https://uodo.gov.pl/en/553/1835
- Plan kontroli sektorowych UODO na rok 2026. https://uodo.gov.pl/pl/138/4029
- Prezes UODO przedstawił raport roczny za 2024 r. https://uodo.gov.pl/en/553/2063
- Przewodnik UODO dotyczący zgłaszania naruszeń. https://uodo.gov.pl/en/672/1410
- UODO: znaczenie numeru PESEL. https://uodo.gov.pl/en/553/1510
- UODO - kary administracyjne: Poczta Polska (marzec 2025 r.). https://uodo.gov.pl/en/553/1884
- EROD: kary dla Poczty Polskiej za wybory. https://www.edpb.europa.eu/news/national-news/2025/polish-sa-administrative-fines-gdpr-infringements-organisation-election_en
- UODO: kara dla ING Banku. https://uodo.gov.pl/en/553/1990
- EROD: kara dla ING Banku Śląskiego, 4 375 273 euro. https://www.edpb.europa.eu/news/national-news/2025/polish-sa-administrative-fine-4-375-273-eu-ing-bank-slaski-sa-scanning_en
- EROD: kara dla McDonald's Polska, 4 022 773 euro. https://www.edpb.europa.eu/news/national-news/2025/polish-sa-administrative-fine-eur-4-022-773-mcdonalds-polska-sp-z-oo-and_en
- UODO: kara dla mBanku za niepoinformowanie ofiar naruszenia. https://uodo.gov.pl/en/553/1806
- UODO: kara dla Toyota Bank za niewłaściwe umiejscowienie inspektora ochrony danych. https://uodo.gov.pl/en/553/1833
- EROD: kara 132 000 euro za niewłaściwe umiejscowienie inspektora ochrony danych. https://www.edpb.europa.eu/news/national-news/2025/polish-sa-administrative-fine-132-000-eu-improper-positioning-dpo-and_en
- Prawo do złożenia skargi do Prezesa UODO. https://uodo.gov.pl/en/680/1402
- Komisja Europejska: decyzje stwierdzające odpowiedni poziom ochrony na podstawie RODO. https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
- Komisja Europejska: standardowe klauzule umowne. https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en
- DataGuidance: stanowisko UODO dotyczące wdrażania unijnego aktu o sztucznej inteligencji. https://dataguidance.com/news/poland-uodo-releases-statement-implementing-eu-ai-act
Ostatnia aktualizacja: 19 maja 2026 r. Przywołane przepisy odzwierciedlają ich stan obowiązujący na dzień 19 maja 2026 r.
Frequently Asked Questions
Jaka jest główna ustawa dotycząca ochrony danych osobowych w Polsce?
Polska funkcjonuje na podstawie dwóch równoległych aktów prawnych: unijnego ogólnego rozporządzenia o ochronie danych (RODO), rozporządzenia (UE) 2016/679, które ma bezpośrednie zastosowanie w całej UE, oraz krajowej ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Oba akty weszły w życie 25 maja 2018 r. Ustawa krajowa uzupełnia RODO poprzez ustanowienie UODO, ustalenie wieku zgody cyfrowej na 16 lat, ograniczenie kar dla podmiotów publicznych do 100 000 zł oraz określenie zasad proceduralnych dla postępowań egzekucyjnych i odwoławczych.
Czym jest UODO i jakie ma uprawnienia?
UODO (Urząd Ochrony Danych Osobowych) to polski urząd zajmujący się ochroną danych osobowych oraz niezależny krajowy organ nadzorczy RODO. Prezes UODO posiada rangę ministra i jest powoływany przez Sejm na odnawialną czteroletnią kadencję. UODO może przeprowadzać kontrole, wydawać wiążące decyzje administracyjne, w tym nakazy zaprzestania przetwarzania lub usunięcia danych, oraz nakładać kary do 20 mln euro lub 4% globalnego rocznego obrotu. W 2024 r. UODO wydał 1719 decyzji, przyjął 8056 skarg i nałożył kary o łącznej wartości 13,9 mln zł.
Jakie są terminy zgłaszania naruszeń ochrony danych w Polsce?
Administratorzy muszą zgłosić UODO naruszenie ochrony danych osobowych w terminie 72 godzin od jego wykrycia, jeśli stwarza ono ryzyko dla praw i wolności osób fizycznych. Dostawcy usług telekomunikacyjnych podlegają bardziej rygorystycznemu, 24-godzinnemu terminowi. Gdy naruszenie stwarza wysokie ryzyko dla osób fizycznych, administrator musi również bez zbędnej zwłoki powiadomić osoby, których dane dotyczą, w jasnym i prostym języku. Wytyczne UODO z lutego 2025 r. potwierdziły, że inspektor ochrony danych nie może zostać wyznaczony jako osoba odpowiedzialna za zgłaszanie naruszeń; odpowiedzialność ta spoczywa na administratorze danych.
Jakie są maksymalne kary za naruszenia RODO w Polsce?
Prywatne organizacje mogą zostać ukarane grzywną do 20 mln euro lub 4% globalnego rocznego obrotu za poważne naruszenia (podstawowe zasady przetwarzania, zgoda, prawa osób, których dane dotyczą, przekazywanie danych za granicę). Mniej poważne naruszenia zagrożone są karą do 10 mln euro lub 2% obrotu. Podmioty publiczne podlegają limitowi 100 000 zł zgodnie z polskim prawem krajowym. Kary karne sięgają do dwóch lat pozbawienia wolności za nieuprawnione przetwarzanie danych, a w przypadku naruszeń dotyczących danych szczególnych kategorii wzrastają do trzech lat. Naruszenia dotyczące marketingu elektronicznego zagrożone są karą do 3% przychodu z poprzedniego roku.
Jaki jest wiek zgody na usługi cyfrowe w Polsce?
Polska ustaliła wiek zgody na przetwarzanie danych osobowych dzieci w ramach usług społeczeństwa informacyjnego na 16 lat, co stanowi maksymalny próg dopuszczony przez RODO na podstawie art. 8. Niektóre państwa członkowskie UE obniżyły ten wiek do 13, 14 lub 15 lat, jednak Polska wybrała najwyższy dopuszczalny próg. Przetwarzanie danych dzieci poniżej 16 roku życia wymaga możliwej do zweryfikowania zgody osoby sprawującej władzę rodzicielską.
Czy Polska ma szczególne przepisy dotyczące monitoringu pracowników?
Tak. Polski Kodeks pracy zezwala na monitoring wizyjny w celu zapewnienia bezpieczeństwa pracowników, ochrony mienia, kontroli procesu produkcji oraz ochrony informacji poufnych. Kamery są zakazane w toaletach, szatniach, stołówkach, pomieszczeniach socjalnych oraz pomieszczeniach organizacji związkowych. Nagrywanie dźwięku za pomocą systemów monitoringu jest zakazane, ponieważ Kodeks pracy nie przewiduje dla niego podstawy prawnej. Pracodawcy muszą poinformować pracowników o monitoringu co najmniej dwa tygodnie przed jego wdrożeniem. Monitoring poczty elektronicznej i internetu jest dozwolony, jednak musi zostać ujawniony w regulaminie pracy pracodawcy.
Jak numer PESEL jest traktowany w polskim prawie ochrony danych?
UODO traktuje numer PESEL, polski stały 11-cyfrowy krajowy numer identyfikacyjny, jako jedną z najbardziej wrażliwych kategorii danych osobowych. Ponieważ numerów PESEL nie można zmienić, ich nieuprawnione ujawnienie stwarza trwałe ryzyko kradzieży tożsamości. Sprawa Poczty Polskiej (kara 27 mln zł, marzec 2025 r.) dotyczyła przekazania numerów PESEL 30 milionów obywateli bez ważnej podstawy prawnej, co podkreśla rygorystyczne podejście UODO do przetwarzania danych PESEL.
Jak unijny akt o sztucznej inteligencji oddziałuje z polskim prawem ochrony danych?
Unijny akt o sztucznej inteligencji, rozporządzenie (UE) 2024/1689, zaczął obowiązywać etapami od 2 sierpnia 2024 r. Systemy AI wykorzystujące identyfikację biometryczną, ocenę społeczną, filtrowanie kandydatów do pracy i inne zastosowania wysokiego ryzyka muszą spełniać zarówno wymogi zgodności wynikające z aktu o AI, jak i obowiązki wynikające z RODO. Polski projekt krajowej ustawy o AI (przyjęty przez Radę Ministrów 31 marca 2026 r.) zakłada utworzenie nowej Komisji Rozwoju i Bezpieczeństwa Sztucznej Inteligencji (KRiBSI) jako głównego organu nadzoru nad AI, przy czym UODO zachowuje rolę koordynacyjną w zakresie ochrony danych. Podział kompetencji pozostawał nierozstrzygnięty na maj 2026 r.
Co muszą zrobić organizacje, jeśli powołują inspektora ochrony danych w Polsce?
Oprócz wymogów wynikających z art. 37-39 RODO, polskie prawo wymaga, aby administrator lub podmiot przetwarzający zgłosił UODO powołanie, zmianę lub odwołanie inspektora ochrony danych w terminie 14 dni, za pomocą elektronicznego formularza zgłoszeniowego UODO, z kwalifikowanym podpisem elektronicznym lub profilem zaufanym ePUAP. Imię, nazwisko i dane kontaktowe inspektora muszą zostać niezwłocznie opublikowane na stronie internetowej organizacji. Inspektor musi podlegać bezpośrednio najwyższemu kierownictwu; UODO nałożył na Toyota Bank karę w wysokości 132 000 euro w 2024 r. za umieszczenie inspektora w podległej strukturze.
Jak osoby, których dane dotyczą, mogą wykonywać swoje prawa i składać skargi w Polsce?
Osoby, których dane dotyczą, powinny najpierw skierować pisemne żądanie do administratora, który musi odpowiedzieć w terminie miesiąca. Jeśli administrator nie odpowie w sposób wystarczający lub odmówi realizacji żądania, osoba może złożyć skargę do Prezesa UODO. UODO prowadzi postępowanie i wydaje wiążącą decyzję administracyjną. Decyzję tę można zaskarżyć do wojewódzkiego sądu administracyjnego (WSA), a od jego wyroku przysługuje skarga kasacyjna do Naczelnego Sądu Administracyjnego (NSA). Osoby, których dane dotyczą, mogą również dochodzić odszkodowania cywilnego za szkodę majątkową lub niemajątkową przed sądami cywilnymi, niezależnie od postępowania przed UODO.
Sources and References
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Polska) — angielskie streszczenie(uodo.gov.pl).gov
- Oficjalna strona UODO — Prezes Urzędu Ochrony Danych Osobowych(uodo.gov.pl).gov
- Prawa osób, których dane dotyczą, w Polsce — UODO(uodo.gov.pl).gov
- Wyznaczenie i pozycja inspektora ochrony danych — UODO(uodo.gov.pl).gov
- Plan kontroli sektorowych UODO na 2025 r.(uodo.gov.pl).gov
- Prezes Urzędu Ochrony Danych Osobowych przedstawił raport roczny za 2024 r.(uodo.gov.pl).gov
- Przewodnik UODO dotyczący zgłaszania naruszeń(uodo.gov.pl).gov
- UODO — znaczenie numeru PESEL(uodo.gov.pl).gov
- Kary administracyjne za naruszenie RODO podczas wyborów korespondencyjnych (Poczta Polska)(uodo.gov.pl).gov
- Kara dla ING Banku — decyzja UODO(uodo.gov.pl).gov
- Kara dla Toyota Bank za niewłaściwe umiejscowienie inspektora ochrony danych(uodo.gov.pl).gov
- Kara dla mBanku za niepoinformowanie ofiar naruszenia ochrony danych(uodo.gov.pl).gov
- EROD — kara dla McDonald's Polska w wysokości 4 022 773 euro(edpb.europa.eu).gov
- EROD — kara dla ING Banku Śląskiego w wysokości 4 375 273 euro(edpb.europa.eu).gov
- EROD — kara dla Poczty Polskiej za wybory(edpb.europa.eu).gov
- EROD — kara 132 000 euro za niewłaściwe umiejscowienie inspektora ochrony danych(edpb.europa.eu).gov
- Komisja Europejska — decyzje stwierdzające odpowiedni poziom ochrony na podstawie RODO(commission.europa.eu).gov
- Komisja Europejska — standardowe klauzule umowne(commission.europa.eu).gov
- Rozporządzenie (UE) 2016/679 — ogólne rozporządzenie o ochronie danych(eur-lex.europa.eu).gov
- Rozporządzenie (UE) 2024/1689 — unijny akt o sztucznej inteligencji(eur-lex.europa.eu).gov
- DataGuidance — stanowisko UODO dotyczące wdrażania unijnego aktu o sztucznej inteligencji(dataguidance.com)
- Prawo do złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych(uodo.gov.pl).gov