Polskie przepisy o 12-miesięcznej retencji danych telekomunikacyjnych kolidują z RODO, TSUE i Konstytucją RP. Taki pogląd przedstawił Prezes UODO w sprawie I C 1281/25, wskazując na niezgodność polskich regulacji retencji danych telekomunikacyjnych z prawem UE i Konstytucją RP. Takie stanowisko ma wesprzeć sąd w wykładni i stosowaniu przepisów dotyczących ochrony danych osobowych w kontekście obowiązku przechowywania danych telekomunikacyjnych.

Naczelny Sąd Administracyjny oddalił skargę kasacyjną Santander Bank Polska S.A., w pełni potwierdzając decyzję Prezesa UODO. Bank zapłaci 545 748 zł kary za brak powiadomienia pracowników o naruszeniu poufności danych oraz za nieuzasadnione bagatelizowanie wysokiego ryzyka. Wyrok podkreśla obowiązki administratora w sytuacjach z PUE ZUS.

Prezes UODO podpisał wspólne oświadczenie 61 organów ochrony danych z całego świata, ostrzegające przed ryzykami prywatności związanymi z obrazami i wideo generowanymi przez AI. Dokument podkreśla zagrożenia dla dzieci i osób wrażliwych oraz nakłada obowiązki na organizacje AI.

Prezes UODO nałożył kary na Fundację Lumus za nieuprawnione ujawnienie danych osobowych beneficjentów i współpracowników, brak notyfikacji naruszenia RODO oraz konflikt interesów IOD. Sprawa podkreśla systemowe problemy w organizacjach pozarządowych – jak uniknąć podobnych błędów jako administrator danych?

Prezydent RP podpisał ustawę z 23 stycznia 2026 roku o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (nr druku sejmowego 1955). Ustawa ma na celu wdrożenie dyrektywy NIS 2 (dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555).  

Prezes UODO nałożył na DPD Polska kary administracyjne w łącznej wysokości ponad 11 mln zł za poważne naruszenia RODO: brak umów powierzenia przetwarzania danych osobowych z zewnętrznymi przewoźnikami LNH oraz niewłaściwe udzielanie upoważnień pracownikom. Decyzja podkreśla obowiązek administratora do ścisłej kontroli przetwarzania danych w łańcuchu dostaw kurierskich i wdrożenia skutecznych procedur organizacyjnych.

UODO spotkało się z Fundacją Internet. Czas Działać!, by omówić targetowanie reklamowe advertising ID. Eksperci podkreślają: zabezpieczanie się przed nim to podstawa higieny cyfrowej i ochrony danych osobowych. Dowiedz się, jak resetować identyfikatory urządzeń.

Projekt MEN wprowadza higienę cyfrową od przedszkola: ochronę danych i wizerunku w zerówce, cyberbezpieczeństwo, etykę AI i dezinformację. Prezes UODO pozytywnie ocenia nowe przepisy wskazując jednocześnie na kluczowe cele i niezbędne doprecyzowania np. sygnalizując doprecyzowania na temat deepfake i zakazów ekranowych.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), przekazana Prezydentowi RP pod koniec stycznia 2026 r., znacząco rozszerza katalog podmiotów objętych obowiązkami. Wdraża dyrektywę NIS 2, wprowadzając sektorowe podejście z podziałem na podmioty kluczowe i ważne – sprawdź, czy Twoja firma musi przeprowadzić samoocenę i dostosować się do nowych wymogów ryzykowych, raportowania incydentów oraz nadzoru.

UODO ostrzega: publiczne przedszkola i szkoły nie mogą żądać numerów PESEL rodziców podczas rekrutacji dzieci. Pozyskiwanie tych danych narusza Prawo oświatowe i RODO. Wyjaśniamy, kiedy PESEL jest legalny i jak unikać błędów w minimalizacji danych.

Naczelny Sąd Administracyjny (NSA) wyrokiem z 24 listopada 2025 r. (sygn. III OSK 2183/22) oddalił skargę kasacyjną właściciela kliniki stomatologicznej, potwierdzając administracyjną karę pieniężną w wysokości 85 588 zł za niewykonanie nakazu Prezesa UODO. Sprawa pokazuje, jak kluczowa jest zasada rozliczalności i posiadanie wiarygodnych dowodów wykonania obowiązków.

Wojewódzki Sąd Administracyjny w Warszawie (sygn. II SA/Wa 890/25) oddalił skargę Komendanta Głównego Policji na decyzję Prezesa UODO, potwierdzając naruszenie RODO i karę 75 tys. zł za bezpodstawne udostępnienie danych zdrowia na konferencji prasowej. Orzeczenie podkreśla brak ochrony wolności prasy dla organów publicznych.

Urząd Ochrony Danych Osobowych opublikował pierwszy w Polsce strategiczny raport pokazujący, jak instytucje publiczne i organizacje prywatne korzystają ze sztucznej inteligencji oraz jak są przygotowane do jej odpowiedzialnego wdrażania. Dokument dostarcza cennych informacji dla IOD i specjalistów ds. ochrony danych, wskazując potrzeby edukacyjne, wyzwania oraz kierunki wsparcia w obszarze AI i RODO.

Prezes UODO apeluje o ponowne podjęcie prac nad przepisami krajowymi wdrażającymi DSA, wskazując na konieczność skuteczniejszej ochrony obywateli przed zagrożeniami związanymi z technologią deepfake. Obecne regulacje unijne i krajowe — mimo że idą w dobrą stronę — nie zapewniają kompleksowej ochrony danych i wizerunku.

28 stycznia 2026 r. obchodzimy 20. Europejski Dzień Ochrony Danych Osobowych, upamiętniający Konwencję 108 z 1981 r. W Polsce Urząd Ochrony Danych Osobowych (UODO) organizuje Kongres Ochrony Danych i Nowych Technologii, skupiając ekspertów ds. AI, RODO i cyberbezpieczeństwa. Wydarzenie podkreśla wyzwania cyfrowej ery dla prywatności obywateli.

Jasne uregulowanie zasad współpracy i podziału kompetencji między krajowymi organami nadzoru w związku z wdrażaniem unijnego Aktu w sprawie danych (Data Act), to realna potrzeba. Brak precyzyjnych przepisów może – jak podkreśla UODO – osłabić skuteczność ochrony danych osobowych w Polsce.

Inspektor ochrony danych powinien wykonywać swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania danych. Co to oznacza w praktyce i jak przełożyć tę zasadę na codzienną pracę IOD?

Prezes UODO udzielił upomnień prezesowi i dyrektorowi Sądu Rejonowego Lublin-Zachód. Kontrola ujawniła brak prawidłowej analizy ryzyka, zaniechania w testowaniu środków bezpieczeństwa oraz niepełną politykę ochrony danych. Sprawa rozpoczęła się po naruszeniu ochrony danych przy udostępnianiu informacji publicznej.

Wojewódzki Sąd Administracyjny w Warszawie utrzymał decyzję Prezesa UODO o nałożeniu kary 33 tys. zł na przedsiębiorstwo pogrzebowe za naruszenie przepisów o ochronie danych osobowych. Sprawa dotyczyła zagubienia dokumentów zawierających dane klientów w trakcie transportu, co ujawniło poważne braki w zakresie analizy ryzyka i stosowania odpowiednich zabezpieczeń.

Urząd Ochrony Danych Osobowych zapowiedział sektorowe kontrole na 2026 rok. Inspektorzy szczególną uwagę zwrócą na bezpieczeństwo danych z monitoringu wizyjnego w podmiotach leczniczych – zwłaszcza dotyczących dzieci – oraz na ochronę danych osobowych użytkowników internetowych platform dostaw.