Prezes UODO Mirosław Wróblewski potwierdził, że przetwarzanie danych osobowych pacjentów w celu kierowania zaproszeń na badania przesiewowe jest zgodne z art. 9 ust. 2 lit. h RODO, bez potrzeby uzyskiwania zgody. Jeśli oczywiście jest to niezbędne do celów profilaktyki, diagnozy lub organizacji systemu opieki zdrowotnej i pod warunkiem nadzoru przez osoby zobowiązane do tajemnicy zawodowej. Stanowisko wydano po spotkaniu z Narodowym Instytutem Onkologii.

Prezes UODO nałożył na Restaurant Partner Polska (platforma Glovo) rekordową karę 5 898 064 zł za nielegalne pozyskiwanie i przetwarzanie skanów dowodów tożsamości użytkowników aplikacji – bez podstawy prawnej. Spółka podejrzewając oszustwo po stronie klienta żądała jego pełnych danych (PESEL, adres, wizerunek), naruszając tym zasadę minimalizacji dnaych i zgodność z prawem.

NIS2 wprowadza rewolucję w zarządzaniu bezpieczeństwem informacji, nakładając na organizacje nowe obowiązki. Jako Inspektor Ochrony Danych (IOD) nie możesz ignorować tych zmian – twoja rola ewoluuje od ochrony danych osobowych do systemowego nadzoru nad cyberzagrożeniami. Nasze certyfikowane szkolenie online "NIS2 i RODO – obowiązki IOD" to praktyczne przygotowanie do tych wyzwań. Dzięki szkoleniu opanujesz kluczowe narzędzia, unikniesz błędów i zintegrujesz wymagania obu regulacji.

Polskie przepisy o 12-miesięcznej retencji danych telekomunikacyjnych kolidują z RODO, TSUE i Konstytucją RP. Taki pogląd przedstawił Prezes UODO w sprawie I C 1281/25, wskazując na niezgodność polskich regulacji retencji danych telekomunikacyjnych z prawem UE i Konstytucją RP. Takie stanowisko ma wesprzeć sąd w wykładni i stosowaniu przepisów dotyczących ochrony danych osobowych w kontekście obowiązku przechowywania danych telekomunikacyjnych.

Naczelny Sąd Administracyjny oddalił skargę kasacyjną Santander Bank Polska S.A., w pełni potwierdzając decyzję Prezesa UODO. Bank zapłaci 545 748 zł kary za brak powiadomienia pracowników o naruszeniu poufności danych oraz za nieuzasadnione bagatelizowanie wysokiego ryzyka. Wyrok podkreśla obowiązki administratora w sytuacjach z PUE ZUS.

Prezes UODO podpisał wspólne oświadczenie 61 organów ochrony danych z całego świata, ostrzegające przed ryzykami prywatności związanymi z obrazami i wideo generowanymi przez AI. Dokument podkreśla zagrożenia dla dzieci i osób wrażliwych oraz nakłada obowiązki na organizacje AI.

Prezes UODO nałożył kary na Fundację Lumus za nieuprawnione ujawnienie danych osobowych beneficjentów i współpracowników, brak notyfikacji naruszenia RODO oraz konflikt interesów IOD. Sprawa podkreśla systemowe problemy w organizacjach pozarządowych – jak uniknąć podobnych błędów jako administrator danych?

Prezydent RP podpisał ustawę z 23 stycznia 2026 roku o zmianie ustawy o krajowym systemie cyberbezpieczeństwa oraz niektórych innych ustaw (nr druku sejmowego 1955). Ustawa ma na celu wdrożenie dyrektywy NIS 2 (dyrektywy Parlamentu Europejskiego i Rady (UE) 2022/2555).  

Prezes UODO nałożył na DPD Polska kary administracyjne w łącznej wysokości ponad 11 mln zł za poważne naruszenia RODO: brak umów powierzenia przetwarzania danych osobowych z zewnętrznymi przewoźnikami LNH oraz niewłaściwe udzielanie upoważnień pracownikom. Decyzja podkreśla obowiązek administratora do ścisłej kontroli przetwarzania danych w łańcuchu dostaw kurierskich i wdrożenia skutecznych procedur organizacyjnych.

UODO spotkało się z Fundacją Internet. Czas Działać!, by omówić targetowanie reklamowe advertising ID. Eksperci podkreślają: zabezpieczanie się przed nim to podstawa higieny cyfrowej i ochrony danych osobowych. Dowiedz się, jak resetować identyfikatory urządzeń.

Projekt MEN wprowadza higienę cyfrową od przedszkola: ochronę danych i wizerunku w zerówce, cyberbezpieczeństwo, etykę AI i dezinformację. Prezes UODO pozytywnie ocenia nowe przepisy wskazując jednocześnie na kluczowe cele i niezbędne doprecyzowania np. sygnalizując doprecyzowania na temat deepfake i zakazów ekranowych.

Nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (KSC), przekazana Prezydentowi RP pod koniec stycznia 2026 r., znacząco rozszerza katalog podmiotów objętych obowiązkami. Wdraża dyrektywę NIS 2, wprowadzając sektorowe podejście z podziałem na podmioty kluczowe i ważne – sprawdź, czy Twoja firma musi przeprowadzić samoocenę i dostosować się do nowych wymogów ryzykowych, raportowania incydentów oraz nadzoru.

UODO ostrzega: publiczne przedszkola i szkoły nie mogą żądać numerów PESEL rodziców podczas rekrutacji dzieci. Pozyskiwanie tych danych narusza Prawo oświatowe i RODO. Wyjaśniamy, kiedy PESEL jest legalny i jak unikać błędów w minimalizacji danych.

Naczelny Sąd Administracyjny (NSA) wyrokiem z 24 listopada 2025 r. (sygn. III OSK 2183/22) oddalił skargę kasacyjną właściciela kliniki stomatologicznej, potwierdzając administracyjną karę pieniężną w wysokości 85 588 zł za niewykonanie nakazu Prezesa UODO. Sprawa pokazuje, jak kluczowa jest zasada rozliczalności i posiadanie wiarygodnych dowodów wykonania obowiązków.

Wojewódzki Sąd Administracyjny w Warszawie (sygn. II SA/Wa 890/25) oddalił skargę Komendanta Głównego Policji na decyzję Prezesa UODO, potwierdzając naruszenie RODO i karę 75 tys. zł za bezpodstawne udostępnienie danych zdrowia na konferencji prasowej. Orzeczenie podkreśla brak ochrony wolności prasy dla organów publicznych.

Urząd Ochrony Danych Osobowych opublikował pierwszy w Polsce strategiczny raport pokazujący, jak instytucje publiczne i organizacje prywatne korzystają ze sztucznej inteligencji oraz jak są przygotowane do jej odpowiedzialnego wdrażania. Dokument dostarcza cennych informacji dla IOD i specjalistów ds. ochrony danych, wskazując potrzeby edukacyjne, wyzwania oraz kierunki wsparcia w obszarze AI i RODO.

Prezes UODO apeluje o ponowne podjęcie prac nad przepisami krajowymi wdrażającymi DSA, wskazując na konieczność skuteczniejszej ochrony obywateli przed zagrożeniami związanymi z technologią deepfake. Obecne regulacje unijne i krajowe — mimo że idą w dobrą stronę — nie zapewniają kompleksowej ochrony danych i wizerunku.

28 stycznia 2026 r. obchodzimy 20. Europejski Dzień Ochrony Danych Osobowych, upamiętniający Konwencję 108 z 1981 r. W Polsce Urząd Ochrony Danych Osobowych (UODO) organizuje Kongres Ochrony Danych i Nowych Technologii, skupiając ekspertów ds. AI, RODO i cyberbezpieczeństwa. Wydarzenie podkreśla wyzwania cyfrowej ery dla prywatności obywateli.

Jasne uregulowanie zasad współpracy i podziału kompetencji między krajowymi organami nadzoru w związku z wdrażaniem unijnego Aktu w sprawie danych (Data Act), to realna potrzeba. Brak precyzyjnych przepisów może – jak podkreśla UODO – osłabić skuteczność ochrony danych osobowych w Polsce.

Inspektor ochrony danych powinien wykonywać swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania danych. Co to oznacza w praktyce i jak przełożyć tę zasadę na codzienną pracę IOD?