Ministerstwo Cyfryzacji zaprezentowało główne kierunki działań na lata 2026–2027. Strategia obejmuje wzmocnienie cyberbezpieczeństwa, rozwój krajowej infrastruktury AI, ochronę danych, zarządzanie informacjami publicznymi oraz budowę kompetencji cyfrowych. Dla osób odpowiedzialnych za ochronę danych to plan wyznaczający kierunek zmian prawnych i technologicznych w Polsce.

Prezes UODO Mirosław Wróblewski złożył drugie zażalenie na postanowienie Prokuratury Rejonowej Warszawa-Śródmieście o odmowie wszczęcia dochodzenia w sprawie wpisu posła Artura Szałabawki w serwisie X. Chodzi o publikację zdjęcia osoby prywatnej bez podstawy prawnej, co może wypełniać znamiona przestępstwa z art. 107 ustawy o ochronie danych osobowych z 2018 r. Sprawa podkreśla ochronę danych szczególnej kategorii, takich jak pochodzenie etniczne.

Wyrok TSUE w sprawie C‑492/23 Russmedia Digital i Inform Media Press oraz najnowszy komunikat UODO potwierdzają, że właściciel strony internetowej z ogłoszeniami jest administratorem danych osobowych zawartych w publikowanych treściach. Oznacza to konieczność wdrożenia środków technicznych i organizacyjnych, które pozwolą zidentyfikować ogłoszenia z danymi szczególnych kategorii, zweryfikować tożsamość reklamodawcy i jego podstawę prawną przetwarzania danych – także w kontekście rosnącego zjawiska „celeb bait” w mediach społecznościowych.

Sejm przyjął ustawę wdrażającą unijny Akt o usługach cyfrowych (DSA), która znacząco zwiększa ochronę użytkowników internetu i ich prawa wobec decyzji platform. Najważniejszą zmianą jest wzmocnienie kontroli sądowej nad blokowaniem treści oraz wprowadzenie przejrzystych mechanizmów odwołania się od decyzji platform. Dowiedz się, jak nowe przepisy zmienią ochronę danych i prawa użytkowników w Polsce.

Naczelny Sąd Administracyjny oddalił skargę kasacyjną Banku Millennium, podtrzymując decyzję Prezesa UODO o karze ponad 350 tys. zł za niezgłoszenie naruszenia ochrony danych osobowych oraz brak zawiadomienia osób, których dane ujawniono. Wyrok potwierdza obowiązek administratora do zgłaszania incydentów, nawet gdy sprawcą zdarzenia jest podmiot zewnętrzny.

Prezes UODO nakazał demontaż kamer monitoringu obejmujących nie tylko prywatną posesję, ale też sąsiednie nieruchomości i drogę publiczną. Organ nadzorczy przypomina, że tzw. „monitoring domowy” nie jest wyłączony spod RODO, jeśli jego zasięg obejmuje przestrzeń publiczną.

Europejska Rada Ochrony Danych (EROD) przyjęła zalecenia wyjaśniające, kiedy sklepy internetowe mogą wymagać założenia konta od użytkownika. Podczas 112. posiedzenia Rada omówiła też projekt Digital Omnibus i wybrała nową wiceprzewodniczącą.

Prezes UODO Mirosław Wróblewski zwrócił się do Prokuratora Generalnego o ponowne wszczęcie śledztwa w sprawie przerobienia zdjęcia małoletniej uczennicy z wykorzystaniem sztucznej inteligencji. Zdaniem UODO doszło do naruszenia przepisów o ochronie danych osobowych oraz dóbr osobistych dziecka.

ISAC-JST to nowa platforma współpracy samorządów w obszarze cyberbezpieczeństwa. Jej celem jest skuteczniejsze reagowanie na incydenty, wymiana wiedzy, lepsza ochrona infrastruktury krytycznej i wdrażanie wspólnych standardów ochrony danych. Projekt ma pomóc JST lepiej chronić infrastrukturę krytyczną i dane mieszkańców przed cyberatakami.

Od 26 marca 2025 r. obowiązuje rozporządzenie o Europejskiej Przestrzeni Danych dotyczących Zdrowia (EPDZ), które wprowadza nowe prawa pacjentów do ich danych, jednolite standardy wymiany dokumentacji medycznej na teranie UE oraz rozbudowaną infrastrukturę cyfrową. To kluczowy krok w budowie cyfrowej, transgranicznej współpracy w opiece zdrowotnej i badaniach, wspierający rozwój silnej Europejskiej Unii Zdrowotnej.

Prezes UODO zatwierdził Kodeks postępowania dotyczący przetwarzania danych osobowych przez prywatne agencje badawcze. Dokument doprecyzowuje zasady ochrony danych uczestników badań opinii, w tym pozyskiwanie zgody i profilowanie, a także wprowadza jednolite standardy dla całej branży.

Na listopadowym 49. posiedzeniu Komitetu Konwencji nr 108 Rady Europy eksperci omówili najnowsze działania dotyczące transgranicznych transferów danych, wytycznych dla dużych modeli językowych oraz neuronauki i neurotechnologii. Wydarzenie potwierdza rosnące znaczenie międzynarodowych standardów w ochronie danych osobowych.

Omyłkowe udostępnienie danych pacjentów niewłaściwej osobie to naruszenie ochrony danych osobowych, które wymaga zgłoszenia do organu nadzorczego. Niedopełnienie obowiązków RODO w tym zakresie skutkuje karami finansowymi, o czym przekonała się jedna z placówek medycznych.

Nowelizacja Prawa o ruchu drogowym wprowadza w pełni elektroniczny wniosek o rejestrację pojazdu i system automatycznej wymiany danych między urzędami w UE. Według resortu cyfryzacji to ważny krok w kierunku uproszczenia procedur i podniesienia poziomu bezpieczeństwa danych pojazdów i ich właścicieli.

Prezes UODO zwraca uwagę na ryzyka związane z zakresem danych gromadzonych w ramach ewidencji „Badanie kompetencji ruchowych uczniów”. Organ wskazuje na konieczność weryfikacji proporcjonalności, celowości i podstaw prawnych przetwarzania danych dzieci.

Prezes UODO nałożył na spółkę Gyncentrum karę finansową w wysokości 40 tys. zł za niezgłoszenie naruszenia ochrony danych osobowych pacjentki. Jednocześnie wystosował upomnienie za brak bezzwłocznego zawiadomienia osób, których dane dotyczyły. Sprawa stanowi ważne przypomnienie o obowiązkach administratorów w przypadku incydentów bezpieczeństwa danych, szczególnie w sektorze medycznym.

Najnowszy wyrok Naczelnego Sądu Administracyjnego potwierdził, że administrator danych osobowych musi zawiadomić osobę o naruszeniu, jeśli zachodzi wysokie ryzyko dla jej praw lub wolności. Decyzja dotyczy sprawy sopockiego ubezpieczyciela Ergo Hestia SA, który za niezgłoszenie naruszenia ochrony danych osobowych i nie powiadomienie osoby nim dotkniętej otrzymał karę w wysokości 159 176 zł.

Prezes UODO Mirosław Wróblewski poinformował, że Prezesi Sądów Apelacyjnych pozytywnie ocenili propozycje dotyczące sposobów przekazywania informacji o postępowaniach związanych z roszczenia z tytułu naruszenia przepisów o ochronie danych osobowych. Uzgodnione rozwiązania mają usprawnić komunikację między sądami a organem nadzorczym oraz zwiększyć przejrzystość działań w tym zakresie.

NSA potwierdził stanowisko Prezesa UODO: banki i Biuro Informacji Kredytowej nie mogą przetwarzać danych osób, które złożyły wniosek kredytowy, lecz nie zawarły umowy. Oznacza to, że dane tzw. niedoszłych klientów nie mogą być dalej wykorzystywane ani przechowywane przez instytucje finansowe po zakończeniu procesu oceny zdolności kredytowej.

Od 10 października 2025 r. weszły w życie przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2024/900 dotyczące przejrzystości i targetowania reklamy politycznej w przestrzeni cyfrowej. Nowe regulacje uzupełniają RODO i wprowadzają istotne obowiązki dla administratorów danych oraz podmiotów zaangażowanych w publikowanie i finansowanie politycznych przekazów reklamowych online.