Plan kontroli UODO na rok 2026. Czy Twoja firma może znaleźć się w gronie kontrolowanych?

1. Podmioty prowadzące Biuletyn Informacji Publicznej, czyli wszystkie te podmioty, które wykonują zadania publiczne lub dysponują majątkiem publicznym. Zaliczamy tu organy władzy rządowej i samorządowej, jednostki organizacyjne, kulturalne, organy porządku publicznego, szpitale, szkoły, spółki miejskie czy partie polityczne. Kontrolowany będzie sposób przetwarzania danych osobowych w związku z realizacją obowiązku prowadzenia BIP, w szczególności prawidłowości anonimizacji dokumentów (uchwał, zarządzeń, protokołów) zawierających dane osobowe oraz udostępniania nagrań i transmisji, z przebiegu sesji rad gminy. Ocenie będzie podlegała zgodność publikacji z zasadą minimalizacji oraz procedury i uchwały wewnętrzne regulujące umieszczanie w sieci.
    
2. Podmioty lecznicze, które przetwarzają dane osobowe przy pomocy monitoringu wizyjnego. W tym przypadku uważność kontrolerów UODO skierowana będzie ku placówkom leczącym małoletnich pacjentów, zarówno szpitali, oddziałów dziecięcych jak i poradni specjalistycznych. Sprawdzana będzie prawidłowość podstawy prawnej istnienia monitoringu pod kątem ochrony pacjentów, bezpieczeństwa placówki oraz zakres przestrzeni podlegającej obserwacji. Może też byś sprawdzana realizacja obowiązku informacyjnego wobec pacjentów i ich przedstawicieli ustawowych oraz sposoby zabezpieczeń nagrań i ich przechowywania.




3. Podmioty marketingowe, czyli różnorodne organizacje, agencje, działy wewnętrzne korporacji i specjaliści zajmujący się promocją, budowaniem wizerunku, profilowaniem, zarządzaniem relacjami z klientem itp. W tym zakresie  w szczególności sprawdzane będą  podstawy prawne do przetwarzania danych osobowych w celach marketingowych. Weryfikacji będą podlegały zgody marketingowe, ich zasadność i sposób udzielenia, praktyki związane z marketingiem bezpośrednim, profilowanie i automatyzacja, rzetelność i kompletność prowadzenia rejestru czynności przetwarzania oraz udostępnianie i powierzanie danych podmiotom trzecim. W tym zakresie mogą też być weryfikowane aspekty związane z bezpieczeństwem danych, w tym zabezpieczenia systemów IT przed wyciekiem danych (np. przy kampaniach e-mailowych).




4. Internetowe platformy dostaw, czyli cyfrowe rynki sprzedaży, marketplace, w związku ze świadczeniem usług pośrednictwa w sprzedaży towarów i usług za pomocą aplikacji internetowych, gdzie przetwarzane są dane osobowe. Zakres kontroli UODO koncentrować będzie się na ocenia bezpieczeństwa danych osobowych, w tym podstawach prawnych, środkach organizacyjnych i technicznych.  Może być weryfikowana przejrzystość klauzul informacyjnych stosowanych w aplikacjach, prawidłowe określenie ról poszczególnych podmiotów uczestniczących w przetwarzaniu danych, w tym administratorów oraz podmiotów przetwarzających takich jak kurierów oraz sprzedawców, w szczególności danych lokalizacyjnych i transakcyjnych. Weryfikacji może podlegać  również zakres i zasady profilowania, automatycznego podejmowania decyzji oraz kwestię przekazywania danych osobowych poza Europejski Obszar Gospodarczy. 


5. Organy, które przetwarzają dane osobowe w Wielkoskalowych Systemach Unii Europejskiej. Objęte będą instytucje wykorzystujące SIS (System Informacyjny Schengen) i VIS (Wizowy System Informacyjny). Do instytucji tych należą między innymi Policja, Straż Graniczna, MSWiA. Jest to obszar, który jest stałym priorytetem kontroli Prezesa Mirosława Wróblewskiego, ze względu na dużą skalę i wrażliwość przetwarzanych informacji. Był on kontrolowany w ubiegłym roku i kontrola ta została przedłużona na bieżący. Najprawdopodobniej UODO będzie sprawdzało, zgodność przetwarzania danych w tych systemach z przepisami krajowymi i unijnymi. Rejestry operacji przetwarzania danych, rozliczalność dostępu oraz procedury reagowania na incydenty naruszeń danych wrażliwych. Weryfikacji mogą zostać poddane podstawy prawne przetwarzania danych, realizacja zasady minimalizacji i ograniczonego celu. Waga kontroli tego obszaru i brak jakichkolwiek uchybień jest kluczowa w kontekście bezpieczeństwa Unii Europejskiej. Myślę, że Urząd skupi się na obszarach, w których najczęściej dochodzi do incydentów oraz na tych, które generują najwięcej skarg od obywateli.

Analizując podmioty wskazane do kontroli sektorowych oraz mając w pamięci ubiegłoroczne interwencje UODO pamięć moja kieruje się ku podmiotom, którym w 2025r Prezes UODO  najczęściej nakładał kary za nieprzestrzeganie RODO i w których miały miejsce najistotniejsze naruszenia.

Kontrole sektorowe UODO to nie tylko formalność – to realny impuls do podnoszenia standardów ochrony danych w organizacjach. Żyjemy w dynamicznym świecie. Środki ochronne wdrożone w poprzednich latach, dziś mogę być już nieskuteczne. Te działania nadzorcze UODO pomagają identyfikować słabe punkty, eliminować nieprawidłowości i budować kulturę świadomego, odpowiedzialnego przetwarzania danych. Kontroli tej nie należy się obawiać, tylko dobrze do niej przygotować. Rekomenduję, by przygotowania rozpocząć jak najszybciej, nie w momencie, gdy otrzyma się zawiadomienie o wizycie kontrolerów z datą i zakresem. Dla mnie osobiście opublikowany przez UODO plan kontroli to jasny sygnał, by w wymienionych branżach już dziś:

• Przeprowadzić audyt wewnętrzny zarówno dokumentacji jak i procesów RODO.
• Dokonać wersyfikacji zabezpieczeń technicznych i organizacyjnych.
• Przejrzeć procesy związane z przetwarzaniem danych wrażliwych.
• Uporządkować dokumentację.
• Przygotować zasoby i personel.

W praktyce dobrze przygotowana organizacja zyskuje coś więcej niż zgodność z prawem i brak kar — zyskuje zaufanie klientów i partnerów.

Autor
Agnieszka Bogumił-Jankowska Menadżer • Ekspert ds. komunikacji i rozwoju • Koordynator Relacji z Klientem