Firma e-commerce z Mazowsza otrzymuje pismo od Urzędu Ochrony Danych Osobowych. Kontrola. Postępowanie. Decyzja administracyjna z karą finansową, której wysokość przekracza roczny budżet działu IT. Scenariusz brzmi abstrakcyjnie – do momentu, gdy dotyczy właśnie Twojej spółki.

Urząd Ochrony Danych Osobowych (UODO) systematycznie zwiększa aktywność egzekucyjną na podstawie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, czyli RODO. Maksymalna kara to 20 milionów euro lub 4% rocznego globalnego obrotu – w zależności od tego, która kwota jest wyższa. Postępowania dotyczą coraz częściej sektora MŚP, a nie wyłącznie dużych korporacji.

Poniższy przewodnik opisuje aktualne trendy egzekucyjne UODO, najczęstsze naruszenia prowadzące do kar, praktyczne kroki obrony oraz to, czego polskie firmy – produkcyjne, technologiczne i z udziałem kapitału zagranicznego – nie mogą sobie pozwolić przeoczyć w 2026 roku.

Jak działa postępowanie UODO i czego szuka urząd?

UODO wszczyna postępowanie z urzędu lub na skutek skargi osoby fizycznej. Skarga jest bezpłatna i może złożyć ją każdy, kto uważa, że jego dane zostały przetworzone niezgodnie z RODO. Urząd ma obowiązek rozpatrzyć każdą skargę – co oznacza, że jeden niezadowolony klient może uruchomić pełne postępowanie kontrolne.

W praktyce UODO koncentruje się na kilku obszarach. Po pierwsze – brak lub wadliwa podstawa prawna przetwarzania danych. Po drugie – niedostateczne realizowanie praw podmiotów danych, w szczególności prawa dostępu (art. 15 RODO) i prawa do usunięcia danych. Po trzecie – naruszenia bezpieczeństwa niezgłoszone w terminie 72 godzin. To właśnie ten ostatni obowiązek generuje w Polsce największą liczbę postępowań wszczynanych z urzędu.

Urząd korzysta z uprawnień kontrolnych obejmujących żądanie dokumentów, przesłuchania pracowników i inspekcje na miejscu. Termin na odpowiedź na wezwanie UODO wynosi zazwyczaj 7 lub 14 dni – i jest nieprzekraczalny. Brak odpowiedzi jest traktowany jako okoliczność obciążająca przy wymiarze kary.

Ważna obserwacja z praktyki: UODO coraz częściej bada nie tylko sam fakt naruszenia, ale też jakość dokumentacji compliance. Spółka, która nie ma aktualnego rejestru czynności przetwarzania (art. 30 RODO), od razu sygnalizuje urzędowi, że system ochrony danych jest pozorny. To zwiększa ryzyko kary – i jej wysokość.

Za jakie naruszenia UODO nakłada najwyższe kary?

Analiza decyzji UODO z ostatnich trzech lat wskazuje wyraźny wzorzec. Najwyższe kary – sięgające kilku milionów złotych – dotyczą naruszeń o charakterze systemowym, a nie jednorazowych incydentów. Urząd różnicuje podejście: incydent z rzetelnie wdrożonym systemem ochrony danych to inna sytuacja niż całkowity brak polityk bezpieczeństwa.

Kategorie naruszeń najczęściej kończące się karą finansową:

  • brak ważnej podstawy prawnej przetwarzania danych osobowych klientów lub pracowników
  • niezgłoszenie naruszenia bezpieczeństwa danych do UODO w ciągu 72 godzin od jego wykrycia
  • nieprawidłowe lub niekompletne klauzule informacyjne (art. 13–14 RODO)
  • udostępnianie danych podmiotom trzecim bez umowy powierzenia przetwarzania
  • retencja danych znacznie przekraczająca deklarowane okresy przechowywania

Spółka produkcyjna z Wielkopolski zapłaciła karę w wysokości kilkuset tysięcy złotych za przesyłanie danych kadrowych do zewnętrznego dostawcy usług HR bez zawartej umowy powierzenia. Dokumentacja wewnętrzna była obszerna – ale kluczowy dokument po prostu nie istniał. To klasyczny przykład luki compliance, którą urząd wykrywa błyskawicznie.

Sektor technologiczny i firmy wdrażające systemy AI powinny zwrócić szczególną uwagę na wchodzące w życie regulacje. AI Act (Rozporządzenie UE 2024/1689), który wszedł w życie 1 sierpnia 2024 roku, nakłada na dostawców systemów wysokiego ryzyka obowiązki oceny zgodności. Systemy AI przetwarzające dane osobowe podlegają jednocześnie RODO i AI Act – co oznacza podwójne ryzyko sankcji.

Jakie są trendy egzekucyjne UODO w 2025 i 2026 roku?

UODO wyraźnie zmienia priorytety. Do 2023 roku urząd koncentrował się głównie na sektorze publicznym i dużych podmiotach prywatnych. Od 2024 roku obserwujemy wyraźne przesunięcie w kierunku MŚP – szczególnie firm e-commerce, platform cyfrowych i podmiotów przetwarzających dane zdrowotne.

Trzy dominujące trendy na 2026 rok:

  • Koordynacja z innymi organami nadzorczymi UE – UODO uczestniczy w mechanizmie spójności RODO i coraz częściej prowadzi postępowania wspólnie z organami z innych państw członkowskich. Polska spółka z oddziałem w Niemczech może być kontrolowana równolegle przez UODO i BfDI.
  • Wzrost liczby skarg od byłych pracowników – monitoring poczty służbowej, nagrywanie rozmów, systemy kontroli czasu pracy – to obszary generujące lawinę skarg po rozwiązaniu stosunku pracy.
  • Inspekcje sektorowe – UODO zapowiada kontrole planowe w sektorach: fintech, ochrona zdrowia i marketing online. Kontrola planowa nie wymaga uprzedniego naruszenia.

Firmy z sektora finansowego podlegają dodatkowo DORA (Rozporządzeniu UE 2022/2554), które od 17 stycznia 2025 roku nakłada obowiązki zarządzania ryzykiem ICT i zgłaszania incydentów do KNF. Incydent bezpieczeństwa w instytucji finansowej może więc uruchomić równoczesne postępowania UODO i KNF. Więcej o wymaganiach DORA znajdą Państwo w naszej analizie: DORA – kto musi wdrożyć i do kiedy.

Warto też odnotować rosnącą aktywność w obszarze danych pracowniczych cudzoziemców. Firmy zatrudniające obywateli spoza UE – w tym pracowników z Ukrainy – przetwarzają szczególnie wrażliwe kategorie danych (dokumenty pobytowe, dane biometryczne). Kwestie związane z zatrudnianiem cudzoziemców omawia nasz przewodnik: EU Blue Card w Polsce – nowe progi na 2026 rok.

Jak bronić się przed karą UODO – praktyczny przewodnik krok po kroku?

Obrona przed karą UODO zaczyna się na długo przed wszczęciem postępowania. Urząd bierze pod uwagę działania podjęte przed naruszeniem, w jego trakcie i po nim. Każdy z tych etapów ma znaczenie dla wymiaru ewentualnej sankcji.

Etap 1 – przed naruszeniem (compliance prewencyjny). Podstawą jest aktualny rejestr czynności przetwarzania (art. 30 RODO), ocena skutków dla ochrony danych (DPIA) dla procesów wysokiego ryzyka oraz umowy powierzenia z każdym podmiotem przetwarzającym. Termin na wdrożenie tych dokumentów minął 25 maja 2018 roku – każda firma, która ich nie ma, działa niezgodnie z prawem każdego dnia.

Etap 2 – po wykryciu naruszenia. 72 godziny to żelazny limit na zgłoszenie naruszenia bezpieczeństwa danych do UODO. Liczy się od momentu, gdy administrator powziął wiarygodną informację o naruszeniu – nie od zakończenia wewnętrznego dochodzenia. Firmy, które czekają na pewność, zanim zgłoszą incydent, regularnie przekraczają termin i narażają się na dodatkową karę.

Etap 3 – w trakcie postępowania UODO. Współpraca z urzędem jest okolicznością łagodzącą. Terminowe odpowiadanie na wezwania, przedstawianie kompletnej dokumentacji i wykazanie działań naprawczych – to realne narzędzia zmniejszenia kary. UODO może obniżyć sankcję nawet o kilkadziesiąt procent, jeśli podmiot wykaże dobrą wiarę i szybkie działanie naprawcze.

Trzy scenariusze biznesowe i rekomendowane podejście:

  • Firma produkcyjna – priorytet: umowy powierzenia z dostawcami systemów ERP i kadrowych, DPIA dla monitoringu wizyjnego hal produkcyjnych, polityka retencji danych pracowniczych.
  • Firma IT / startup – priorytet: privacy by design w cyklu rozwoju produktu, ocena zgodności systemów AI z AI Act, klauzule RODO w umowach z klientami B2B.
  • Inwestor zagraniczny – priorytet: ustalenie wiodącego organu nadzorczego (lead supervisory authority) przy działalności transgranicznej, mapowanie przepływów danych między jurysdykcjami, standardowe klauzule umowne (SCC) dla transferów poza EOG.

Co przygotować przed kontrolą UODO – lista sprawdzająca:

  • aktualny rejestr czynności przetwarzania (art. 30 RODO) ze wskazaniem podstaw prawnych
  • komplet umów powierzenia przetwarzania z podmiotami zewnętrznymi
  • dokumentacja DPIA dla procesów wysokiego ryzyka
  • procedura zgłaszania naruszeń bezpieczeństwa z wyznaczonymi osobami odpowiedzialnymi
  • dowody szkoleń pracowników z zakresu ochrony danych (daty, listy obecności, materiały)

Konkretna sytuacja Państwa firmy wymaga oceny, które z tych elementów są już wdrożone, a które stanowią realne ryzyko. Brak dokumentacji compliance to ryzyko nieodwracalne – kara nałożona przez UODO nie podlega cofnięciu po fakcie, nawet jeśli naruszenie zostanie następnie usunięte.

Jeśli Państwa spółka nie ma aktualnego rejestru czynności przetwarzania lub właśnie otrzymała wezwanie UODO – przeprowadzimy audyt compliance, ocenimy ryzyko i przygotujemy odpowiedź na postępowanie: info@kordeckipartners.com.

Często zadawane pytania

P: Czy UODO może ukarać małą firmę zatrudniającą kilka osób?

O: Tak. RODO nie przewiduje progu zatrudnienia zwalniającego z obowiązków. Obowiązek prowadzenia rejestru czynności przetwarzania może być wyłączony jedynie dla podmiotów przetwarzających okazjonalnie dane nieobejmujące szczególnych kategorii i nieprowadzących działalności, która mogłaby zagrażać prawom i wolnościom osób fizycznych – w praktyce wyjątek ten rzadko ma zastosowanie do firm prowadzących regularną działalność handlową. Urząd Ochrony Danych Osobowych może nałożyć karę na każdego administratora danych, niezależnie od jego wielkości.

P: Ile czasu trwa postępowanie UODO od wszczęcia do decyzji?

O: Postępowanie trwa zazwyczaj od 6 do 18 miesięcy, choć w sprawach złożonych lub wymagających współpracy z organami innych państw UE może przekroczyć 24 miesiące. Ordynacja podatkowa nie ma tu zastosowania – postępowanie UODO toczy się na podstawie Kodeksu postępowania administracyjnego. Decyzja UODO może być zaskarżona do Wojewódzkiego Sądu Administracyjnego w terminie 30 dni od doręczenia, a następnie do Naczelnego Sądu Administracyjnego.

P: Czy inspektor ochrony danych (IOD) chroni firmę przed karą?

O: Wyznaczenie inspektora ochrony danych jest okolicznością łagodzącą, ale nie chroni przed karą automatycznie. IOD musi być rzeczywiście niezależny, posiadać odpowiednie zasoby i mieć dostęp do procesów przetwarzania danych. Firmy, które wyznaczają IOD „na papierze" bez zapewnienia mu realnych uprawnień, nie mogą powoływać się na to jako na dowód compliance. Urząd Ochrony Danych Osobowych weryfikuje faktyczną rolę inspektora w strukturze organizacyjnej.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do ochrony danych osobowych, prawa technologicznego i regulacji AI. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.