8 stycznia 2026 roku Prezes Urzędu Ochrony Danych Osobowych opublikował plan kontroli sektorowych na rok 2026. To jeden z ważniejszych dokumentów roku z perspektywy compliance — nie dlatego że grozi karą, ale dlatego że wskazuje wprost gdzie UODO stwierdza największe problemy z przestrzeganiem RODO w praktyce. Plan nie powstaje przypadkowo. Opiera się na analizie skarg, zgłoszonych naruszeń i doświadczeń z poprzednich kontroli. Jeżeli Twoja organizacja działa w jednym z wymienionych sektorów — masz czas żeby się przygotować zanim kontrolerzy zapukają do drzwi.
Pięć sektorów objętych planem kontroli UODO 2026
1. Organy przetwarzające dane w Wielkoskalowych Systemach UE (SIS/VIS)
Kontrole dotyczą organów przetwarzających dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym. To kontynuacja kontroli prowadzonych w 2025 roku — UODO weryfikuje czy organy prawidłowo stosują przepisy ustawy o udziale Rzeczpospolitej Polskiej w tych systemach. Sektor dotyczy głównie administracji publicznej — Straży Granicznej, Policji, urzędów konsularnych.
2. Podmioty lecznicze — monitoring wizyjny, szczególnie danych dzieci
To jeden z dwóch sektorów prywatnych z najważniejszym sygnałem dla rynku. UODO skupi się na bezpieczeństwie danych osobowych przy stosowaniu monitoringu wizyjnego w placówkach medycznych — ze szczególnym uwzględnieniem danych dzieci na oddziałach dziecięcych i w przychodniach pediatrycznych.
Kontrola obejmie w szczególności: podstawy prawne stosowania monitoringu, realizację obowiązków informacyjnych wobec pacjentów i ich rodziców, zasady retencji nagrań, kontrolę dostępu do materiału wizyjnego oraz ocenę czy monitoring jest rzeczywiście konieczny i proporcjonalny do celu.
UODO sygnalizował w ostatnich latach, że monitoring w podmiotach leczniczych jest zbyt często wdrażany bez głębszej analizy konieczności i proporcjonalności — i bez właściwego poinformowania osób objętych obserwacją.
3. Podmioty prowadzące Biuletyn Informacji Publicznej
Kontrole dotyczą sposobu przetwarzania danych osobowych w ramach obowiązku prowadzenia BIP — ze szczególnym naciskiem na dwa obszary: anonimizację danych oraz udostępnianie przebiegu sesji rad gminy.
To typowy punkt styku prawa do informacji publicznej i ochrony danych. Problemy nie biorą się z samej idei jawności — biorą się z braku procesu: kto weryfikuje dokument przed publikacją, jak są definiowane wyjątki od anonimizacji, co dzieje się z nagraniami po publikacji i jak długo są przechowywane.
4. Podmioty marketingowe — podstawy prawne przetwarzania danych
Drugi kluczowy sektor prywatny. UODO weźmie pod lupę podstawy prawne przetwarzania danych w celach marketingowych — zarówno zgody jak i uzasadniony interes administratora.
Kontrola obejmie w szczególności: prawidłowość pozyskiwania zgód marketingowych, dokumentowanie uzasadnionego interesu (test LIA), weryfikację baz danych wykorzystywanych w działaniach marketingowych, realizację prawa do sprzeciwu oraz zgodność profilowania z RODO.
UODO umieścił ten sektor w planie nie bez powodu — liczba skarg dotyczących niezamówionej komunikacji marketingowej systematycznie rośnie. Organizacje które stosują modele zgodności opracowane kilka lat temu, nieuwzględniające aktualnych stanowisk organów nadzorczych, mogą być narażone na ryzyko.
5. Internetowe platformy dostaw
Kontrole dotyczą przetwarzania danych osobowych w związku ze świadczeniem usług pośrednictwa w sprzedaży towarów i usług za pomocą aplikacji internetowych — platform łączących klientów, kurierów i restauracje lub sklepy.
UODO zweryfikuje m.in.: minimalizację danych (czy platforma zbiera tylko dane niezbędne do realizacji usługi), privacy by design, transparentność wobec użytkowników i kurierów, bezpieczeństwo przetwarzania oraz ewentualne DPIA dla operacji wysokiego ryzyka.
Co łączy te pięć sektorów
Patrząc na plan całościowo — UODO wyraźnie odchodzi od weryfikacji formalnej dokumentacji na rzecz sprawdzania czy RODO faktycznie działa w praktyce. To zmiana której sygnały były widoczne już w poprzednich latach. Kontrolerzy będą pytać nie tylko „czy masz politykę ochrony danych?” ale „czy ta polityka jest stosowana i jak to udowodnisz?”.
Drugi wspólny mianownik: wszystkie wskazane sektory przetwarzają dane wrażliwe (zdrowie, dzieci, dane na dużą skalę) lub prowadzą działania marketingowe oparte na mniej oczywistych podstawach prawnych. To obszary gdzie błędy mają największe skutki dla osób fizycznych.
Jak się przygotować — niezależnie od sektora
Plan kontroli to dobry moment żeby przeprowadzić wewnętrzny przegląd zgodności — nawet jeżeli Twoja organizacja nie jest wprost wymieniona w żadnym z pięciu sektorów. UODO prowadzi również kontrole doraźne — na podstawie skarg i zgłoszonych naruszeń — które mogą dotknąć każdego administratora.
Rejestr czynności przetwarzania — czy jest aktualny? Czy odzwierciedla rzeczywiste procesy, nowych dostawców, nowe systemy?
Podstawy prawne — czy każda czynność przetwarzania ma udokumentowaną i właściwą podstawę prawną? Czy zgody marketingowe są prawidłowo pozyskane i zarchiwizowane?
Obowiązki informacyjne — czy klauzule informacyjne opisują rzeczywiste przetwarzanie, a nie generyczny szablon?
Monitoring wizyjny — czy istnieje udokumentowana analiza konieczności i proporcjonalności? Czy osoby objęte monitoringiem są prawidłowo poinformowane? Czy zasady retencji nagrań są określone i przestrzegane?
Ocena ryzyka — czy dla procesów wysokiego ryzyka przeprowadzono DPIA?
Rejestr naruszeń — czy wszystkie incydenty są dokumentowane wraz z analizą ryzyka, nawet te niezgłaszane do UODO?
Umowy powierzenia — czy lista procesorów jest aktualna? Czy umowy z nowymi dostawcami SaaS, chmury, obsługi IT są podpisane?
Podsumowanie
Plan kontroli sektorowych UODO na 2026 rok obejmuje pięć obszarów: organy przetwarzające dane w systemach SIS/VIS, podmioty lecznicze stosujące monitoring wizyjny (szczególnie przy danych dzieci), podmioty prowadzące BIP, firmy marketingowe oraz internetowe platformy dostaw. Wspólny mianownik: UODO sprawdza nie dokumenty, ale rzeczywiste funkcjonowanie ochrony danych w praktyce. Dla każdej organizacji — niezależnie od sektora — plan kontroli to dobry pretekst do przeglądu stanu zgodności zanim zrobi to kontrolujący.
FAQ
Nie — plan kontroli sektorowych określa priorytety kontroli planowych. UODO prowadzi też kontrole doraźne na podstawie skarg i zgłoszeń naruszeń, które mogą dotyczyć każdego administratora w Polsce.
Kontrola planowa może zostać wszczęta w dowolnym momencie roku. Czas jej trwania nie może przekroczyć 30 dni od okazania upoważnienia do kontroli.
Tak — UODO nie stosuje taryfy ulgowej dla mniejszych podmiotów w sektorach wysokiego ryzyka. Kryterium doboru do kontroli to przynależność sektorowa i analiza ryzyk, nie wielkość organizacji.
Prezes UODO może wydać decyzję nakazującą dostosowanie przetwarzania do RODO, nałożyć upomnienie lub administracyjną karę pieniężną — do 10 mln EUR lub 2% rocznego globalnego obrotu dla naruszeń z art. 83 ust. 4 RODO, do 20 mln EUR lub 4% obrotu dla naruszeń z art. 83 ust. 5.
Kontrola planowa nie może trwać dłużej niż 30 dni roboczych od dnia okazania upoważnienia do przeprowadzenia kontroli, choć może być przedłużona w uzasadnionych przypadkach.
html
Czy jesteś gotowy na kontrolę UODO dziś?
iGDPR utrzymuje aktualny rejestr czynności przetwarzania, dokumentuje oceny ryzyka, umowy powierzenia i rejestr naruszeń — wszystko czego UODO szuka podczas kontroli, w jednym miejscu. Sprawdź jak to działa w praktyce.
TESTUJ TERAZ — 21 dni bezpłatnie
