19 marca 2026 roku Europejska Rada Ochrony Danych (EDPB) oficjalnie uruchomiła piątą edycję Coordinated Enforcement Framework (CEF) — skoordynowanej akcji egzekwowania przepisów RODO prowadzonej jednocześnie przez krajowe organy nadzorcze w całej Europie. Temat tegorocznej edycji: przejrzystość i obowiązki informacyjne na podstawie art. 12, 13 i 14 RODO.
25 europejskich organów ochrony danych przystąpiło do akcji. Wyniki działań krajowych zostaną zebrane i przeanalizowane w drugiej połowie 2026 roku, a EDPB opublikuje raport podsumowujący z rekomendacjami dla dalszych działań.
Czym jest CEF
Coordinated Enforcement Framework to mechanizm wprowadzony przez EDPB, w ramach którego organy nadzorcze z całej UE jednocześnie badają wybrany temat na szczeblu krajowym. Każda edycja dotyczy innego zagadnienia. Poprzednie CEF obejmowały m.in. wyznaczanie i rolę IOD (2023), prawo dostępu do danych (2024) oraz prawo do usunięcia danych (2025).
Temat na 2026 rok — przejrzystość — został wybrany podczas posiedzenia plenarnego EDPB w październiku 2025 roku.
Dlaczego przejrzystość
Prawo do informacji jest jednym z fundamentów RODO. Art. 12 określa ogólne wymogi dotyczące formy i sposobu przekazywania informacji — w sposób zwięzły, przejrzysty, zrozumiały i łatwo dostępny, jasnym i prostym językiem. Art. 13 dotyczy informacji przekazywanych w momencie zbierania danych bezpośrednio od osoby. Art. 14 — informacji przekazywanych gdy dane pozyskano z innego źródła.
W praktyce obowiązki informacyjne pozostają jednym z najczęściej naruszanych obszarów RODO. Kontrole organów nadzorczych regularnie wykazują:
- klauzule informacyjne skopiowane z szablonów, niedostosowane do faktycznych procesów przetwarzania w organizacji
- wielostronicowe dokumenty pisane językiem prawniczym, niezrozumiałe dla przeciętnego odbiorcy
- brak informacji o konkretnych kategoriach odbiorców danych
- nieaktualne klauzule — powołujące się na nieistniejące już procesy, systemy lub podstawy prawne
- brak klauzul informacyjnych w sytuacjach, w których dane zbierane są poza formularzem (np. monitoring, profilowanie, cookies)
CEF 2026 ma na celu zebranie danych o skali tych problemów w systematyczny, porównywalny sposób we wszystkich uczestniczących krajach.
Jak będzie przebiegać akcja
Każdy organ nadzorczy sam decyduje o formie działań — mogą to być formalne kontrole, ankiety kierowane do administratorów, analizy klauzul informacyjnych na stronach internetowych lub sprawdzenia sektorowe. EDPB nie narzuca jednolitej metodologii, ale zapewnia wspólne ramy tematyczne.
W dotychczasowych edycjach CEF organy nadzorcze stosowały zarówno działania o charakterze kontrolnym (prowadzące do decyzji i ewentualnych sankcji), jak i fact-finding — czyli zbieranie danych bez bezpośrednich konsekwencji dla kontrolowanych podmiotów.
Wyniki zostaną zagregowane i opublikowane w raporcie EDPB, który będzie stanowił podstawę do dalszych rekomendacji — zarówno na poziomie europejskim, jak i krajowym.
Co powinny zrobić organizacje teraz
CEF 2026 jest sygnałem, że organy nadzorcze — w tym potencjalnie UODO — będą w najbliższych miesiącach aktywnie sprawdzać klauzule informacyjne. To dobry moment na przegląd dokumentacji pod kątem kilku kluczowych pytań:
Czy klauzule informacyjne są aktualne
Klauzula napisana w 2018 roku i od tego czasu niezmieniana niemal na pewno nie odzwierciedla aktualnego stanu przetwarzania. Nowe systemy IT, nowi podwykonawcy, nowe cele przetwarzania — każda z tych zmian powinna znaleźć odzwierciedlenie w dokumentacji informacyjnej.
Czy klauzule są powiązane z rejestrem czynności przetwarzania
Obowiązek informacyjny z art. 13 i 14 RODO wymaga podania m.in. celów przetwarzania, podstawy prawnej, kategorii odbiorców, okresów retencji. Te same informacje powinny wynikać z rejestru czynności przetwarzania. Jeżeli klauzula mówi co innego niż rejestr — to jest problem.
Czy klauzule są zrozumiałe
Art. 12 RODO wymaga, aby informacje były przekazywane „jasnym i prostym językiem”. Klauzula, która brzmi jak fragment aktu prawnego, nie spełnia tego wymogu — nawet jeśli jest merytorycznie kompletna.
Czy klauzule obejmują wszystkie kanały zbierania danych
Wiele organizacji ma klauzulę na stronie internetowej, ale nie ma jej przy formularzach papierowych, w procesie rekrutacji, w systemie monitoringu czy w aplikacji mobilnej. Każdy punkt zbierania danych wymaga odrębnego lub odpowiednio zaadaptowanego obowiązku informacyjnego.
Podsumowanie
CEF 2026 to piąta edycja skoordynowanej akcji egzekwowania RODO, tym razem skupiona na przejrzystości i obowiązkach informacyjnych z art. 12-14. 25 organów nadzorczych z całej Europy będzie sprawdzać jak organizacje informują osoby o przetwarzaniu ich danych. Wyniki zostaną opublikowane w drugiej połowie 2026 roku. Dla administratorów to sygnał, żeby przejrzeć i zaktualizować klauzule informacyjne — zanim zrobi to organ nadzorczy.
Źródło: EDPB
FAQ
Tak — UODO jest jednym z organów nadzorczych, które mogą przystąpić do skoordynowanej akcji. Nawet jeśli UODO nie przeprowadzi kontroli w ramach CEF, wyniki raportu EDPB będą stanowiły punkt odniesienia dla przyszłych działań nadzorczych w Polsce.
Niekoniecznie. Organy nadzorcze stosują różne formy działań — od formalnych kontroli, przez ankiety, po analizę klauzul dostępnych publicznie na stronach internetowych. Nie każda organizacja będzie kontrolowana bezpośrednio.
Naruszenie art. 12-14 RODO podlega karze administracyjnej do 20 mln EUR lub 4% rocznego obrotu (art. 83 ust. 5 lit. b RODO). W praktyce kary za same braki informacyjne bywają niższe, ale stanowią element szerszych naruszeń stwierdzanych podczas kontroli.
Nie ma takiego formalnego wymogu — ale klauzula musi obejmować wszystkie informacje wymagane przez art. 13 lub 14 RODO dla każdego celu przetwarzania. W praktyce wiele organizacji stosuje warstwową strukturę: krótkie podsumowanie + pełna wersja.
Porównaj ją z rejestrem czynności przetwarzania. Każda czynność w rejestrze powinna mieć odpowiadającą jej informację w klauzuli — ten sam cel, ta sama podstawa prawna, ci sami odbiorcy, ten sam okres retencji.
Generuj klauzule informacyjne bezpośrednio z rejestru czynności przetwarzania
iGDPR generuje obowiązki informacyjne na podstawie danych z rejestru czynności przetwarzania. Zmiana procesu — aktualizacja klauzuli. Bez kopiowania szablonów. Sprawdź jak to działa w praktyce.
Testuj teraz — 21 dni bezpłatnie