W czwartej części cyklu poświęconego rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2022/868 z 30 maja 2022 r. ws. europejskiego zarządzania danymi (akt ws. zarządzania danymi)¹, określanego jako DGA, omówimy przepisy ustawy z 27 marca 2026 r. o zarządzaniu danymi², które przyznają Prezesowi UODO nowe kompetencje.

Ustawa z 27 marca 2026 r. o zarządzaniu danymi uzupełnia postanowienia DGA w zakresie niezbędnym do zapewnienia pełnego funkcjonowania tego rozporządzenia w polskim porządku prawnym. Ustawa o zarządzaniu danymi wejdzie w życie 23 lipca 2026 r., tj. po upływie trzech miesięcy od dnia jej ogłoszenia, co nastąpiło 22 kwietnia 2026 r.³

1. Kompetencje Prezesa UODO

Nowe kompetencje uregulowano w rozdziałach: 3–6 ustawy o zarządzaniu danymi.

Prezes UODO jest organem właściwym do spraw⁴:

1)     usług pośrednictwa danych, o którym mowa w art. 13 DGA⁵;

2)     rejestracji organizacji altruizmu danych, o którym mowa w art. 23 DGA⁶;

3)     naruszeń obowiązków dotyczących przekazywania danych nieosobowych do państw trzecich, o których mowa w art. 5 ust. 14 lub art. 31 DGA⁷.

2. Ustawa o zarządzaniu danymi a Kodeks postępowania administracyjnego

Do postepowań administracyjnych prowadzonych przez Prezesa UODO na podstawie ustawy o zarządzaniu danymi w zakresie nieuregulowanym w tej ustawie  stosuje się odpowiednio przepisy ustawy z 14 czerwca 1960 r. – Kodeks postępowania administracyjnego[1]. Takie postępowania administracyjne są postępowaniami jednoinstancyjnymi. Do postanowień wydanych w ich toku, na które zgodnie z przepisami ustawy Kodeks postępowania administracyjnego.⁸

Takie postępowania administracyjne są postępowaniami jednoinstancyjnymi. Do postanowień wydanych w ich toku, na które zgodnie z przepisami ustawy Kodeks postępowania administracyjnego służy zażalenie, przepisów o zażaleniu nie stosuje się, lecz przysługuje im skarga do sądu administracyjnego.

3. Usługi pośrednictwa danych

Prezes UODO jest organem właściwym ds. pośrednictwa danych. W związku z tym każdy dostawca usług pośrednictwa danych, który zamierza  świadczyć usługi pośrednictwa danych, jest obowiązany dokonać zgłoszenia zgodnie z art. 11 ust. 1 DGA do Prezesa UODO.

Zgodnie z art. 11 ust. 8 DGA na wniosek dostawcy usług pośrednictwa danych Prezes UODO wydaje w terminie jednego tygodnia od zgłoszenia wypełnionego w sposób należyty i całkowity standardowe oświadczenie, potwierdzające, że dostawca usług pośrednictwa danych dokonał zgłoszenia oraz że zgłoszenie zawiera informacje, o których mowa w art. 11 ust. 6 DGA. Na wniosek dostawcy usług pośrednictwa danych Prezes UODO potwierdza, że dostawca usług pośrednictwa danych przestrzega art. 11 oraz art. 12 DGA. Po otrzymaniu takiego potwierdzenia dostawca usług pośrednictwa danych może w swojej komunikacji pisemnej i ustnej posługiwać się oznakowaniem „uznany w Unii dostawca usług pośrednictwa danych” oraz używać wspólnego logo (ust. 9). Art. 20 ustawy o zarządzaniu danymi przesądza, że ww. oświadczenie i potwierdzenie Prezes UODO wydaje na piśmie.

Prezes UODO jest organem uprawnionym do monitorowania spełniania wymogów nałożonych na dostawców usług pośrednictwa danych. W myśl art. 21 ustawy o zarządzaniu danymi w razie stwierdzenia naruszeń Prezes UODO, w drodze decyzji, nakłada środki, które zostały wymienione w DGA. Są to: żądanie przesunięcia rozpoczęcia lub zawieszenia świadczenia usługi pośrednictwa danych do czasu wprowadzenia zmian w warunkach oraz żądanie zaprzestania świadczenia usługi pośrednictwa danych, w przypadku gdy poważne lub powtarzające się naruszenia nie zostały usunięte pomimo powiadomienia w terminie 30 dni od dnia otrzymania powiadomienia. W przypadku gdy podmiot wprowadził zmiany zgodne z żądaniem, Prezes UODO zmienia z urzędu albo uchyla decyzję o nałożeniu środków.

Jeżeli dostawca usług pośrednictwa danych nie ma jednostki organizacyjnej w UE i nie wyznaczył przedstawiciela prawnego albo przedstawiciel prawny nie dostarczył na żądanie niezbędnych informacji, które w pełni by wykazywały, że dostawca przestrzega DGA, Prezes UODO, w drodze decyzji, przesuwa rozpoczęcie lub zawiesza świadczenie usług pośrednictwa danych do czasu wyznaczenia przedstawiciela prawnego lub dostarczenia niezbędnych informacji. W sytuacji gdy dostawca usług pośrednictwa danych wyznaczy przedstawiciela prawnego lub dostarczy niezbędnych informacji, Prezes UODO zmienia z urzędu albo uchyla decyzję.

Prezes UODO udostępnia na swojej stronie podmiotowej w Biuletynie Informacji Publicznej informacje o wydaniu ww. decyzji administracyjnych.

4. Uznane organizacje altruizmu danych

Prezes UODO jest organem właściwym ds. rejestracji uznanych organizacji altruizmu danych. Zgodnie z art. 22 ust. 1 ustawy o zarządzaniu danymi Prezes UODO prowadzi w postaci elektronicznej publiczny krajowy rejestr uznanych organizacji altruizmu danych. Wpis do rejestru jest dobrowolny. Gdy podmiot wnioskujący o wpisanie do rejestru nie spełnia kryteriów wymienionych w DGA, Prezes UODO odmawia, w drodze decyzji, rejestracji w publicznym krajowym rejestrze uznanych organizacji altruizmu danych.

Na podstawie art. 24 DGA Prezes UODO ma kompetencję do monitorowania i nadzorowania spełniania przez uznane organizacje altruizmu danych wymogów określonych w rozdziale IV DGA (ust. 1). Może również monitorować i nadzorować spełnianie tych wymogów przez takie uznane organizacje altruizmu danych na podstawie wniosków osób fizycznych lub prawnych. Organ ten jest uprawniony do zwracania się do uznanych organizacji altruizmu danych z wnioskiem o informacje niezbędne do zweryfikowania spełniania wymogów określonych w rozdziale IV DGA.

Każdy wniosek o informacje musi być proporcjonalny do wykonywanego zadania i musi być uzasadniony (ust. 2). W przypadku ustalenia przez Prezesa UODO, że uznana organizacja altruizmu danych nie spełnia co najmniej jednego wymogu określonego w rozdziale IV DGA, powiadamia on tę uznaną organizację altruizmu danych o swoich ustaleniach i daje jej możliwość przedstawienia swojego stanowiska w terminie 30 dni od dnia otrzymania powiadomienia (ust. 3). Prezes UODO jest uprawniony do żądania zaprzestania naruszeń niezwłocznie albo w rozsądnym terminie, a także przyjmuje odpowiednie i proporcjonalne środki służące zapewnieniu spełnianiu wymogów (ust. 4).

Zgodnie z art. 24 ust. 5 DGA jeżeli uznana organizacja altruizmu danych nie spełnia co najmniej jednego wymogu określonego w rozdziale IV DGA, nawet po otrzymaniu od Prezesa UODO powiadomienia zgodnie z ust. 3, ta uznana organizacja altruizmu danych:

1. traci prawo do posługiwania się w swojej komunikacji pisemnej i ustnej oznakowaniem „uznana w Unii organizacja altruizmu danych”;
2. zostaje usunięta z odpowiedniego publicznego krajowego rejestru uznanych organizacji altruizmu danych oraz z publicznego unijnego rejestru uznanych organizacji altruizmu danych.

Art. 26 ust. 1 ustawy o zarządzaniu danymi przesądza, że Prezes UODO nakłada środek, o którym mowa w art. 24 ust. 5 DGA, w drodze decyzji administracyjnej. Ponieważ DGA nakłada na organ obowiązek podania informacji o powziętych środkach do wiadomości publicznej, ustawa o zarządzaniu danymi w tym zakresie nakłada na Prezesa UODO obowiązek udostępnienia informacji w Biuletynie Informacji Publicznej.

5. Skargi na dostawców usług pośrednictwa danych i uznane organizacje altruizmu danych

Na mocy art. 27 DGA osoby fizyczne i prawne mają prawo, w odniesieniu do każdej sprawy wchodzącej w zakres stosowania DGA, do wniesienia indywidualnej lub – w stosownym przypadkach – zbiorowej skargi do Prezesa UODO przeciwko dostawcy usług pośrednictwa danych lub przeciwko uznanej organizacji altruizmu danych (ust. 1). Prezes UODO informuje skarżącego o przebiegu postępowania i podjętej decyzji oraz środkach ochrony prawnej przed sądem (ust. 2).

Odpowiednio art. 22 i 27 ustawy o zarządzaniu danymi doprecyzowują, że Prezes UODO przekazuje skarżącemu informacje, o których mowa w art. 27 ust. 2 rozporządzenia 2022/868, nie później niż w terminie 3 miesięcy od dnia wpływu skargi przeciwko dostawcy usług pośrednictwa danych lub uznanej organizacji altruizmu danych. Jeżeli te informacje nie mogą zostać przekazane we wskazanym terminie, Prezes UODO ma obowiązek zawiadomić skarżącego o przyczynach opóźnienia oraz o terminie, w jakim przekaże informacje, nie dłuższym jednak niż 6 miesięcy od dnia wpływu skargi przeciwko dostawcy usług pośrednictwa danych lub uznanej organizacji altruizmu danych.

6. Przekazywanie danych nieosobowych do państw trzecich

Kompetencje Prezesa UODO związane z przekazywaniem danych nieosobowych do państw trzecich są węższe aniżeli te związane z usługami pośrednictwa danych czy organizacjami altruizmu danych. W przypadku naruszenia obowiązków związanych z przekazywaniem danych nieosobowych do państw trzecich Prezes UODO wszczyna postępowanie z urzędu lub na wniosek podmiotu sektora publicznego, który udzielił dostępu do celów ponownego wykorzystywania danych. Po przeprowadzeniu postępowania Prezes UODO w drodze decyzji stwierdza naruszenie obowiązków dotyczących danych nieosobowych do państw trzecich i nakłada administracyjną karę pieniężną lub umarza postępowanie. Ustawa o zarządzaniu danymi przyznaje Prezesowi UODO kompetencję do nakładania – w razie naruszenia jej przepisów dotyczących przekazywania danych nieosobowych do państw trzecich – administracyjnych kar pieniężnych.

7. Administracyjne kary pieniężne

7.1. Usługi pośrednictwa danych

Zgodnie z art. 29 ustawy o zarządzaniu danymi jeżeli dostawca usług pośrednictwa danych naruszył obowiązek dotyczący zgłoszenia, o którym mowa w art. 11 DGA, Prezes UODO może na niego nałożyć administracyjną karę pieniężną w wysokości do 200 000 zł. Z kolei za naruszenie warunków świadczenia usług pośrednictwa danych, określonych w art. 12 DGA, nałożona przez Prezesa UODO administracyjna kara pieniężna nie może być wyższa niż 2 000 000 zł.

7.2. Uznane organizacje altruizmu danych

Na podstawie art. 30 ustawy o zarządzaniu danymi w razie naruszenia przez uznaną organizację altruizmu danych warunków rejestracji, o których mowa w art. 18 lub art. 20–22 DGA (ogólne wymogi dotyczące rejestracji, wymogi przejrzystości, szczególne wymogi dotyczące zabezpieczenia praw i interesów osób, których dane dotyczą, oraz posiadaczy danych w odniesieniu do ich danych czy zbiór zasad), Prezes UODO może nałożyć na nią, w drodze decyzji, administracyjną karę pieniężną w wysokości do 20 000 zł.

7.3. Przekazywanie danych nieosobowych do państw trzecich

Art. 31 ustawy o zarządzaniu danymi przyznaje Prezesowi UODO kompetencję do nałożenia w drodze decyzji na ponownego użytkownika, któremu przyznano prawo do ponownego wykorzystywania na podstawie rozdziału II DGA, dostawcę usług pośrednictwa danych lub uznaną organizację altruizmu danych administracyjnej kary pieniężnej w wysokości do 2 000 000 zł za naruszenie obowiązków, o których mowa w art. 5 ust. 14 lub art. 31 DGA, dotyczących przekazywania danych nieosobowych do państw trzecich.

7.3.      Zasady nakładania przez Prezesa UODO administracyjnych kar pieniężnych

W myśl art. 32 ustawy o zarządzaniu danymi Prezes UODO przy nakładaniu administracyjnych kar pieniężnych kieruje się przesłankami określonymi w art. 34 ust. 2 DGA, czyli charakterem, wagą, skalą i czasem trwania naruszenia, działaniami podjętymi przez dostawcę usług pośrednictwa danych lub uznaną organizację altruizmu danych, żeby złagodzić lub naprawić szkodę spowodowaną naruszeniem, wcześniejszymi naruszeniami ze strony dostawcy usług pośrednictwa danych lub uznanej organizacji altruizmu danych, korzyściami majątkowymi uzyskanymi przez dostawcę usług pośrednictwa danych lub uznaną organizację altruizmu danych lub stratami, których uniknęli wskutek naruszenia, o ile takie korzyści lub straty można oszacować w wiarygodny sposób, innymi czynnikami obciążającymi lub łagodzącymi, mającymi zastosowanie w okolicznościach danej sprawy. Ponadto Prezes UODO jest obowiązany wziąć pod uwagę możliwości finansowe podmiotu podlegającemu karze. Należy dodać, że do określenia wymiaru administracyjnej kary pieniężnej nie znajdzie zastosowania art. 189d Kodeksu postępowania administracyjnego.

Na podstawie art. 33 ustawy o zarządzaniu danymi Prezes UODO jest uprawniony do żądania od podmiotów podlegających karze danych lub dokumentów niezbędnych do ustalenia administracyjnych kar pieniężnych. Taki podmiot ma na dostarczenie 30 dni od dnia otrzymania żądania. Jeżeli podmiot nie dostarczyłby danych lub dokumentów albo z danych lub dokumentów, które zostały dostarczone, nie da się ustalić administracyjnej kary pieniężnej, Prezes UODO może ustalić wysokość administracyjnej kary administracyjnej w sposób szacunkowy, uwzględniając przy tym wielkość podmiotu podlegającego karze, specyfikę prowadzonej przez niego działalności lub ogólnie dostępne dane finansowe tego podmiotu.

Art. 34 ustawy o zarządzaniu danymi przesądza, że wniesienie przez stronę skargi na decyzję Prezesa UODO o nałożeniu administracyjnej kary pieniężnej do sądu administracyjnego powoduje wstrzymanie wykonania tej decyzji.

Nałożoną przez Prezesa UODO administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu wniesienia skargi do sądu administracyjnego lub od dnia uprawomocnienia się orzeczenia sądu administracyjnego (art. 36 ustawy o zarządzaniu danymi). Środki z administracyjnych kar pieniężnych zasilają budżet państwa (art. 35 ustawy o zarządzaniu danymi).

---

1. Dz. Urz.  UE L 152 z 3.6.2022, s. 1–44. ↩︎
2. Dz. U. poz. 548 ↩︎
3. Art. 39 ustawy o zarządzaniu danymi ↩︎
4. Znalazło to odzwierciedlenie w nowym art. 34 ust. 2a ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781 oraz z 2026 r. poz. 252). ↩︎
5. Art. 19 ustawy o zarządzaniu danymi ↩︎
6. Art. 23 ustawy o zarządzaniu danymi ↩︎
7. Art. 28 ustawy o zarządzaniu danymi ↩︎
8. Dz. U. z 2025 r. poz. 1691 ↩︎