Dwa lata kadencji UODO – w liczbach

W styczniu minęła połowa czteroletniej kadencji Mirosława Wróblewskiego jako Prezesa UODO. Z tej okazji, podczas przypadającego 28 stycznia 2026 r. Dnia Ochrony Danych Osobowych, Prezes Urzędu podsumował ostatnie dwa lata działalności UODO.

Na uwagę zasługuje przede wszystkim rosnąca z każdym rokiem liczba skarg. Podczas gdy w 2023 r. było ich prawie 7 tys., to w 2024 r. liczba ta przekroczyła 8 tys., a w zeszłym – sięgnęła niemal 13 tys. (patrz wykres 1). Przybywa także naruszeń zgłaszanych przez administratorów w tej kwestii, w 2025 r. wzrost był iście skokowy. O ile w dwóch wcześniejszych latach liczba ta oscylowała w okolicach 15 tys., to w minionym roku przekroczyła 22 tys.

Przyczyn tego stanu rzeczy jest wiele: po części odpowiada za to postępująca cyfryzacja gospodarki, co powoduje, że przetwarzanych jest coraz więcej danych, w tym osobowych. Nie bez znaczenia jest także wzrost świadomości zarówno wśród obywateli, jak i administratorów – do czego przyczynia się również działalność UODO. Zmiany w strukturze Urzędu wprowadzane od stycznia 2025 r. sprawiają zaś, że działa on sprawniej i może rozpatrywać więcej skarg i zgłoszeń. Statystyki wykazują, że rocznie UODO kończy postępowanie w odniesieniu do blisko 6 tys. spraw, z czego tylko ok. 1800 kończy się wydaniem decyzji administracyjnej. W 2024 r. udało się ich zakończyć o 5 proc. więcej niż w roku poprzednim.

SKARGI I NARUSZENIA ZGŁOSZONE DO UODO W LATACH 2023–2025

Rekordowe kary za bezprawne przetwarzanie danych

Rośnie także liczba kar pieniężnych nakładanych przez Prezesa UODO. W 2025 r. orzeczono ich 32 (dla porównania: w rok wcześniej było ich 27, a w 2023 r. – 31). Łącznie osiągnęły też rekordową wysokość 64 440 097,25 zł. Niewątpliwie do tego wyniku przyczyniła się kara w wysokości 27 mln nałożona na Pocztę Polską (oraz dodatkowo 100 tys. zł na Ministerstwo Cyfryzacji) za niezgodne z prawem przetwarzanie danych z rejestru PESEL przy nieudanej próbie zorganizowania wyborów prezydenckich w formie korespondencyjnej (tzw. wybory kopertowe).

W 2025 r. orzeczono też najwyższą do tej pory karę na przedsiębiorstwo prywatne w Polsce – wynoszącą 18,4 mln zł. Nałożona ona została na ING Bank za skanowanie dowodów osobistych bez weryfikacji, czy w danym przypadku jest to konieczne (także np. gdy chodziło o zgłoszenie usterki technicznej bankomatu). Organ nadzorczy stwierdził, że bank działał automatycznie, bez indywidualnej weryfikacji potrzeby zabezpieczenia się przed ryzykiem nielegalnych transakcji finansowych. Przepisy AML wymagają bowiem przeprowadzenia analizy dla każdego przypadku osobno – nie przewidują rutynowego kopiowania dokumentów wszystkich osób. Bank złamał fundamentalne reguły: legalności operacji na danych, ich ograniczania do niezbędnego minimum oraz określonego celu wykorzystania.

Nieco niższą karę orzeczono w 2025 r. wobec McDonald’s, za naruszenie przepisów dotyczących bezpieczeństwa danych. Sieć ta zleciła zewnętrznemu podmiotowi (świadczącemu usług PR) obsługę systemu planowania zmian – bez weryfikacji, czy firma ta posiada odpowiednie kompetencje i środki zabezpieczenia danych. W efekcie tysiące rekordów na temat zatrudnionych w tej sieci osób stały się publicznie dostępne – zawierały one dane pozwalające zidentyfikować pracowników.

Więcej wystąpień i opinii do aktów prawnych

Po niewielkim spadku w 2024 r. wzrosła także liczba decyzji wydanych przez Prezesa UODO (2023 r. – 1870; 2024 r. – 1719; 2025 r. – 2076). Podobnie sytuacja wygląda z zaopiniowanymi aktami prawnymi – w 2023 r. było ich 819; w 2024 r. – 779; a 2025 r. aż 962. Stale rośnie za to liczba kontrolowanych rocznie podmiotów – o ile w 2023 r. było ich 33, to w 2024 r. już 50, a w zeszłym – 56. Skokowo wzrosła liczba wystąpień UODO – z zaledwie 5 w 2023 r., przez 14 w roku następnym, do 54 w 2025.

Wystąpienia te są ważnym instrumentem w kształtowaniu i podnoszeniu poziomu ochrony danych osobowych. Zawierają one wnioski o zmianę obowiązujących regulacji lub wprowadzenie nowych przepisów dotyczących przetwarzania danych osobowych albo wskazują na konieczność zmodyfikowania praktyk stosowanych w podmiotach, do których są skierowane – tak, by były one zgodne z RODO. W 2025 r. najważniejsze wystąpienia dotyczyły: potrzeby stworzenia przepisów chroniących ludzi przed negatywnym wpływem deepfake’ów, przeprowadzenia przeglądu rejestrów publicznych, doprecyzowania przepisów dotyczących stosowania monitoringu wizyjnego w placówkach medycznych, udostępniania dokumentacji medycznej w celach naukowych, funkcjonowania Krajowego Systemu Informacyjnego Policji (KSIP), a także konieczności zmian przepisów prawa krajowego stosownie do treści wyroków TSUE.

Stała liczba decyzji Prezesa UODO podtrzymanych przez sądy administracyjne

Spada natomiast liczba wyroków zaskarżanych do NSA (2023 r. – 74; 2024 r. – 69; 2025 r. – 63). Jednocześnie w zeszłym roku sądy administracyjne utrzymały w mocy 183 decyzje Prezesa UODO – tyle samo, ile rok wcześniej. W 2025 r. wniesiono też do WSA 215 skarg na decyzje organu. To więcej niż w 2024 r. (171), ale nieco mniej niż w 2023 r. (236). Z najważniejszych orzeczeń sądowych minionego roku z pewnością należy wskazać wyrok dotyczący Morele.net, w którym WSA podtrzymał nałożenie na ten serwis kary za doprowadzenie do wycieku danych 2,2 mln osób (sprawę rozpatruje NSA). Z kolei ws. spółki ClickQuickNow sąd potwierdził, że Prezes UODO skutecznie egzekwuje bezwzględny skutek cofnięcia zgody na przetwarzanie danych.

Z kolei Naczelny Sąd Administracyjny przyznał organowi rację w sprawie spółdzielni mieszkaniowej, która wiadomości ws. rozliczeń z mieszkańcem kierowała także do jego pracodawcy – co stanowiło niezgodne z prawem przetwarzanie danych osobowych. Również w sprawie niedoszłych i byłych klientów banków NSA podzielił stanowisko Prezesa UODO, że przetwarzanie ich danych jest niedopuszczalne. Szeroki odzew medialny miało natomiast nałożenie na Meta Platforms zakazu przetwarzania danych prezesa InPost i jego małżonki do wyświetlania reklam (będących w rzeczywistości próbami wyłudzenia pieniędzy i danych). Mimo że właściciel Facebooka wniósł skargę, WSA odmówił wstrzymania wykonania decyzji Prezesa.

Więcej porozumień i zawiadomień o podejrzeniu przestępstwa

Znaczące wzrosty odnotowano także w kwestii zawiadomień o podejrzeniu popełnienia przestępstwa przy przetwarzaniu danych osobowych. O ile w ostatnich latach Prezes UODO prawie nie korzystał z tego narzędzia (tylko w 2024 r. złożono jedno takie zawiadomienie), to w minionym roku złożył ich 7. Podobnie sytuacja wygląda z porozumieniami o współpracy – o ile w 2024 r. zawarto tylko dwa (z Rzecznikiem Praw Dziecka i Ogólnopolską Federacją Stowarzyszeń Uniwersytetów Trzeciego Wieku), to w 2025 r. było ich aż 9 – i objęły one takie podmioty, jak: Ministerstwo Cyfryzacji, NRA, GIS, KIODO Polski Autokefaliczny Kościół Prawosławny, Fundacja Polskich Portów Lotniczych, Naczelna Izba Lekarska, RCL, Polskie Towarzystwo Legislacji); w tym jedno porozumienie ze szkołą wyższą (Akademia im. Jakuba z Paradyża).