Podsumowanie miesiąca – kwiecień 2026

Szanowni Państwo, w kwietniu Prezes UODO zyskał nowe kompetencje wynikające z unijnego rozporządzenia o zarządzaniu danymi, czyli DGA. Zgodnie z nimi Prezes UODO zajmuje się również sprawami pośrednictwa danych, rejestracją organizacji altruizmu danych oraz przekazywaniem danych nieosobowych do państw trzecich.

Kompetencje Prezesa UODO zmieni też procedowana w parlamencie ustawa o systemach sztucznej inteligencji. Przedstawiliśmy Sejmowi uwagi do projektu tej ustawy. Wykorzystanie danych przez systemy sztucznej inteligencji jest już jednak w zakresie naszych zainteresowań od dłuższego czasu. O naszych pracach w tym zakresie i zasadach związanych z ich wykorzystaniem mówiłem więc m.in. w kwietniu podczas Europejskiego Kongresu Gospodarczego w Katowicach (EEC – European Economic Congress).

Pragnę zwrócić Państwa uwagę, że wejście w życie nowelizacji ustawy o Krajowym Rejestrze Karnym w związku z wdrożeniem rozporządzenia (UE) 2019/816 również rozszerza zakres zadań Prezesa UODO  w kontekście uruchamianego systemu ECRIS-TCN (European Criminal Records Information System for Third Country Nationals). Jest to scentralizowany system informatyczny do wymiany informacji o wyrokach skazujących obywateli państw trzecich (spoza UE) oraz bezpaństwowców. Prezes UODO pełni w Polsce funkcję organu nadzorczego odpowiedzialnego za monitorowanie zgodności przetwarzania danych osobowych w ramach ECRIS.

Ważne orzeczenia

NSA potwierdził stanowisko Prezesa UODO, uznając, iż śmierć dłużnika nie oznacza, że jego spadkobiercy automatycznie stają się odpowiedzialnymi za te długi. Tym samym nie uprawnia to wierzycieli do pozyskiwania danych potencjalnych spadkobierców w celu windykacji zobowiązania.

Chciałbym też zwrócić Państwa uwagę na wydaną ostatnio decyzję o nałożeniu na wspólnotę mieszkaniową kary w wysokości 5 tys. zł za to, że nie zgłosiła ona do Prezesa UODO faktu naruszenia danych osobowych. Chodziło o to, że zawiadomienie o opłatach z danymi osobowymi trafiło do nieupoważnionej osoby. Wspólnota zbagatelizowała incydent tłumacząc, że dotyczył on tylko „jednego członka Wspólnoty”. Jednak skoro doszło do naruszenia danych, to istotny jest poziom  ryzyka dla osoby, której dane dotyczą. Incydentu nie trzeba zgłaszać do Prezesa UODO tylko wtedy, gdy można wykluczyć, że prawa i wolności osoby zostały naruszone. W tym przypadku tak nie było. Zgłaszanie incydentów jest tymczasem jednym z ważniejszych obowiązków administratorów danych osobowych. Pozwala bowiem m.in. minimalizować ryzyko naruszeń i ograniczać konsekwencje zdarzenia, do którego już doszło.

Stanowiska Prezesa UODO

W kwietniu wsparliśmy wprowadzenie obowiązkowej edukacji zdrowotnej w szkołach. Wskazałem, że obejmuje ona też edukację w zakresie bezpieczeństwa cyfrowego, a to wzmacnia ochronę prywatności i praw podstawowych dzieci. Pismo, które skierowałem do ministry edukacji narodowej, publikujemy na naszej stronie – zawiera ono nie tylko argumenty za taką edukacją, ale też przykłady, jak inne kraje rozwiązały ustawowo problem cyfrowej i medialnej edukacji w szkołach.

–Musimy pamiętać, że dzieci w internecie oddają swoje dane, i przez to tracą nad nimi kontrolę, a zatem także kontrolę nad własną prywatnością. A dane te mogą być wykorzystane w najróżniejszy sposób: od nadużyć finansowych po najcięższe przestępstwa o charakterze seksualny – mówiłem 20 kwietnia  w dyskusji New Education Forum 2026 „Dzieci w sieci. Jak możemy realnie wzmacniać bezpieczeństwo cyfrowe”.

Głos zabraliśmy również w sprawie zmian przepisów, które dotyczą zakresu przetwarzania danych przez policję i służby:

• ·Zwróciliśmy m.in. uwagę, że projekt incydentalnej ustawy o organizowaniu w 2027 roku „XXVI Światowego Jamboree Skautowego w Polsce” zakłada wprowadzenie instytucji „police screening’u” dla wszystkich wydarzeń o statusie wydarzenia specjalnego. Jego organizator (nawet firma prywatna) mógłby wnieść o screening uczestników, a osoby te nie wiedziałyby nawet, że pozostają w zainteresowaniu policji lub służb. Zarówno forma, w jakiej ta zmiana jest wprowadzana, jak i jej zakres budzą poważne wątpliwości.
• ·Zwróciliśmy także MSWiA uwagę, że przepisy polskiej ustawy wdrażającej tzw. unijną dyrektywę policyjną wymagają zmian legislacyjnych. W obecnym kształcie ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości nie zapewnia pełnych gwarancji ochrony praw osób, których dane są przetwarzane. Wprowadzono bowiem do niej m.in. liczne wyłączenia.

Wskazaliśmy też, że przepisy dotyczące przetwarzania danych osobowych w procedurze budżetu obywatelskiego wymagają poważnych zmian. Chodzi o to z jednej strony, by samorządy organizujące konsultacje społeczne nie domagały się od uczestniczących w nich niepotrzebnych danych. Należałoby również rozważyć wprowadzenie przepisów dotyczących elektronicznego głosowania, gwarantujących bezpieczeństwo stosowania instytucji budżetu obywatelskiego.

Rozmowy o danych osobowych

Jak zwykle sporo czasu poświęciliśmy na działalność edukacyjną i wspieranie wiedzy o ochronie prywatności.

• ·2 kwietnia 2026 r. w siedzibie UODO w Warszawie spotkaliśmy się ze społecznością Uniwersytetu im. Adama Mickiewicza w Poznaniu.
• ·9 kwietnia zorganizowaliśmy webinarium „Analiza ryzyka w sposób zgodny z zasadą rozliczalności”. Nagranie z niego dostępne jest na naszej stronie.
• ·10 kwietnia w warszawskiej siedzibie Polskiej Agencji Prasowej debatowałem o danych w systemie ochrony zdrowia przy okazji premiery raportu „Mapa źródeł danych medycznych w Polsce”.
• ·13 kwietnia w Rzeszowie eksperci UODO ponownie dyżurowali w punkcie konsultacyjnym.
• ·14 kwietnia na Europejskim Szczycie e-Commerce przedstawiłem uwagi dotyczące ochrony danych osobowych w kontekście handlu elektronicznego.
• ·Z przedstawicielami Polskiej Rady Psychoterapii rozmawialiśmy na temat kodeksu postępowania przy przetwarzaniu danych osobowych w związku ze świadczeniem pomocy psychoterapeutycznej oraz o możliwościach opracowania kodeksu postępowania dla tej branży.
• ·17 kwietnia wraz z Urzędem Zamówień Publicznych zorganizowaliśmy konferencję „Projektowanie ochrony danych w zamówieniach publicznych”.
• ·20 kwietnia we współpracy z Kościelnym Inspektorem Ochrony Danych zorganizowaliśmy szkolenie dla kościelnych inspektorów ochrony danych, księży, zakonnic i pracowników oraz wolontariuszy jednostek organizacyjnych Kościoła katolickiego.
• ·Także 20 kwietnia przedstawiciele IAB Polska oraz IAB TECH LAB przedstawili w siedzibie UODO opracowany przez branżę reklamy internetowej nowy mechanizm postępowania z żądaniami usunięcia danych (Data Deletion Request Framework, DDRF). Ma to być mechanizm o charakterze globalnym, który będzie można wykorzystywać w różnych systemach prawnych.
• ·28 kwietnia spotkałem się z prezesem Naczelnej Rady Lekarskiej. Rozmawialiśmy o tajemnicy lekarskiej oraz potrzebie zmian legislacyjnych, które pozwolą skutecznie chronić wrażliwe dane pacjentów.
• ·29 kwietnia wziąłem udział w panelu „Europejska konkurencyjność innowacyjna w świetle regulacji danych i AI” („European Innovation Competitiveness under Data and AI Regulation”), w ramach projektu naukowego BRIDGE 2026 (Bilateral Research Initiative on Data and the Governance of Emerging Technologies).

Warto wiedzieć:

Już po raz czternasty Prezes UODO zaprasza studentów kierunków prawa i administracji III–V roku studiów jednolitych oraz I–III roku studiów drugiego stopnia do udziału w konkursie na esej „Korzystanie z treści deepfake jako forma przetwarzania danych osobowych”. Organizatorami konkursu jest UODO oraz Krajowa Izba Radców Prawnych. Partnerem merytorycznym konkursu jest kancelaria Kobylańska Lewoszewski Mednis sp. j.

Zapraszamy, szczegóły znajdą Państwo na naszej stronie.