Zmiana priorytetów organu nadzorczego rzadko bywa przypadkowa. Gdy Prezes UODO publikuje plan kontroli sektorowych, w praktyce wysyła do rynku jasny sygnał: w tych obszarach w ostatnich miesiącach „coś nie działało” – były incydenty, były skargi, były powtarzające się błędy w stosowaniu przepisów – i właśnie tam w 2026 roku uruchomiona zostanie realna, operacyjna weryfikacja zgodności z RODO. W styczniu 2026 roku UODO wskazał pięć sektorów, które będą kontrolowane w trybie sektorowym, z wyraźnym akcentem na bezpieczeństwo danych oraz praktykę przetwarzania danych w środowiskach masowych i wrażliwych.

Z punktu widzenia compliance warto spojrzeć na ten plan nie jak na „listę potencjalnych kłopotów”, lecz jak na mapę ryzyk, które da się ograniczyć – pod warunkiem, że przygotowania rozpoczną się zanim pojawi się pierwsze pismo, a zespół IT, prawny, HR i operacyjny zaczną działać wspólnie, a nie równolegle.

Co dokładnie obejmuje plan kontroli UODO na 2026 roku?

UODO wskazał następujące obszary kontroli sektorowych na 2026 rok:

1. organy, które przetwarzają dane osobowe w Wielkoskalowych Systemach Unii Europejskiej, w tym przetwarzanie danych osobowych SIS/VIS na podstawie przepisów ustawy z dnia 24 sierpnia 2007 roku o udziale Rzeczpospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie, aktów wykonawczych oraz przepisów Unii Europejskiej, co będzie stanowiło kontynuację kontroli z 2025 roku;

2. podmioty lecznicze – przetwarzanie danych osobowych przy wykorzystaniu monitoringu wizyjnego, w szczególności dotyczących dzieci, w tym w ramach szpitalnych oddziałów dziecięcych, przychodni i/lub poradni dla dzieci;

3. podmioty prowadzące Biuletyn Informacji Publicznej – sposób przetwarzania danych osobowych w związku z realizacją obowiązku prowadzenia BIP, w szczególności w zakresie anonimizacji danych oraz udostępniania przebiegu sesji rad gminy;

4. podmioty marketingowe – w szczególności w zakresie podstaw prawnych przetwarzania danych osobowych w celach marketingowych;

5. internetowe platformy dostaw – przetwarzanie danych osobowych w związku ze świadczeniem usług pośrednictwa w sprzedaży towarów i usług za pomocą aplikacji internetowych.

UODO podkreśla przy tym, że do planu trafiają te sektory, w których odnotowano incydenty oraz te, które z uwagi na skargi i zgłaszane naruszenia, zostały uznane za szczególnie problematyczne. Jest to przemyślana selekcja, której intencje są jak najbardziej uzasadnione.

Warto też odnotować, że komponent SIS/VIS to kontynuacja kierunku z 2025 roku, kiedy systemy wielkoskalowe UE również znalazły się w planie kontroli sektorowych.

Na co kontrolerzy będą zwracać uwagę?

W praktyce kontrole sektorowe rzadko kończą się na sprawdzeniu jednego dokumentu. To raczej test spójności całego systemu ochrony danych: czy organizacja potrafi udowodnić zgodność (rozliczalność), czy ma procesy adekwatne do ryzyka, czy „zabezpieczenia na papierze” mają odpowiedniki w systemach, upoważnieniach i praktyce dnia codziennego.

Najczęściej w centrum zainteresowania pojawiają się:

• legalność i przejrzystość przetwarzania (podstawa prawna, obowiązek informacyjny, brak „domyślnej zgody”);

• minimalizacja i adekwatność (czy zakres danych i czas przechowywania są faktycznie niezbędne);

• bezpieczeństwo (art. 32 RODO) rozumiane jako zestaw realnych kontroli: dostępów, logów, szyfrowania, segmentacji, kopii zapasowych, testów;

• zarządzanie incydentami i naruszeniami (procedury, rejestry, czas reakcji, wnioski naprawcze);

• relacje z dostawcami (umowy powierzenia, transfery, łańcuch podwykonawców, audytowalność).

Plan na 2026 roku sugeruje, że UODO będzie szczególnie wrażliwy na dwa typy sytuacji: po pierwsze, przetwarzanie danych w kontekstach „wrażliwych” (dzieci, zdrowie, sfera publiczna), po drugie, przetwarzanie masowe i platformowe, gdzie łatwo o utratę kontroli nad cyklem życia danych.

Monitoring wizyjny w podmiotach leczniczych: bezpieczeństwo pacjentów kontra prywatność 

W sektorze ochrony zdrowia monitoring wizyjny jest jednym z najbardziej konfliktogennych narzędzi: z jednej strony ma realnie zwiększać bezpieczeństwo, z drugiej zaś działa permanentnie i może obejmować sytuacje szczególnie intymne, w których prywatność pacjenta powinna być standardem, nie wyjątkiem.

W kontekście polskiego porządku prawnego kluczowe jest to, że monitoring wizyjny w placówkach leczniczych został uregulowany w art. 23a ustawy o działalności leczniczej, a samo UODO od lat sygnalizuje problemy interpretacyjne i ryzyka związane z nadmiernym lub źle ukształtowanym monitoringiem – zwłaszcza w pomieszczeniach, gdzie udzielane są świadczenia zdrowotne.

W planie kontroli na 2026 roku UODO wprost wskazuje monitoring w podmiotach leczniczych, „w szczególności dotyczący dzieci”, w tym na oddziałach dziecięcych i w poradniach. To istotne, bo dzieci są kategorią osób wymagającą podwyższonej ochrony, nie tylko w warstwie komunikacyjnej, ale przede wszystkim w warstwie projektowania procesu: cel → zakres → dostęp → retencja → techniczne ograniczenia, w tym nawet ustawienie kamer i wyłączenie newralgicznych stref.

Najczęściej kwestionowane weryfikowane jest:

• czy monitoring jest rzeczywiście niezbędny do konkretnego celu i czy nie istnieją środki mniej inwazyjne,

• czy w regulaminie organizacyjnym placówki prawidłowo opisano zasady monitoringu oraz obszary objęte obserwacją,

• kto ma dostęp do obrazu/nagrań, jak nadawane są uprawnienia i czy istnieją ślady audytowe,

• jak wygląda retencja i niszczenie nagrań (czy rzeczywiście działa automatyczne usuwanie, czy to tylko zapis w polityce),

• czy pacjenci/opiekunowie otrzymują jasną informację o monitoringu i ich prawach, a personel jest przeszkolony.

UODO sygnalizował także szerszy problem: sama konstrukcja przepisów może prowadzić do „zbyt szerokich” interpretacji, a monitoring powinien być wdrażany wyłącznie wtedy, gdy jest konieczny, a cel uzasadnia obserwację. W 2026 roku to właśnie praktyka „konieczności” i „proporcjonalności” może być weryfikowana najbardziej bezpośrednio.

BIP pod lupą: anonimizacja, jawność i nagrania z sesji – test dojrzałości procesów

Trzeci obszar kontroli sektorowych dotyczy podmiotów prowadzących Biuletyn Informacji Publicznej, a UODO akcentuje wprost dwa wątki: anonimizację oraz udostępnianie przebiegu sesji rad gminy.

To punkt styku dwóch porządków: prawa do informacji publicznej i ochrony danych. W praktyce problemy nie biorą się z samej idei jawności, tylko z braku procesu, który ustala zasady anonimizacji, weryfikuje dokument przed publikacją, definiuje wyjątki i kanały publikacji, a także kontroluje to, co dzieje się z materiałem po publikacji (np. żądania usunięcia czy ograniczenia dostępu do określonych danych w nagraniu).

UODO w swoich materiałach dotyczących transmisji i nagrywania obrad organów Jednostek Samorządu Terytorialnego podkreśla m.in., że nagrania obrad są publikowane w BIP i na stronie internetowej JST, a publikowanie „w innych miejscach” powinno następować tylko wtedy, gdy administrator ma pełną kontrolę nad danymi i może realizować obowiązki z RODO. W kontekście kontroli oznacza to, że publikowanie nagrania na zewnętrzną platformę  może zostać skonfrontowane z pytaniem o realną kontrolę nad cyklem życia danych.

Słabe punkty, które mogą zostać ujawnione w wyniku kontroli:

• anonimizacja wykonywana ad hoc, bez standardu i bez weryfikacji,

• brak rozróżnienia danych, które muszą pozostać jawne, od danych, które powinny być zanonimizowane,

• publikacja materiałów wideo bez przemyślenia scenariuszy „wrażliwych” (np. wypowiedzi mieszkańców),

• brak mechanizmu reakcji na wnioski o realizację praw - w szczególności, gdy nagranie jest elementem „utrwalenia” przebiegu sesji, ale zawiera dane nadmiarowe.

Podmioty marketingowe: weryfikacja podstaw prawnych 

Czwarty obszar planu to podmioty marketingowe, w szczególności w zakresie podstaw prawnych przetwarzania danych do celów marketingowych. To zapowiedź kontroli, które mogą dotknąć nie tylko klasycznych agencji, ale również firmy prowadzące intensywny marketing wewnętrznie: e-commerce, usługi abonamentowe, telemarketing, lead generation B2B, CRM-y, automatyzacje i profilowanie.

W 2026 roku nie da się rozmawiać o podstawach prawnych w marketingu, pomijając reżim komunikacji elektronicznej. Po wejściu w życie Prawa komunikacji elektronicznej, kluczowy stał się m.in. art. 398 PKE, który wprost buduje model zgody przed użyciem urządzeń końcowych oraz automatycznych systemów wywołujących do marketingu bezpośredniego.

Co to oznacza w praktyce kontroli?

UODO może weryfikować nie tylko samą podstawę z art. 6 RODO, ale całą architekturę pozyskania i zarządzania zgodami:

• czy zgody są konkretne, rozdzielone kanałowo i możliwe do udowodnienia,

• czy mechanizmy rezygnacji (unsubscribe/opt-out) działają zgodnie z wymogami w każdym kanale,

• czy „uzasadniony interes” nie jest używany jako uniwersalne alibi dla działań, które w rzeczywistości wymagają zgody na gruncie przepisów sektorowych,

• czy profilowanie i segmentacja mają odpowiednie podstawy i są transparentnie opisane.

Dla organizacji marketingowych to dobry moment, by przeprowadzić test całego łańcucha: od źródła danych, przez integracje CRM i marketing automation, po komunikację i zgody, włącznie z relacjami z podwykonawcami.

Internetowe platformy dostaw: dane masowe, geolokalizacja i ryzyko utraty kontroli nad ekosystemem

Piąty obszar planu to internetowe platformy dostaw, czyli przetwarzanie danych w związku ze świadczeniem usług pośrednictwa w sprzedaży towarów i usług za pomocą aplikacji internetowych. 

To sektor, w którym dane są przetwarzane „w ruchu” i „w czasie rzeczywistym”, m. in. użytkownicy, restauracje, sklepy, kurierzy, płatności, lokalizacja, oceny, wsparcie klienta. W takich modelach niebezpieczeństwo najczęściej polega na tym, że organizacja ma świetnie rozwinięty produkt, ale nie ma równie dojrzałego modelu opieki nad danymi osobowymi. Zdarza się, że w firmie nie wiadomo nawet, kto jest administratorem czego, kto jest podmiotem przetwarzającym, jak wygląda łańcuch dostawców, gdzie trafiają logi, jak długo żyją dane lokalizacyjne i jak są zabezpieczone.

Kontrola może więc zejść na poziom techniczny i operacyjny: retencja geolokalizacji, dostęp pracowników do danych kurierów i klientów, separacja środowisk, logowanie dostępu, zarządzanie incydentami, a także to, czy komunikacja w aplikacji odpowiada temu, co faktycznie dzieje się w systemach.

SIS/VIS i wielkoskalowe systemy UE: kontynuacja kontroli i nacisk na systemy o najwyższej wrażliwości

W planie 2026 rok UODO utrzymuje kontrolę organów przetwarzających dane w wielkoskalowych systemach UE, w tym SIS/VIS, jako kontynuację działań z 2025 roku To sygnał, że temat nie został zamknięty, a organ nadzorczy widzi potrzebę dalszej weryfikacji zgodności w środowiskach, gdzie skala i wrażliwość danych są najwyższe, a dostęp do systemów wymaga rygorystycznego reżimu uprawnień, kontroli i audytu.

Konsekwencje: nie tylko kara, ale obowiązek przebudowy procesów

Ryzyko kontroli to nie tylko perspektywa administracyjnej kary pieniężnej. W praktyce równie dotkliwe bywają: nakazy dostosowania, ograniczenia przetwarzania, konieczność przebudowy systemów, „zamrożenie” kampanii marketingowych, a w sektorze publicznym – presja opinii publicznej związana z naruszeniem zaufania. 

Warto pamiętać, że polskie przepisy przewidują ustawowe ograniczenia wysokości kar dla niektórych podmiotów publicznych, ale ograniczenie kwoty nie eliminuje ryzyka decyzji i obowiązków naprawczych.

Plan kontroli sektorowych UODO na 2026 rok jest czytelny: organ nadzorczy zajrzy do tych organizacji, w których przetwarzanie jest albo szczególnie wrażliwe (dzieci, zdrowie, sfera publiczna), albo szczególnie masowe i platformowe (marketing, aplikacje pośredniczące), albo szczególnie krytyczne systemowo (SIS/VIS). 

Dobra wiadomość jest taka, że większość ryzyk da się zredukować bez rewolucji, pod warunkiem, że organizacja przestanie traktować zgodność jak zestaw dokumentów, a zacznie jak system, który ma rzeczywiście działać i respektować obowiązujące przepisy prawa. Zła wiadomość: jeżeli ten system nie działa, kontrola sektorowa jest jednym z najszybszych sposobów, by to wyszło na jaw.

Artykuł przygotowała Alicja Christensen, prawnik ecommerce.legal