8 stycznia 2026 r. Urząd Ochrony Danych Osobowych opublikował plan kontroli sektorowych na rok 2026. UODO zapowiada kontrole m.in. w obszarach, w których w ostatnim roku odnotowywano incydenty, a także tam, gdzie do Urzędu napływały skargi i zgłoszenia naruszeń.

Zakres kontroli sektorowych UODO na 2026 r.

Zgodnie z komunikatem UODO, plan kontroli sektorowych na 2026 r. obejmuje:

Co to oznacza w praktyce – obszary podwyższonego ryzyka

A. Podmioty lecznicze i monitoring wizyjny (szczególnie w obszarach pediatrycznych)

W sektorze medycznym, a w szczególności na oddziałach pediatrycznych, stosowanie monitoringu wizyjnego wiąże się z szeregiem istotnych wyzwań w kontekście ochrony danych osobowych. W celu zapewnienia zgodności z obowiązującymi regulacjami, kluczowe jest, by systemy monitoringu były wykorzystywane w sposób adekwatny i proporcjonalny względem zakładanych celów, z jasno określoną podstawą prawną. Szczególnej uwagi wymaga monitoring w miejscach wrażliwych, jak oddziały dziecięce czy poradnie, gdzie ochrona prywatności pacjentów – zwłaszcza osób małoletnich – powinna być traktowana priorytetowo. Istotne jest także precyzyjne zdefiniowanie zasad retencji nagrań oraz wdrożenie skutecznych mechanizmów kontroli dostępu do materiału wizyjnego, tak by dostęp do zapisów posiadały wyłącznie osoby uprawnione. Niezwykle ważna pozostaje również realizacja obowiązków informacyjnych – osoby objęte monitoringiem muszą być w sposób jasny i zrozumiały poinformowane o zakresie, celu oraz podstawach prawnych przetwarzania ich danych osobowych, a także o terminie przechowywania nagrań.

B. BIP – anonimizacja i publikacja treści (w tym przebiegu sesji rady gminy)

UODO może badać, czy w BIP nie są ujawniane dane nadmiarowe lub informacje pozwalające na identyfikację osób, mimo formalnej anonimizacji. Istotnym elementem kontroli będzie także sposób publikowania przebiegu sesji (nagrania, transmisje, transkrypcje), w tym ryzyko utrwalania i dalszego rozpowszechniania danych osób postronnych. W praktyce ryzyko dotyczy nie samego obowiązku prowadzenia BIP, lecz braku kontroli nad zakresem i czasem dostępności publikowanych treści, co może prowadzić do nieproporcjonalnego ujawnienia danych.

C. Marketing – podstawy prawne i zgodność kanałów komunikacji

W komunikacie UODO akcent pada na podstawy prawne marketingu. Kontrola w tym obszarze może oznaczać weryfikację czy dane osobowe są wykorzystywane do celów marketingowych na prawidłowej i rzeczywiście istniejącej podstawie prawnej oraz w zakresie adekwatnym do tego celu.Przetwarzanie danych osobowych w celach marketingowych powinno opierać się na jednej z dwóch podstaw prawnych przewidzianych przez RODO: zgodzie osoby, której dane dotyczą, lub prawnie uzasadnionym interesie administratora. W przypadku wyboru zgody kluczowe jest, by została ona uzyskana w sposób świadomy, dobrowolny i jednoznaczny, a osoba przekazująca dane powinna być poinformowana o zakresie i celu przetwarzania oraz o rodzaju kierowanych do niej komunikatów. Natomiast zastosowanie prawnie uzasadnionego interesu wymaga każdorazowo przeprowadzenia testu równowagi, aby ocenić, czy interesy administratora nie przeważają nad prawami osób, których dane dotyczą. Wybór podstawy prawnej nie jest dowolny – musi być adekwatny do rzeczywistego celu przetwarzania. UODO podczas kontroli może weryfikować zatem sposób pozyskania danych, treść klauzul informacyjnych oraz zgodność praktyk marketingowych z zadeklarowanymi celami, zwracając uwagę na prawidłowe spełnienie obowiązku informacyjnego.

D. Internetowe platformy dostaw – aplikacje i pośrednictwo

W praktyce kontrola UODO w przypadku platform dostaw będzie dotyczyć tego, jakie dane aplikacja faktycznie zbiera i w jakim celu. Organ może sprawdzać, czy platforma nie gromadzi danych „na zapas”, w szczególności danych lokalizacyjnych kurierów i użytkowników, oraz czy zakres śledzenia rzeczywiście jest potrzebny do realizacji dostawy. UODO może także przyjrzeć się temu, jak działają mechanizmy ocen, rankingów i przydzielania zleceń, jak długo dane są przechowywane oraz komu są przekazywane (np. operatorom płatności, dostawcom map, narzędziom analitycznym). Kluczowe będzie wykazanie, że organizacja ma kontrolę nad przepływem danych, jasno określiła role podmiotów i w przejrzysty sposób informuje użytkowników o tym, co dzieje się z ich danymi.

Dlaczego to ważne?

Mając na uwadze zakres zapowiedzianych kontroli sektorowych UODO na 2026 r., zasadne jest podjęcie działań o charakterze prewencyjnym, których celem będzie nie tylko formalne wykazanie zgodności z RODO, lecz także zapewnienie realnej realizacji zasady rozliczalności, o której mowa w art. 5 ust. 2 RODO. Plan kontroli sektorowych należy traktować jako sygnał priorytetów nadzorczych na 2026 r. i podstawę do działań prewencyjnych: uporządkowania dokumentacji, weryfikacji procesów wysokiego ryzyka oraz testu realnej skuteczności środków technicznych i organizacyjnych.

Nasza Kancelaria trzyma rękę na pulsie i na bieżąco monitoruje kwestie związane z ochroną danych osobowych. Zapraszamy do śledzenia bloga I L@W IT + RODO, na którym bliżej przyjrzymy się opisanym obszarom kontroli i wskażemy jakie działania przygotowawcze należy podjąć, aby kontrola przebiegła bez zarzutu.