Rok 2026 przynosi istotne zmiany w krajobrazie ochrony danych osobowych. Nowe wytyczne PUODO, wejście w życie AI Act i kolejne decyzje o adekwatności transferu danych wymagają od przedsiębiorców aktualizacji procedur compliance. W tym artykule podsumowuję najważniejsze zmiany i przekazuję praktyczne wskazówki, jak się do nich przygotować.

Najważniejsze zmiany w RODO w 2026 roku

Choć samo rozporządzenie RODO nie uległo nowelizacji, otoczenie regulacyjne zmieniło się znacząco. Kluczowe wydarzenia to:

  • Znowelizowana ustawa o ochronie danych osobowych (wejście w życie: styczeń 2026), która doprecyzowuje zasady współadministrowania danymi i obowiązki podmiotów przetwarzających
  • Wytyczne EDPB 01/2025 dotyczące przetwarzania danych w kontekście systemów AI, przyjete w grudniu 2025
  • Nowe standardowe klauzule umowne (SCC) dla transferów do państw trzecich, obowiązujące od marca 2026
  • Pełne stosowanie AI Act od lutego 2025, z rokiem przejściowym na dostosowanie procedur DPIA

Każda z tych zmian ma bezpośredni wpływ na obowiązki administratorów danych. Przyjrzyjmy się im szczegółowo.

Nowe wytyczne PUODO dot. zgód marketingowych

PUODO opublikował w styczniu 2026 zaktualizowane wytyczne dotyczące pozyskiwania i zarządzania zgodami marketingowymi. To odpowiedź na rosnącą liczbę skarg i niejednolite praktyki rynkowe.

Kluczowe zmiany:

  • Zakaz łączenia zgód (bundling consent) w formularzach online. Każdy cel przetwarzania wymaga odrębnego checkboxa
  • Obowiązek granularności kanałów. Zgoda na e-mail marketing to nie zgoda na SMS. Każdy kanał komunikacji wymaga osobnej zgody
  • Nowy standard informacyjny. Klauzula informacyjna musi być „zrozumiała dla przeciętnego odbiorcy”, co PUODO interpretuje jako wymog poziomu czytelności Flesch-Kincaid poniżej 12 (analogia do języka angielskiego)
  • Mechanizm wycofania zgody musi być równie prosty jak jej udzielenie. Jeden klik w stopce maila to minimum
W praktyce oznacza to, że większość formularzy zapisu na newsletter wymaga przebudowy. Typowy formularz z jednym checkboxem „zgadzam się na przetwarzanie danych w celach marketingowych” już nie wystarczy.

Transgraniczny transfer danych po decyzji adequacy

Komisja Europejska wydała w 2025 roku nowe decyzje o adekwatności dla kilku państw, co upraszcza transfery danych do tych krajów. Jednocześnie wyrok TSUE w sprawie C-311/21 („Schrems III”) wprowadził dodatkowe wymogi dla transferów opartych na SCC.

Co to oznacza w praktyce:

  • Transfery do USA nadal opierają się na EU-US Data Privacy Framework (DPF). Sprawdź, czy Twój dostawca jest certyfikowany na liście DPF
  • Nowe SCC (obowiązkowe od marca 2026) wymagają aktualizacji wszystkich umów powierzenia z podmiotami spoza EOG
  • Transfer Impact Assessment (TIA) musi uwzględniać nowe kryteria oceny systemu prawnego państwa odbiorcy, w tym dostęp służb specjalnych do danych
  • Wielka Brytania po Brexicie zachowuje status adekwatności, ale decyzja wymaga odnowienia w 2026 roku

Potrzebujesz audytu RODO? Sprawdź, czy Twoja organizacja spełnia nowe wymogi. Przeprowadziliśmy ponad 200 audytów compliance.

Umów audyt RODO

AI Act a RODO, gdzie się nakładają obowiązki

Pełne stosowanie AI Act od lutego 2025 (z rocznym okresem przejściowym na wdrożenie) stworzyło nowy obszar regulacyjny, który w wielu miejscach krzyżuje się z RODO. Dla administratorów danych oznacza to kumulację obowiązków.

Kluczowe obszary nakładania się:

  • DPIA (Data Protection Impact Assessment) jest wymagane zarówno przez RODO (art. 35), jak i AI Act dla systemów AI wysokiego ryzyka. EDPB rekomenduje połączenie obu ocen w jeden dokument
  • Przejrzystość algorytmów. RODO wymaga informowania o zautomatyzowanym podejmowaniu decyzji (art. 22). AI Act rozszerza ten obowiązek o wyjaśnialność działania systemu
  • Prawo do sprzeciwu wobec profilowania (art. 21 RODO) musi być pogodzone z wymogami AI Act dotyczącymi nadzoru ludzkiego
  • Minimalizacja danych (art. 5 RODO) vs potrzeba dużych zbiorów danych treningowych. Tu pojawia się najwięcej pytań od naszych klientów

Organizacje, które wdrażają systemy AI (nawet proste chatboty czy narzędzia rekomendacji), muszą zakończyć ocenę zgodności z AI Act do lutego 2026.

Kary PUODO w 2025: analiza trendów

Rok 2025 był rekordowy pod względem kar nakładanych przez PUODO. Łączna kwota nałożonych kar przekroczyła 45 mln zł, co stanowi wzrost o 60% względem 2024 roku.

Najczęstsze podstawy kar:

  1. Brak wdrożenia odpowiednich środków technicznych (art. 32 RODO), 38% kar. Największa kara: 4,9 mln zł za brak szyfrowania bazy danych klientów
  2. Naruszenie obowiązku notyfikacji (art. 33 RODO), 24% kar. Firmy nadal zgłaszają incydenty po terminie 72h lub nie zgłaszają wcale
  3. Brak podstawy prawnej przetwarzania (art. 6 RODO), 18% kar. Dotyczy głównie marketingu bezpośredniego i profilowania bez zgody
  4. Niedostateczna realizacja praw osób (art. 15–22 RODO), 12% kar. Najczęściej: opie opieśzała obsługa żądań dostępu i usunięcia
  5. Pozostałe naruszenia, 8% kar
Trend jest jednoznaczny: PUODO nakłada coraz wyższe kary i coraz częściej kontroluje z urzędu. Organizacje, które traktują RODO jako formalność, narażają się na realne konsekwencje finansowe.

Praktyczna checklista compliance na 2026

Na podstawie naszego doświadczenia z ponad 200 audytów przygotowałam praktyczną checklistę, która pomoże Ci zweryfikować zgodność z aktualnymi wymogami.

Checklista RODO na 2026

  • Rejestr czynności przetwarzania (RCP) zaktualizowany o nowe procesy i systemy AI
  • Klauzule informacyjne dostosowane do nowych wytycznych PUODO (granularność, czytelność)
  • Formularze zgód marketingowych przebudowane (osobne checkboxy per kanał)
  • Umowy powierzenia z procesorami spoza EOG zaktualizowane o nowe SCC
  • Transfer Impact Assessment (TIA) przeprowadzony dla każdego transferu do państwa trzeciego
  • DPIA dla systemów AI (połączone z oceną AI Act, jeśli dotyczy)
  • Procedura obsługi incydentów przetestowana (symulacja naruszenia)
  • Procedura realizacji praw osób sprawdzona (średni czas odpowiedzi poniżej 30 dni)
  • Szkolenie zespołu z nowych wymogów przeprowadzone (dokumentacja szkoleń)
  • Polityka retencji danych zweryfikowana i wdrożona (automatyczne usuwanie danych)
  • Certyfikaty dostawców cloud/SaaS sprawdzone (ISO 27001, SOC 2, DPF)
  • DPO (IOD) poinformowany o zmianach i zaangażowany w proces aktualizacji

Podsumowanie

RODO w 2026 roku to nie rewolucja, ale ewolucja. Zmiany są stopniowe, lecz kumulatywne. Organizacje, które zaniedbują bieżącą aktualizację procedur, nagle odkrywają, że dystans do zgodności jest ogromny.

Trzy priorytety na teraz:

  1. Zaktualizuj formularze zgód i klauzule informacyjne (nowe wytyczne PUODO)
  2. Sprawdź umowy z dostawcami spoza EOG (nowe SCC, TIA)
  3. Przeprowadź DPIA dla systemów AI (połącz z oceną AI Act)

Jeśli potrzebujesz wsparcia przy aktualizacji procedur, umów bezpłatną konsultację. Przejrzymy Twój aktualny stan compliance i wskażemy priorytety.

mec. Aleksandra Witkowska
mec. Aleksandra Witkowska
Senior Associate • Compliance

Specjalistka prawa ochrony danych osobowych i compliance. Certyfikowany DPO. Przeprowadziła ponad 200 audytów RODO. Absolwentka WPiA UJ i SWPS.