Ochrona Danych

UODO 2026: kompetencje, struktura, postępowania

UODO — Urząd Ochrony Danych Osobowych: kompetencje, organizacja, postępowania administracyjne, sankcje. Przewodnik 2026 dla administratorów.

Also available in:no·fi·et·Lietuvių

W jednym zdaniu. Urząd Ochrony Danych Osobowych jest jedynym polskim organem nadzorczym w rozumieniu art. 51 RODO, prowadzącym rocznie około 7 000 postępowań oraz wydającym ponad 100 decyzji administracyjnych z prawem do kar do 20 mln EUR.

Najważniejsze punkty

  • UODO powstał 25 maja 2018 r. zastępując GIODO.
  • Prezes UODO: Mirosław Wróblewski (od 2024 r.), kadencja 4-letnia.
  • Siedziba: ul. Stawki 2, 00-193 Warszawa.
  • Budżet roczny: ok. 60 mln zł, około 250 etatów.
  • Średnio 7 000 skarg rocznie, ok. 100 decyzji nakładających karę.
  • UODO współpracuje w EROD (Europejska Rada Ochrony Danych).

1. Status prawny i geneza

UODO został powołany ustawą z 10 maja 2018 r. o ochronie danych osobowych jako kontynuator GIODO (Generalnego Inspektora Ochrony Danych Osobowych). Jest centralnym organem administracji rządowej właściwym w sprawach ochrony danych osobowych, niezależnym od pozostałych władz publicznych zgodnie z art. 52 RODO.

2. Prezes UODO — wybór i kompetencje

Prezesa UODO powołuje Sejm większością bezwzględną za zgodą Senatu na 4-letnią kadencję, z możliwością jednokrotnego ponownego wyboru. Obecnym Prezesem jest Mirosław Wróblewski (od 23 kwietnia 2024 r.), poprzednikami byli Jan Nowak (2019-2024) oraz Edyta Bielak-Jomaa (2015-2019 jako GIODO, 2018 jako p.o.).

3. Struktura organizacyjna

Departament Zakres
Departament Orzecznictwa i Legislacji decyzje administracyjne
Departament Kontroli i Naruszeń kontrole, naruszenia 72h
Departament Skarg skargi obywateli
Departament Współpracy Międzynarodowej EROD, transfery, OSS
Departament Komunikacji edukacja, media
Biuro Prezesa obsługa administracyjna

4. Kompetencje wynikające z RODO

Zgodnie z art. 57 i 58 RODO Prezes UODO: rozpatruje skargi, prowadzi postępowania kontrolne, wydaje wytyczne i wzory, prowadzi rejestr IOD, uczestniczy w mechanizmie spójności (one-stop-shop), wydaje certyfikacje i akredytacje, nakłada administracyjne kary pieniężne, zatwierdza wiążące reguły korporacyjne (BCR).

5. Postępowanie kontrolne — przebieg

Kontrola UODO trwa do 30 dni roboczych z możliwością przedłużenia. Kontrolerzy okazują legitymację i upoważnienie, mają prawo wstępu do pomieszczeń, wglądu do dokumentów, kopiowania nośników, przesłuchiwania pracowników. Z kontroli sporządza się protokół, do którego administrator może wnieść zastrzeżenia w terminie 7 dni. Jak przygotować dokumentację przed kontrolą, opisujemy w przewodniku zgodności RODO 2026.

6. Postępowanie administracyjne w sprawie naruszenia

Po stwierdzeniu naruszenia UODO wszczyna postępowanie administracyjne (KPA + ustawa o ochronie danych osobowych). Strona ma prawo do złożenia wyjaśnień, dostępu do akt, ustnej rozprawy. Decyzja zawiera uzasadnienie faktyczne i prawne. Termin na odwołanie: 30 dni do Wojewódzkiego Sądu Administracyjnego w Warszawie.

7. Statystyki działalności UODO

Rok Skargi Decyzje karne Suma kar (PLN)
2019 6 200 9 3,4 mln
2020 6 400 23 1,8 mln
2021 7 100 47 4,1 mln
2022 7 500 89 12,3 mln
2023 7 800 104 9,7 mln
2024 7 900 112 11,2 mln
2025 8 100 124 14,5 mln

W ujęciu europejskim UODO plasuje się w środku stawki. Francuski CNIL w 2024 r. nałożył 87 mln EUR kar (w tym 50 mln EUR dla Google), hiszpańska AEPD — 24 mln EUR (lider liczbą decyzji w UE), brytyjski ICO (poza UE) — ok. 45 mln GBP, włoski Garante — 31 mln EUR. Polska aktywność enforcement rośnie szybciej niż średnia unijna (+29,5% YoY w sumie kar, wobec +18% w UE), co odzwierciedla dojrzewanie sektora compliance oraz zwiększoną liczbę naruszeń zgłaszanych przez administratorów (ponad 14 000 zgłoszeń art. 33 w 2025 r.).

8. Współpraca z innymi organami

UODO współpracuje z Komisją Nadzoru Finansowego (sektor bankowy), Urzędem Komunikacji Elektronicznej (cookies, telekomunikacja), Prezesem UOKiK (ochrona konsumentów), Najwyższą Izbą Kontroli (sektor publiczny), prokuratorą (przestępstwa z art. 107-108 ustawy). Wymiana informacji odbywa się na podstawie porozumień międzyinstytucjonalnych.

9. UODO w Europejskiej Radzie Ochrony Danych

Prezes UODO zasiada w EROD obok 26 innych organów nadzorczych UE oraz EIOD. Polska uczestniczyła w przyjmowaniu wytycznych dotyczących m.in. zgody (Guidelines 05/2020), oceny TIA (Recommendations 01/2020), procesorów (Guidelines 07/2020). Polski głos jest słyszalny zwłaszcza w kwestiach sektora publicznego.

10. Mechanizm one-stop-shop

W postępowaniach transgranicznych UODO może być wiodącym organem nadzorczym (LSA), gdy administrator ma w Polsce główną jednostkę organizacyjną. Może też być organem zainteresowanym (CSA), gdy postępowanie prowadzi inny organ unijny (np. Irlandzki DPC w sprawie Meta, francuski CNIL w sprawie Google).

11. Edukacja i komunikacja

UODO prowadzi szeroką działalność edukacyjną: corocznie publikuje sprawozdanie z działalności, wydaje wytyczne i FAQ, organizuje Dzień Ochrony Danych (28 stycznia), prowadzi kanały social media oraz program edukacyjny “Twoje dane — Twoja sprawa” w szkołach. Konsultacje publiczne dostępne są na uodo.gov.pl.

12. Jak złożyć skargę do UODO

Skargę można złożyć: pisemnie (ul. Stawki 2, 00-193 Warszawa), elektronicznie przez ePUAP lub formularz na uodo.gov.pl, ustnie do protokołu w siedzibie. Wymagane: oznaczenie skarżącego, opis naruszenia, dowody, ewentualne wcześniejsze próby kontaktu z administratorem. Postępowanie jest bezpłatne.

13. Najgłośniejsze decyzje UODO — szybki przegląd

Polskie enforcement zbudowane jest na kilku kluczowych precedensach. Morele.net (DKN.5130.2484.2019, 2,8 mln zł) — pierwsza duża sankcja za brak adekwatnych środków technicznych po wycieku 2,2 mln rekordów. Virgin Mobile Polska (DKN.5112.1.2020, 1,9 mln zł ≈ 487 tys. EUR) — brak procedur weryfikacji aktywacji kart SIM. Fortum Marketing (DKN.5131.31.2021, 4,9 mln zł ≈ 1,1 mln EUR) — rekord historyczny za naruszenie art. 28 RODO. ID Finance Poland (1,07 mln zł) — wyciek danych w wyniku ataku. ClickQuickNow (201 tys. zł ≈ 53 tys. EUR) — utrudnianie wycofania zgody. Każda z tych decyzji wyznacza standard interpretacji odpowiednich przepisów RODO. Zobacz pełne zestawienie kar UODO 2025.

14. Egzekucja UODO — procedura odwoławcza

Decyzja Prezesa UODO podlega zaskarżeniu do Wojewódzkiego Sądu Administracyjnego w Warszawie (ul. Jasna 2/4) w terminie 30 dni od doręczenia. Wniesienie skargi nie wstrzymuje wykonania — potrzebny jest osobny wniosek o wstrzymanie. WSA bada legalność decyzji, nie zaś jej merytoryczną zasadność. Od wyroku WSA przysługuje skarga kasacyjna do Naczelnego Sądu Administracyjnego (NSA, ul. Boduena 3/5). W 2025 r. 18% odwołań zakończyło się uchyleniem lub modyfikacją decyzji UODO, najczęściej z powodu błędów proceduralnych albo nieproporcjonalności kary względem art. 83 ust. 2 RODO. Średni czas rozpoznania sprawy przed WSA: 11-15 miesięcy. Patrz też RODO Art. 32 bezpieczeństwo.

15. Źródła urzędowe

FAQ

Czy mogę skontaktować się z UODO telefonicznie?

Tak. Infolinia: 606 950 000 (pn-pt 10:00-13:00). Konsultacje merytoryczne odbywają się również pisemnie i elektronicznie.

Ile trwa rozpatrzenie skargi przez UODO?

Średnio 8-14 miesięcy. KPA wskazuje termin 2 miesięcy z możliwością przedłużenia w sprawach skomplikowanych.

Czy decyzję UODO można zaskarżyć?

Tak. Skarga do WSA w Warszawie w terminie 30 dni od doręczenia decyzji. Następnie skarga kasacyjna do NSA.

Czy UODO udziela porad prawnych?

Nie. UODO publikuje wytyczne i FAQ, ale nie wydaje opinii prawnych w indywidualnych sprawach administratorów.

Kto nadzoruje samego UODO?

UODO jest niezależny, ale podlega kontroli Sejmu (sprawozdanie roczne), NIK (kontrola finansowa) i sądom administracyjnym (kontrola decyzji).

Czy UODO może nakładać kary na podmioty publiczne?

Co do zasady nie. Art. 102 ust. 1 ustawy z 10 maja 2018 r. wyłącza możliwość nakładania kar pieniężnych na organy publiczne, jednostki sektora finansów publicznych oraz instytuty badawcze. UODO stosuje wobec nich upomnienia (apercipowania) i nakazy doprowadzenia operacji do zgodności. Wyjątkiem są m.in. spółki publiczne i niektóre instytucje kultury. Precedensem są kary dla Głównego Geodety Kraju (100 tys. zł, 2020) i Burmistrza Aleksandrowa Kujawskiego (40 tys. zł, 2019).

Jak UODO współpracuje z innymi organami UE?

W ramach mechanizmu spójności (art. 60-67 RODO) UODO uczestniczy w postępowaniach OSS (one-stop-shop) jako organ wiodący lub zainteresowany. W 2025 r. UODO był LSA w 12 sprawach i CSA w 89 sprawach prowadzonych m.in. przez Irlandzki DPC (Meta, TikTok), francuski CNIL (Google) oraz włoski Garante (OpenAI). Komunikacja odbywa się przez system IMI (Internal Market Information). UODO zasiada również w EROD i uczestniczy w przyjmowaniu wytycznych.

Czy decyzje UODO są wiążące dla sądów cywilnych?

Nie. Decyzja UODO nie ma mocy prejudycjalnej w postępowaniu cywilnym (art. 79 RODO, art. 82 RODO), choć jest istotnym dowodem. Osoby poszkodowane mogą dochodzić odszkodowania niezależnie od decyzji UODO, a sąd cywilny dokonuje samodzielnej oceny naruszenia. TSUE w wyroku C-300/21 (Österreichische Post) potwierdził, że samo naruszenie RODO nie wystarcza — wymagana jest szkoda i związek przyczynowy.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →