Plan kontroli Prezesa UODO na ten rok zatwierdzony. Jakie firmy zostaną wzięte pod lupę Urzędu i na co muszą się przygotować?

18 stycznia Prezes Urzędu Ochrony Danych Osobowych zatwierdził plan kontroli sektorowych na 2023 rok. Co roku Prezes UODO wyznacza kilka sektorów, w których planuje przeprowadzić działania kontrolne np. z uwagi na dużą liczbę zgłoszeń naruszeń ochrony danych osobowych skierowanych do niego w odniesieniu do podmiotów z danej branży.

Jakie sektory będą kontrolowane?

W zatwierdzonym Planie Kontroli Prezes UODO wskazał na 3 główne grupy podmiotów, na których skupią się kontrole w tym roku:

  • Organy przetwarzające dane osobowe w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym – w szczególności Prezes UODO zamierza kontrolować przetwarzanie danych osobowych SIS/VIS1.
  • Podmioty przetwarzające dane osobowe przy użyciu aplikacji mobilnych – w szczególności Prezes UODO zamierza kontrolować sposób zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji.
  • Podmioty przetwarzające dane osobowe przy użyciu aplikacji internetowych (webowych) – w szczególności Prezes UODO zamierza kontrolować sposób zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji.

Zaplanowane kontrole wynikają z otrzymywanych przez UODO sygnałów, tj. m.in. skarg, zapytań i zgłoszeń naruszeń ochrony danych osobowych, wskazujących na potencjalne naruszenia przepisów o ochronie danych osobowych oraz dużego społecznego zainteresowania tego typu problemami w określonych w Planie Kontroli sektorach.

Kontrola Prezesa UODO i jej potencjalne skutki

Prezes UODO ma prawo monitorowania i egzekwowania stosowania przepisów RODO2, co obejmuje m. in. przeprowadzanie kontroli oraz wszczynanie postępowań.

Prezes UODO może m.in.: (i) prowadzić postępowania w formie audytów ochrony danych; (ii) uzyskać od administratora i podmiotu przetwarzającego dostęp do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań.

Prezes UODO może wszcząć kontrolę w ramach trzech trybów, tj. zgodnie z zatwierdzonym przez Prezesa UODO planem kontroli, na podstawie uzyskanych przez Prezesa UODO informacji lub w ramach monitorowania przestrzegania stosowania RODO3.

Kontrola podmiotu odbywa się na podstawie przepisów KPA oraz przepisów o ochronie danych osobowych. W przypadku, gdy kontrola przestrzegania przepisów wykaże nieprawidłowości, Prezes UODO może rozpocząć odrębne postępowanie w sprawie naruszenia przepisów o ochronie danych, które w wypadku jego negatywnych rezultatów może spowodować nałożenie na podmiot instrumentów naprawczych lub administracyjnych kar pieniężnych.

Organ nadzorczy dysponuje uprawnieniami do korzystania względem podmiotu, w którym wykrył nieprawidłowości instrumentów naprawczych4. Są to w szczególności:

  • wydawanie ostrzeżeń administratorowi danych lub podmiotowi przetwarzającemu, dotyczących możliwości naruszenia RODO poprzez planowane operacje przetwarzania;
  • udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu, w przypadku naruszenia RODO przez operacje przetwarzania;
  • nakazanie administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw jej przysługujących;
  • nakazanie administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do RODO, a w stosownych przypadkach wskazanie sposobu i terminu;
  • nakazanie administratorowi zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych;
  • wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania.

Druga grupa uprawnień Prezesa UODO5  to uprawnienia do nakładania administracyjnych kar pieniężnych na podmiot. Oba narzędzia (instrumenty naprawcze i kary pieniężne) mogą być stosowane łącznie.

RODO przewiduje dwie grupy kar pieniężnych:

  • do 10.000.000 EUR lub w wysokości do 2% całkowitego rocznego światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego;
  • do 20.000.000 EUR lub w wysokości do 4% całkowitego rocznego światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego.

Kontrola Prezesa UODO w podmiocie, w razie wykazania nieprawidłowości w przestrzeganiu przepisów dotyczących ochrony danych osobowych przez ten podmiot może zatem zakończyć się nałożeniem na podmiot instrumentu naprawczego lub kary pieniężnej.

Jak przedsiębiorstwa wskazane w Planie Kontroli powinny przygotować się do czynności UODO?

W związku z powyższym, podmioty funkcjonujące w ramach jednego z powyższych sektorów powinny być świadome wzrostu możliwości objęcia ich kontrolą Prezesa UODO w 2023 roku. Kontrola taka obejmować będzie zarówno zgodność przetwarzania danych osobowych w organizacji z obowiązującymi przepisami (przez identyfikację wdrożonych w podmiocie procedur), ale także faktyczną realizację tych procedur.

Kontrola Prezesa UODO nie musi jednak oznaczać negatywnych konsekwencji dla podmiotu kontrolowanego. Analiza i dostosowanie wewnętrznych procesów oraz dokumentacji dotyczącej przetwarzania danych osobowych wewnątrz i na zewnątrz organizacji do przepisów RODO może zminimalizować ryzyko nałożenia na podmiot kary wynikającej z naruszenia przepisów.

SSW prowadzi audyty firm, które pozwalają zidentyfikować braki w przestrzeganiu ochrony danych osobowych. Audyty  mają formę pozorowanej kontroli organu nadzorczego i pozwalają przygotować podmiot na pozytywne przejście ewentualnej rzeczywistej kontroli.


  1. na podstawie przepisów ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczpospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym (Dz. U. z 2021 r. poz. 1041), aktów wykonawczych oraz przepisów Unii Europejskiej
  2. Art. 57 RODO
  3. Art. 78 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych
  4. Art. 58 ust. 2 RODO
  5. Art. 83 RODO

Wróć do