UODO 2025-2026: WSA uchyla 27 mln kare Poczcie Polskiej, NSA wspiera UODO ws. Santandera

Najważniejsze fakty

• Wojewódzki Sąd Administracyjny w Warszawie uchylił decyzję Prezesa UODO o karze 27 mln zł dla Poczty Polskiej w sprawie przetwarzania danych 30 mln obywateli
• 64,4 mln zł to łączna kwota kar nałożonych przez UODO w 2025 roku – wzrost pięciokrotny rok do roku
• 32 kary administracyjne nałożono w 2025 roku na 18 różnych podmiotów
• Naczelny Sąd Administracyjny podtrzymał 6 marca 2026 roku stanowisko UODO w sprawie Santander Bank Polska, oddalając skargę kasacyjną
• 12 986 skarg wpłynęło do UODO w 2025 roku – wzrost o 61% w porównaniu do roku poprzedniego
• 22 435 zgłoszeń naruszeń odnotowano w 2025 roku, co oznacza wzrost o 51% rok do roku
• Rozstrzygnięcie w sprawie Poczty Polskiej jest nieprawomocne – UODO może złożyć odwołanie do NSA

WSA uchyla rekordową karę dla Poczty Polskiej

Wojewódzki Sąd Administracyjny w Warszawie uchylił w lutym lub marcu 2026 roku decyzję Prezesa Urzędu Ochrony Danych Osobowych o nałożeniu kary w wysokości 27 mln zł na Pocztę Polską. Sprawa dotyczyła przetwarzania danych osobowych 30 mln obywateli Polski w kontekście organizacji wyborów korespondencyjnych w 2020 roku. Sąd uznał, że Poczta Polska miała podstawę prawną do przetwarzania danych w tym zakresie, co stanowi kluczowy argument przemawiający za uchyleniem decyzji administracyjnej. To precedensowy wyrok dla podobnych spraw, które mogą pojawić się w przyszłości. Należy jednak pamiętać, że rozstrzygnięcie jest nieprawomocne – Prezes UODO może złożyć odwołanie do Naczelnego Sądu Administracyjnego. Sprawa tzw. wyborów kopertowych z 2020 roku była jedną z najbardziej kontrowersyjnych w działalności UODO ostatnich lat, zarówno pod względem prawnym, jak i politycznym.

NSA potwierdza stanowisko UODO ws. Santander Bank Polska

Naczelny Sąd Administracyjny wydał 6 marca 2026 roku prawomocny wyrok w sprawie dotyczącej Santander Bank Polska. NSA oddalił skargę kasacyjną banku, podtrzymując tym samym wcześniejszy wyrok Wojewódzkiego Sądu Administracyjnego oraz stanowisko Prezesa UODO. Sprawa dotyczyła nieodwołania dostępu do danych osobowych po zakończeniu stosunku pracy przez pracownika banku. To naruszenie uznano za wystarczająco poważne, by utrzymać w mocy nałożoną karę administracyjną. Wyrok NSA jest prawomocny, co oznacza brak możliwości dalszego zaskarżenia. Rozstrzygnięcie to pokazuje, że kontrola dostępu do danych osobowych oraz procedury związane ze zmianami kadrowymi pozostają w centrum uwagi organu nadzorczego.

Statystyki kar UODO w 2025 roku

Rok 2025 przyniósł znaczący wzrost aktywności Urzędu Ochrony Danych Osobowych w zakresie nakładania kar administracyjnych. Prezes UODO nałożył 32 kary administracyjne na 18 różnych podmiotów. Łączna kwota kar wyniosła 64,4 mln zł, co stanowi wzrost pięciokrotny w porównaniu do roku 2024. W ramach działalności kontrolnej UODO wydał 2076 decyzji oraz przeprowadził kontrole u 56 podmiotów. Ponadto wystosowano 54 wystąpienia oraz złożono 7 zawiadomień o popełnieniu przestępstwa do organów ścigania. Szczególnie istotny jest wzrost liczby wpływających spraw. Do UODO wpłynęło 12 986 skarg, co oznacza wzrost o 61% rok do roku. Jednocześnie zarejestrowano 22 435 zgłoszeń naruszeń – o 51% więcej niż w poprzednim roku. Te dane pokazują rosnącą świadomość społeczną w zakresie ochrony danych osobowych oraz większą skłonność do dochodzenia swoich praw.

Największe kary – ING Bank Śląski liderem

Najwyższa kara utrzymana w mocy w 2025 roku została nałożona na ING Bank Śląski S.A. i wyniosła 18,4 mln zł. Powodem jej nałożenia było nieuzasadnione skanowanie dokumentów tożsamości klientów banku. Ta decyzja nie została uchylona przez sądy administracyjne i pozostaje w mocy. Bank został ukarany za praktyki, które organ nadzorczy uznał za naruszające zasady przetwarzania danych osobowych, w szczególności zasadę minimalizacji danych oraz odpowiednich zabezpieczeń technicznych. Sprawa ta pokazuje, że instytucje finansowe pozostają pod szczególną uwagą UODO, zwłaszcza w kontekście gromadzenia i przechowywania wrażliwych danych klientów.

Kryteria nakładania kar według RODO

Maksymalne kary możliwe według RODO wynoszą do 20 mln EUR lub do 4% całkowitego rocznego obrotu globalnego z poprzedniego roku obrotowego – w grę wchodzi wartość wyższa z tych dwóch. W praktyce oznacza to, że duże korporacje mogą zostać ukarane kwotami sięgającymi setek milionów złotych. Prezes UODO musi wziąć pod uwagę 11 różnych czynników określonych w art. 83 RODO przy nakładaniu kar. Do głównych należą: charakter, waga i czas trwania naruszenia, umyślny lub nieumyślny charakter naruszenia, działania podjęte w celu zminimalizowania szkody dla osób, których dane dotyczą, stopień współpracy z organem nadzorczym oraz historia poprzednich naruszeń. Najczęstsze przyczyny naruszeń w latach 2024-2025 to: brak odpowiednich zabezpieczeń technicznych, przetwarzanie danych bez właściwej podstawy prawnej, niespełnienie obowiązku informacyjnego wobec osób, których dane dotyczą, nieudzielanie informacji UODO oraz brak oceny skutków dla ochrony danych (DPIA) dla przetwarzania wysokiego ryzyka.

Pozycja Polski na tle Europy

Polska zajmuje 3. miejsce spośród 31 państw europejskich pod względem liczby zgłoszonych naruszeń RODO – wynika z danych rejestru EROD za 2024 rok. To pokazuje, że polski organ nadzorczy należy do najbardziej aktywnych w Europie, a polskie społeczeństwo coraz częściej korzysta z przysługujących mu praw w zakresie ochrony danych osobowych. Wysoka pozycja Polski w tym zestawieniu może wynikać zarówno z rosnącej świadomości obywateli, jak i z aktywnej polityki informacyjnej UODO. Organ regularnie publikuje komunikaty o karach oraz prowadzi działalność edukacyjną skierowaną zarówno do przedsiębiorców, jak i konsumentów.

Zmiany legislacyjne i przyszłość RODO

W 2026 roku planowane są zmiany w przepisach RODO, określane roboczo jako "RODO 2.0". Nie będą to jednak fundamentalne zmiany w rozporządzeniu, lecz raczej dostosowania wynikające z kilkuletniego doświadczenia w jego stosowaniu. Podstawą prawną działań UODO pozostaje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku (RODO/GDPR) oraz Ustawa o ochronie danych osobowych z dnia 10 maja 2018 roku. Te akty prawne tworzą ramy dla działalności organu nadzorczego oraz określają prawa i obowiązki administratorów danych. Precedensowe orzeczenia sądów administracyjnych z początku 2026 roku pokazują, że interpretacja przepisów RODO nadal budzi kontrowersje i wymaga doprecyzowania w konkretnych sprawach. Zarówno uchylenie kary dla Poczty Polskiej, jak i potwierdzenie decyzji w sprawie Santander Bank Polska tworzą ważne punkty odniesienia dla przyszłych postępowań.