Jak co roku wracamy do Was z naszym podsumowaniem tego co wydarzyło się w minionym roku oraz przewidywaniami tego czym będziemy interesować się w 2026 roku w świecie ochrony danych osobowych. Rok 2025 w ochronie danych osobowych w Polsce trudno jednoznacznie zakwalifikować jako burzliwy albo przełomowy. Był to raczej rok kontrastów – rozpoczął się bardzo intensywnie, by z czasem przejść w fazę względnego uspokojenia, dialogu i pracy u podstaw. W porównaniu do wcześniejszych lat nie był również szczególnie obfity w burzliwe tematy legislacyjne z zakresu prawa ochrony danych.

Działalność PUODO w 2025 roku.

Początek roku upłynął pod znakiem jednego dokumentu, który na kilka tygodni całkowicie zdominował dyskusję w środowisku specjalistów ochrony danych osobowych – poradnika Prezesa UODO dotyczącego zgłaszania naruszeń ochrony danych osobowych. Publikacja ta wywołała żywą reakcję doktryny i praktyków, przede wszystkim w zakresie nowego sposobu opisywania i wartościowania ryzyka związanego z naruszeniami. Pojawiły się nowe pojęcia, nowe akcenty oraz interpretacje, które przynajmniej u części przedstawicieli doktryny budziły istotne wątpliwości co do ich spójności z dotychczasowym rozumieniem przepisów RODO. Jednocześnie oczywiście od razu pojawiły się również głosy pochwały i wyjaśniające, że zawartość poradnika nie jest rewolucyjna, a jedynie porządkująca dotychczasową wiedzę i praktykę.

Szczególnie dużo emocji wzbudził sposób podejścia do oceny ryzyka naruszenia praw lub wolności osób fizycznych, w tym rozróżnienie poziomów ryzyka. Przez pewien czas można było odnieść wrażenie, że branża ochrony danych osobowych znalazła się w stanie interpretacyjnego przeciążenia, poradnik był intensywnie analizowany, komentowany i konfrontowany z dotychczasową praktyką. W toku licznych publikacji, szkoleń i wymiany argumentów udało się stopniowo „schłodzić” emocje i wypracować bardziej przejrzysta podejście, w czym również udział miały dodatkowe wyjaśnienia Urzędu Ochrony Danych Osobowych.

Po tym intensywnym początku rok 2025 przyniósł jednak wyraźne wyhamowanie oraz przeniesienie akcentu na wymiar wsparcia i podnoszenia świadomości. Działania Prezesa Urzędu Ochrony Danych Osobowych w kolejnych miesiącach miały w dużej mierze charakter edukacyjny, komunikacyjny i konsultacyjny. Urząd konsekwentnie podkreślał znaczenie budowania świadomości ochrony danych osobowych, zarówno wśród administratorów i podmiotów przetwarzających, jak i wśród obywateli. Kontynuowane były kampanie informacyjne, inicjatywy edukacyjne oraz dialog z różnymi sektorami rynku, co wpisywało się w coraz wyraźniej dostrzegalną tendencję, w ramach której ochronę danych traktuje się jako element kultury organizacyjnej, a nie wyłącznie obszar sankcji i odpowiedzialności.

Sztuczna Inteligencja.

Rok 2025 w obszarze sztucznej inteligencji był wyraźnie inny niż poprzednie lata. Chociaż nadal była odmieniana przez wszystkie przypadki to już bez nadmiernej ekscytacji a raczej z pragmatycznym podejściem. Po okresie intensywnego implementowania obszaru prywatności w rozwiązania AI, doktryna zaczęła adaptować rozwiązania technologiczne jako kolejne narzędzia przetwarzania danych.

Na poziomie regulacyjnym 2025 był rokiem przejściowym. AI Act formalnie wszedł w życie, ale jego stosowanie jest rozłożone w czasie. Część przepisów już obowiązuje, w szczególności te dotyczące zakazanych praktyk oraz ram instytucjonalnych, jednak zasadniczy ciężar regulacyjny, w tym obowiązki dla dostawców i użytkowników systemów wysokiego ryzyka, będzie realnie odczuwalny dopiero w kolejnych latach. Wspominając poprzedni rok należy wskazać, że już od 2 lutego 2025 r. zaczęły obowiązywać pierwsze, najbardziej fundamentalne elementy rozporządzenia. Dotyczyło to przede wszystkim zakazu stosowania określonych praktyk uznanych za niedopuszczalne. Równolegle pojawił się obowiązek budowania kompetencji w zakresie sztucznej inteligencji, rozumiany nie jako formalny certyfikat, lecz jako realna „AI literacy” po stronie organizacji korzystających z takich systemów.

Kolejnym istotnym momentem był 2 sierpnia 2025 r., kiedy zaczęły obowiązywać przepisy dotyczące ładu instytucjonalnego oraz pierwsze obowiązki związane z tzw. systemami ogólnego przeznaczenia (GPAI), w tym dużymi modelami bazowymi. To właśnie w tym okresie coraz częściej zaczęto mówić o odpowiedzialności nie tylko użytkowników, lecz także twórców i dostawców rozwiązań AI oraz konieczności dokumentowania sposobu trenowania modeli.

Jednocześnie zasadnicza część regulacji, która w praktyce będzie miała największy wpływ na organizacje, jeszcze nie zaczęła być stosowana w pełnym zakresie. Najważniejsze obowiązki dotyczące systemów wysokiego ryzyka, w tym wymogi oceny zgodności, dokumentacji technicznej, nadzoru nad działaniem systemu oraz procedur reagowania na incydenty, zaczną być powszechnie egzekwowalne od 2 sierpnia 2026 r. W przypadku systemów wysokiego ryzyka osadzonych w regulowanych produktach (np. w sektorze medycznym czy transportowym) przewidziano dodatkowy okres przejściowy, sięgający 2 sierpnia 2027 r..

To właśnie ten harmonogram sprawia, że rok 2026 staje się kluczowy z perspektywy przygotowań dla zgodnego z prawem stosowania modeli AI. Będzie to rok w którym trzeba będzie wykazać, że systemy AI zostały właściwie sklasyfikowane, że znane są ich role w procesach biznesowych oraz że istnieje realny mechanizm zarządzania ryzykiem. Coraz wyraźniej widać też, że AI Act będzie wymuszał ścisłą współpracę obszarów dotychczas funkcjonujących dość niezależnie: IT, compliance, ochrony danych osobowych oraz bezpieczeństwa informacji. Rok 2026 zapowiada się zatem jako czas przejścia od refleksji do praktyki.

NIS-2 w Polsce – przedłużające się wdrożenie i regulacyjna niepewność

Dyrektywa NIS-2 miała być jednym z kluczowych europejskich aktów porządkujących obszar cyberbezpieczeństwa i odporności cyfrowej, w tym również w kontekście ochrony danych osobowych. Na poziomie unijnym termin implementacji NIS-2 upłynął 17 października 2024 r. Polska, podobnie jak część innych państw członkowskich, nie zdążyła z terminowym wdrożeniem dyrektywy, co od początku zapowiadało problemy natury organizacyjnej i legislacyjnej.

Implementacja NIS-2 w Polsce ma nastąpić poprzez nowelizację ustawy o krajowym systemie cyberbezpieczeństwa. Projekt nowej ustawy (często określany roboczo jako „nowa UKSC”) w 2025 roku był przedmiotem intensywnych prac legislacyjnych, konsultacji i licznych uwag zgłaszanych zarówno przez sektor publiczny, jak i prywatny. Jednocześnie sam proces legislacyjny charakteryzował się dużą zmiennością, projekt był kilkukrotnie modyfikowany, a ostateczny kształt przepisów długo pozostawał niepewny.

Na początku 2026 roku nadal nie można mówić o pełnym domknięciu procesu wdrożeniowego. Choć kierunek zmian jest zasadniczo jasny, rozszerzenie obowiązków na nowe sektory i podmioty, wzmocnienie roli zarządzania ryzykiem oraz powiązanie cyberbezpieczeństwa z odpowiedzialnością zarządczą, to konkretne terminy stosowania nowych przepisów w Polsce wciąż pozostają otwarte. Można zakładać, że ustawodawca będzie zmierzał do wprowadzenia okresów przejściowych, jednak ich długość i zakres nie są jeszcze przesądzone.

Wchodząc w 2026 rok, można więc mówić raczej o stanie regulacyjnego zawieszenia niż o stabilnym wdrożeniu. Organizacje wiedzą, że zmiany są nieuniknione, znają ich ogólny kierunek, ale wciąż muszą funkcjonować w warunkach niepewności co do ostatecznego kształtu i harmonogramu przepisów krajowych. To z kolei sprzyja podejściu ostrożnościowemu, przygotowaniom opartym na analizie ryzyka i dobrych praktykach, nawet zanim nowe obowiązki zostaną formalnie przesądzone.

Chcielibyśmy przewidzieć, że 2025 rok jest rokiem, w którym z pewnością poznamy finalny kształt tej regulacji, natomiast nauczeni doświadczeniami poprzedniego roku, w tym roku jedynie będziemy trzymać kciuki za ogłoszenie obowiązującego tekstu UKSC.

Cyberzagrożenia – trendy i kierunki.

Rok 2025 przyniósł gwałtowny wzrost liczby ataków ransomware, przy jednoczesnym nasileniu wariantów i modeli biznesowych przestępców (double/extortion-as-a-service, eksfiltracja danych przed szyfrowaniem, ataki supply-chain). Raporty Hi dane analityczne wykazywały znaczący wzrost incydentów oraz rosnącą liczbę grup wyspecjalizowanych w handlu narzędziami i usługami ransomware. Jednocześnie obserwowano spadek płaconych okupów w co należy traktować jako sukces z zakresu edukacji a jednocześnie efekt działań służb i polityky niepłacenia. Przestępcy coraz powszechniej wykorzystywali narzędzia generatywne do pisania przekonujących phishingów, tworzenia voice-clone’ów i deepfake’ów wideo, często celując w osoby decyzyjne. Ataki te były tańsze w produkcji i trudniejsze do szybkie go wykrycia przez tradycyjne filtry. Europol i branżowe raporty alarmowały o rosnącej roli AI w skalowaniu oszustw i w tworzeniu treści do socjotechniki.

W 2025 r. CSIRT-y, w tym CSIRT NASK w Polsce, notowały rekordowe liczby zgłoszeń/incydentów, tysiące przypadków miesięcznie, z dużą częstotliwością phishingu, spamu i malware’u. O ile zwiększenie tych liczb może świadczyć o rosnącym zagrożeniu cybernetycznym w Polsce, tak również należy zauważyć zwiększoną świadomość tych zagrożeń, potrzeby ich raportowania zarówno przez osoby fizyczne jak i instytucje.

W odpowiedzi na rosnące zagrożenie firmy bezpieczeństwa inwestowały w AI-napędzane systemy detekcji anomalii, wykrywania deepfake’ów i analizę zachowań użytkowników. Te narzędzia zaczęły realnie podnosić poziom wykrywalności zaawansowanych socjotechnik i syntetycznych mediów.

Jawność wynagrodzeń w 2026 roku

Wchodząc w 2026 rok, temat jawności wynagrodzeń coraz wyraźniej zaczyna rysować się jako istotne wyzwanie także dla ochrony danych osobowych. Implementacja unijnej dyrektywy w sprawie przejrzystości wynagrodzeń, której termin transpozycji do prawa krajowego upływa w czerwcu 2026 roku, wymusi na organizacjach nie tylko zmianę praktyk rekrutacyjnych, lecz także głębszą refleksję nad sposobem przetwarzania danych płacowych już po nawiązaniu stosunku pracy.

Jednym z pierwszych problemów, z którymi przyjdzie się zmierzyć, będzie granica między przejrzystością a prywatnością. Informacje o wynagrodzeniu, choć nie należą do szczególnych kategorii danych osobowych w rozumieniu RODO, mają bezsprzecznie charakter wrażliwy z punktu widzenia relacji pracowniczych. Czekają nas praktyczne pytania o to, jak realizować prawo pracownika do informacji o poziomach wynagrodzeń w organizacji, nie prowadząc jednocześnie do pośredniej identyfikacji konkretnych osób, zwłaszcza w zespołach niewielkich lub wyspecjalizowanych, gdzie nawet zagregowane dane mogą w praktyce wskazywać na jednostkę. Oczywiście przepisy Dyrektywy nie stanowią obowiązku ujawniania informacji o wynagrodzeniach poszczególnych pracowników, a zatem te informacje powinny pozostać poufne.

Dyrektywa przewiduje możliwość uzyskiwania danych o średnich płacach na porównywalnych stanowiskach, w podziale m.in. na płeć. W praktyce oznacza to konieczność przetwarzania i analizowania danych płacowych w nowych celach, co rodzi pytania o sposób ich przetwarzania, zakres danych niezbędnych do realizacji tego obowiązku oraz okres ich przechowywania. Implementacja dyrektywy będzie wymagała od pracodawców zbudowania odpowiednich ram organizacyjnych, obejmujących zarówno aspekty formalne i proceduralne, jak i rozwiązania techniczne. Konieczne stanie się dostosowanie klauzul informacyjnych, opracowanie jasnych zasad udzielania informacji o poziomach wynagrodzeń oraz mechanizmów raportowania danych płacowych. Dla specjalistów ochrony danych osobowych 2026 rok będzie więc czasem intensywnej pracy nad oceną zgodności takich procesów z zasadą minimalizacji oraz ograniczenia celu. Z perspektywy ochrony danych osobowych kluczowe będzie również to, że wdrażanie przepisów o jawności wynagrodzeń wymaga ścisłej współpracy między HR, działami prawnymi i specjalistami ds. ochrony danych.

Zmęczenie regulacyjne i pierwsze sygnały korekty kursu.

Rok 2025 coraz wyraźniej ujawnił zjawisko, o którym w środowisku ochrony danych osobowych mówiło się od dawna, którym jest zmęczenie regulacyjne. Po niemal dekadzie od ogłoszenia przepisów RODO, a jednocześnie w obliczu kolejnych aktów prawnych z obszaru cyfrowego, takich jak NIS-2 czy AI Act, coraz częściej zaczęto zadawać pytania nie tyle o sens samej ochrony danych, ile o proporcjonalność narzędzi regulacyjnych i ich realny wpływ na codzienne funkcjonowanie przedsiębiorstw, zwłaszcza tych najmniejszych.

W tym kontekście istotne znaczenie miały dyskusje wokół tzw. pakietu Omnibus, czyli inicjatyw Komisji Europejskiej zmierzających do ograniczenia nadmiernych obciążeń administracyjnych wynikających z prawa unijnego. Proponowane, punktowe zmiany w RODO mające na celu odciążenie przedsiębiorców tam gdzie wymogi RODO mogą być nieadekwatne. Mają one raczej charakter symboliczny i korekcyjny, sygnalizując potrzebę dostosowania obowiązków do skali działalności oraz rzeczywistego ryzyka przetwarzania.

Co istotne, podobne postulaty coraz częściej pojawiały się również w polskiej debacie publicznej i doktrynie. Rok 2025 był w tym sensie czasem refleksji nad tym, czy dotychczasowy model stosowania RODO rzeczywiście sprzyja skutecznej ochronie danych, czy też w niektórych obszarach prowadzi do formalizmu, który obciąża organizacje, niekoniecznie przekładając się na realne zwiększenie poziomu bezpieczeństwa. Dyskusja ta dotyczyła zwłaszcza mniejszych podmiotów, które mimo niewielkiej skali przetwarzania zobowiązane były do wdrażania rozwiązań projektowanych z myślą o dużych, złożonych organizacjach. W tym sensie 2025 rok można postrzegać jako symboliczny moment rozpoczęcia przewartościowania publicznego podejścia do ochrony danych osobowych, od koncentracji na formalnej zgodności ku większemu naciskowi na sens, celowość i efektywność regulacji. To co od dawna postulowała doktryna zaczęło wybrzmiewać w dyskursie publicznym.