2 marca 2026 r. w Dzienniku Ustaw została ogłoszona nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa, która wdraża do polskiego porządku wymogi dyrektywy NIS 2. Nowe przepisy wejdą w życie już 3 kwietnia 2026 r. i według szacunków rządowych obejmą ponad 40 tysięcy nowych podmiotów.

Ogłoszenie nowelizacji UKSC w Dzienniku Ustaw stanowi przełomowy moment w prawie dwuletnich pracach nad dostosowaniem polskiego porządku prawnego do wymogów wynikających z dyrektywy NIS 2.

Z chwilą ogłoszenia ustawy rozpoczął się bieg miesięcznego vacatio legis, a sama nowelizacja wejdzie w życie 3 kwietnia 2026 r. Od tej daty liczone będą terminy realizacji obowiązków przewidzianych dla podmiotów objętych regulacją, tj. podmiotów kluczowych i ważnych.

W pracach sejmowych nad regulacją wydłużono niektóre z terminów na spełnienie obowiązków i ostateczny harmonogram wygląda następująco:

• do 3 października 2026 r. podmioty kluczowe i ważne będą zobowiązane dokonać samoidentyfikacji oraz zarejestrować się w wykazie podmiotów kluczowych i ważnych;
• do 3 kwietnia 2027 r. podmioty kluczowe i ważne będą zobowiązane spełnić większość nowych obowiązków, w tym przede wszystkim wdrożyć odpowiednie środki techniczne i organizacyjne w ramach swojego systemu zarządzania bezpieczeństwem informacji;
• do 3 kwietnia 2028 r. podmioty kluczowe (nie dotyczy to podmiotów ważnych) będą musiały przeprowadzić pierwszy audyt bezpieczeństwa swojego systemu informacyjnego, a każdy kolejny audyt powinien być ponawiany co najmniej raz na 3 lata.

W praktyce oznacza to, że ustawodawca przewidział roczny okres na dostosowanie się do zasadniczej części nowych obowiązków. Nie zmienia to jednak faktu, że dla wielu organizacji czas ten może okazać się krótki, zwłaszcza przy konieczności równoczesnego przeprowadzenia analizy podlegania pod przepisy, opracowania nowych procedur, wdrożenia środków technicznych czy przeszkolenia personelu.

Na osobny komentarz zasługuje kwestia sankcji za niewdrożenie obowiązków w terminie. Nowe przepisy przewidują możliwość nakładania wysokich kar pieniężnych w przypadku uchylania się od spełnienia ustawowych obowiązków. Co jest jednak bardzo istotne, to wprowadzenie moratorium na kary finansowe. Zgodnie z przepisami przejściowymi, administracyjne kary finansowe będą mogły być nałożone po raz pierwszy dopiero po upływie 2 lat od wejścia nowelizacji w życie. Nie dotyczy to jednak tzw. kary kwalifikowanej, która może być nałożona do wysokości 100 mln zł, w przypadku gdy naruszenie obowiązków spowoduje m.in. poważne zagrożenie dla obronności i bezpieczeństwa państwa, porządku publicznego lub życia i zdrowia ludzi.

Warto wskazać, że Prezydent RP wraz z podpisaniem nowelizacji UKSC skierował jednocześnie wniosek do Trybunału Konstytucyjnego o kontrolę następczą nowych przepisów. Wniosek dotyczy m.in. zbadania kontrowersyjnej instytucji uznania podmiotów za dostawcę wysokiego ryzyka. Ewentualne późniejsze rozstrzygnięcie Trybunału może wpłynąć na ocenę zgodności określonych przepisów z Konstytucją, ale nie wstrzymuje wejścia w życie nowelizacji ani biegu terminów przewidzianych dla podmiotów objętych regulacją.

W związku ze zmianą ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) wiele organizacji stoi przed wyzwaniem przygotowania się do nowych obowiązków. Bazując na najczęściej pojawiających się pytaniach podczas szkoleń i webinarów, przygotowaliśmy serię FAQ, która porządkuje kluczowe zagadnienia związane ze stosowaniem nowych przepisów.

Nazewnictwo napojów roślinnych

W dniu 25 marca 2026 r. Główny Inspektor IJHARS opublikował stanowisko dotyczące nazewnictwa produktów roślinnych, w szczególności napojów, w kontekście stosowania nazw zarezerwowanych dla mleka i jego przetworów.

Zakaz stosowania nazw zarezerwowanych dla mleka

Zgodnie z rozporządzeniem (UE) nr 1308/2013 „mleko” oznacza wyłącznie wydzielinę z wymion zwierząt, a „przetwory mleczne” to produkty uzyskiwane wyłącznie z mleka, bez zastępowania jego naturalnych składników. W konsekwencji nazwy takie jak serwatka, śmietanka, masło, maślanka, olej maślany, kazeina, bezwodny tłuszcz mleczny, ser, jogurt, kefir czy kumys są ściśle zarezerwowane dla produktów pochodzenia zwierzęcego.

W konsekwencji:

• nie mogą być stosowane w odniesieniu do produktów roślinnych,
• zakaz obejmuje nie tylko nazwę produktu, ale także jego etykietowanie, dokumenty handlowe, materiały reklamowe oraz wszelkie formy reklamy i prezentacji.

Co istotne, zakaz ten obejmuje również sposób prezentacji produktu, w tym:

• jego kształt, wygląd i opakowanie,
• sposób ułożenia i miejsce ekspozycji,
• wszelkie informacje udostępniane konsumentowi – niezależnie od formy.

Zakaz sugestii i odniesień do mleka

Stanowisko IJHARS podkreśla, że niedopuszczalne są wszelkie formy, które mogłyby sugerować, że produkt roślinny ma charakter mleczny, w tym:

• użycie określeń typu „mleko roślinne”,
• formy zaprzeczenia (np. „to nie mleko”),
• zabiegi graficzne nawiązujące do słowa „mleko” (np. słowo „mlek” z literą „o” w formie białej kropli).

Takie oznaczenia mogą zostać uznane za wprowadzające konsumenta w błąd.

Podstawa prawna i orzecznictwo

Stanowisko opiera się na:

• rozporządzeniu (UE) nr 1308/2013 (definicja mleka i przetworów mlecznych),
• zasadach ogólnych prawa żywnościowego dotyczących zakazu wprowadzania w błąd,
• orzecznictwie TSUE (sprawa C-422/16 „TofuTown”).

Znaczenie dla przedsiębiorców

Stanowisko potwierdza restrykcyjne podejście do nazewnictwa produktów roślinnych. Producenci i dystrybutorzy powinni zweryfikować oznakowanie, materiały marketingowe oraz sposób prezentacji produktów, aby uniknąć ryzyka naruszeń i zarzutów wprowadzania konsumentów w błąd.

Masz pytania? Potrzebujesz szkolenia dla swojego zespołu?

Już są! Znamy wyniki Chambers and Partners Europe 2026! Z przyjemnością informujemy, że Traple Konarski Podrecki i Wpólnicy ponownie wśród najlepszych kancelarii w Europie, aż w czterech obszarach:

• TMT (Band 1)
• Intellectual Property (Band 2)
• Financial Services Regulation (Band 2)
• Data Protection (Band 2)

W tegorocznej edycji rankingu indywidualne wyróżnienia otrzymało aż 8 naszych ekspertów:

TMT

• Xawery Konarski (Band 1)
• Agnieszka Wachowska (Band 2)
• Anna Jelińska-Sabatowska (Associate to watch)

Intellectual Property

• Prof. INP PAN dr hab. Paweł Podrecki (Band 3)
• dr Anna Sokołowska-Ławniczak (Band 3)
• dr Tomasz Targosz (Band 3)

Financial Services Regulation

• prof. UEK Jan Byrski, PhD hab. (Band 1)

Data Protection

• Prof. INP PAN dr hab. Grzegorz Sibiga (Band 3)

Dziękujemy naszym Klientom za zaufanie oraz gratulujemy wszystkim wyróżnionym. a także całemu zespołowi TKP!

10 marca 2026 r. Parlament Europejski przyjął rezolucję w sprawie Copyright and generative artificial intelligence – opportunities and challenges (2025/2058(INI)). Parlament wskazał tym samym kierunek dalszych prac regulacyjnych w obszarze wykorzystania treści chronionych prawem autorskim przez GenAI.

Rezolucja nie ustanawia nowych obowiązków prawnych.
Stanowi jednak istotny sygnał regulacyjny dotyczący tego, w jaki sposób instytucje UE postrzegają relację między rozwojem generatywnej AI a ochroną sektora kreatywnego.

W opracowaniu przygotowanym dla Was przez Dominika Gabora przedstawiamy najważniejsze kierunki i obszary wskazane w rezolucji przez Parlament Europejski, a także podsumowanie, co to oznacza dla rynku.

Zapraszamy do lektury!

Ośrodek Analizy Dezinformacji NASK opublikował raport dotyczący sposobu reagowania platform społecznościowych na zgłoszenia treści dezinformacyjnych w 2025 r.  Raport ten jest pogłębionym, opartym na danych opracowaniem dotyczącym sposobu, w jaki platformy społecznościowe reagowały na zgłoszenia treści dezinformacyjnych.

Opracowanie zawiera:

• analizę skuteczności stosowanych przez platformy mechanizmów moderacyjnych,
• identyfikuje wyzwania związane ze współpracą z ich operatorami,
• prezentuje dane dotyczące m.in. dezinformacji wyborczej, zdrowotnej oraz operacji wpływu prowadzonych z wykorzystaniem nowych technologii.

Z raportu wynika, że pomimo częstego naruszania przez takie treści regulaminów platform lub obowiązujących przepisów prawa, ich usuwanie nadal nie jest w pełni efektywne i część zgłoszonych materiałów pozostaje dostępna w przestrzeni internetowej.

Najważniejsze wnioski za 2025 r.:

• NASK zgłosił do platform społecznościowych 46 511 materiałów zawierających dezinformację.
• Tylko 12% treści zostało usuniętych, natomiast 68% poddano moderacji (np. ograniczono zasięgi lub działanie kont).
• 20% zgłoszeń pozostało bez reakcji, co oznacza, że ponad 9 tys. materiałów nadal funkcjonuje w sieci.
• Zgłoszone treści obejmowały m.in. podszywanie się pod osoby publiczne lub instytucje, fałszywe informacje oraz treści manipulacyjne (np. deepfake).
• Raport wskazuje także na problemy systemowe we współpracy z platformami: brak przejrzystych procedur zgłaszania, niejasny czas reakcji czy ograniczoną transparentność decyzji moderacyjnych.

Wnioski z raportu stanowią istotne uzasadnienie dla tezy, że zawetowana w styczniu ustawa wdrażająca DSA jest potrzebna. Pokazują one bowiem, że przy obecnym stanie prawnym mechanizmy przeciwdziałania manipulacji informacyjnej oraz egzekwowania odpowiedzialności platform pozostają niewystarczające.

Zapraszamy do lektury pełnej wersji raportu.

Wygrana prawników TKP w dwóch, najważniejszych sprawach dotyczących kar finansowych nałożonych przez Prezesa Urzędu Ochrony Danych Osobowych.

Kara Prezesa UODO w wysokości 100.000,00 zł – uchylona

Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 2 marca 2026 r. (sygn. II SA/WA 285/24) uchylił decyzję Prezesa UODO nakładającą karę na Ministra Zdrowia w maksymalnie możliwej dla organu publicznego wysokości, tj. 100 tys. zł. Sprawa dotyczyła udostępnienia przez osobę pełniącą jednocześnie funkcję Ministra Zdrowia, na jej prywatnym profilu w mediach społecznościowych, informacji o lekarzu, który wystawił dla siebie receptę na leki psychotropowe.

Ministra Zdrowia reprezentowali mec. Grzegorz Sibiga i mec. Bartłomiej Żeromski, którzy jako pierwsi w skali kraju skutecznie wykazali, że osoba fizyczna (prywatna), pełniąca funkcję organu, może być samodzielnym administratorem danych, jeżeli przekracza swoje kompetencje.

Kara Prezesa UODO w wysokości 27.124.816,00 zł – uchylona

5 marca 2026 r. Wojewódzki Sąd Administracyjny w Warszawie wyrokiem (sygn. II SA/WA 837/25) uchylił decyzję Prezesa UODO nakładającą na Pocztę Polską S.A. rekordową, najwyższą w Polsce karę za naruszenie przepisów RODO w wysokości 27.124.816 zł. Sprawa dotyczyła przetwarzania danych osobowych w związku z przygotowaniem wyborów prezydenckich na polecenie premiera.

Pełnomocnikiem skarżącego (Poczta Polska) był mec. Grzegorz Sibiga, który skutecznie wywiódł, z czym zgodził się sąd, że dla oceny przetwarzania danych przez konkretnego administratora istotny jest stan prawny obowiązujący w chwili prowadzenia tego procesu, co doprowadziło do uchylenia decyzji.

Była to zarówno najwyższa nałożona przez polski organ nadzorczy sankcja za naruszenie przepisów dot. ochrony danych osobowych oraz jednocześnie najwyższa uchylona administracyjna kara pieniężna organu.
Gratulujemy prawnikom zaangażowanym w sprawy i całemu zespołowi RODO! 

Europejska Komisja opublikowała wytyczne dotyczące wdrożenia funkcjonalności deklaracji dla dostawców usług medialnych zgodnie z art. 18 ust. 1 Europejskiego Aktu o Wolności Mediów (EMFA), czyli kluczowego przepisu wzmacniającego ochronę mediów wobec bardzo dużych platform internetowych (VLOP).

Zgodnie z art. 18 EMFA do obowiązków dostawców dużych platform internetowych zalicza się:

• obowiązek wcześniejszego przekazania uzasadnienia o planowanym wstrzymaniu świadczenia usług lub ograniczeniu widoczności treści,
• umożliwienie dostawcy usług medialnych udzielenia odpowiedzi na uzasadnienie w terminie 24 godzin od jego otrzymania.

Dostawcy dużych platform internetowych są zobowiązani do wprowadzenia funkcji, które pozwolą odbiorcom na między innymi:

• zdeklarowanie statusu dostawcy usług medialnych,
• zdeklarowanie niezależność redakcyjnej od władz, partii czy podmiotów trzecich.

Wytyczne Komisji mają za zadanie przede wszystkim:

• ułatwić praktyczne wdrożenie funkcjonalności deklaracji w ramach dużych platform internetowych,
• wskazać, jak dostawcy dużych platform internetowych powinni projektować łatwy, dostępny i przejrzysty proces składania deklaracji.

Pełna treść wytycznych Komisji w języku polskim znajduje się pod tym linkiem.

Kolejne wyróżnienie dla zespołu TKP w Chambers and Partners Global 2026! 

Zespół prawa własności intelektualnej ponownie znalazł się w gronie najlepszych kancelarii w rankingu Chambers and Partners Global 2026, zajmując Band 2. 

Wyróżnienia indywidualne otrzymali: 

•  prof. INP PAN dr hab. Paweł Podrecki – Band 3 
•  Anna Sokołowska-Ławniczak, Ph.D. – Band 3 
•  dr Tomasz Targosz – Band 3 

To dla nas nie tylko powód do dumy, ale też potwierdzenie konsekwentnej pracy całego zespołu. Gratulacje!

Dziękujemy również naszym Klientom za zaufanie i świetną współpracę.

Wyniki dostępne są na stronie Chambers.

Plan kontroli sektorowych 2026 r. UODO obejmuje: „Sposób przetwarzania danych osobowych w związku z realizacją obowiązku prowadzenia BIP, w szczególności w zakresie anonimizacji danych oraz udostępniania przebiegu sesji rad gminy.”.

Pierwsze kontrole sektorowe BIP (2018-2019) skutkowały stwierdzeniami naruszeń i nakazami administracyjnymi, a nawet nałożeniem administracyjnej kary pieniężnej. W związku z tym warto zweryfikować i ocenić własną stronę BIP co do zgodności z obowiązkami ochrony danych osobowych, a w sytuacjach tego wymagających – podjąć działania naprawcze.

Jak możemy pomóc?

Od początku obowiązywania RODO wspieramy podmioty prowadzące strony BIP w zapewnieniu zgodności z przepisami o ochronie danych osobowych. W swoich doświadczeniach opieramy się m.in. na wiedzy z kontroli sektorowej 2018-2019 oraz aktualnych stanowiskach PUODO.  

Pomagamy w kompleksowym przygotowaniu do kontroli. Nasze działania obejmują:

• audyt zgodności prowadzonego BIP w zakresie ochrony danych osobowych,
• przygotowanie i realizację checklisty poprawności strony BIP w oparciu o dotychczasowe praktyki organu nadzorczego,
• opracowanie i aktualizację dokumentacji ochrony danych osobowych w zakresie czynności przetwarzania prowadzenia strony BIP,
• szkolenia dla pracowników, redaktorów BIP i inspektorów ochrony danych,
• dla jednostek samorządów terytorialnych – weryfikację poprawności udostępniania przebiegu sesji rady.

W przypadku kontroli Prezesa UODO w Państwa jednostce oferujemy:

• wsparcie toku kontroli prowadzonej przez Prezesa UODO,
• wsparcie lub reprezentowanie w postępowaniu administracyjnych (pokontrolnym) Prezesa UODO,
• pomoc w działaniach naprawczych w przypadku stwierdzenia naruszeń obowiązków ochrony danych.

Masz pytania lub chcesz przygotować swoją jednostkę do kontroli UODO?