Kontrole Prezesa UODO wokół Biuletynu Informacji Publicznej wywołują zwykle te same emocje: pojawia się zapowiedź działań nadzorczych i natychmiast rodzi się skojarzenie z karami. Tymczasem sama kontrola nie jest jeszcze oceną winy ani zapowiedzią sankcji – to przede wszystkim sprawdzenie, czy instytucja publiczna potrafi łączyć jawność działania z ochroną danych osobowych w praktyce, bez ujawniania informacji nadmiarowych i bez „wiecznej” publikacji dokumentów. W tym artykule porządkuję, skąd biorą się obawy, jaki jest rzeczywisty cel kontroli BIP oraz dlaczego w większości przypadków kluczowe są działania naprawcze i uporządkowanie procesu, a nie automatyczne sięganie po kary pieniężne.
Spis treści
Skąd wzięły się obawy i co w rzeczywistości jest celem kontroli
W przestrzeni publicznej co jakiś czas wraca ten sam schemat: pojawia się informacja o planowanych kontrolach Prezesa UODO, a w ślad za nią rośnie przekonanie, że kontrola musi skończyć się karą pieniężną. Tym razem emocje dotyczą kontroli sektorowych obejmujących podmioty publiczne prowadzące Biuletyn Informacji Publicznej. W części przekazów medialnych zasugerowano, że kontrole mogą skutkować wysokimi karami administracyjnymi, a przez to uderzać w przejrzystość działań samorządu i innych organów publicznych.
Taka narracja jest uproszczeniem, bo myli dwa porządki. Pierwszy porządek to jawność życia publicznego i obowiązek udostępniania informacji w BIP. Drugi porządek to ochrona danych osobowych, która ma działać równolegle do jawności i chronić obywateli przed nieuzasadnionym ujawnieniem danych, zwłaszcza nadmiarowych, nieaktualnych albo publikowanych dłużej niż przewidują przepisy. Kontrole UODO w obszarze BIP są wprost ukierunkowane na poprawę jakości ochrony danych osobowych, a nie na „polowanie na kary”.
BIP i anonimizacja
Ważne jest, aby jasno powiedzieć: obowiązek anonimizacji dokumentów publikowanych w BIP nie jest nowością. Organy publiczne od lat muszą ważyć jawność z ochroną danych i usuwać lub ograniczać te informacje, które nie są konieczne do realizacji celu publikacji. Problem polega na tym, że w praktyce BIP bywa traktowany jak archiwum „na zawsze”, a publikowanie dokumentów odbywa się bez stałych procedur weryfikacji: co publikujemy, na jakiej podstawie, na jak długo i czy dane w dokumencie są adekwatne do celu.
UODO już wcześniej kontrolował BIP w jednostkach samorządu terytorialnego i wyniki tych kontroli pokazały powtarzalny kłopot: w BIP ujawniano dane nadmiarowe, nieaktualne, a czasem nawet nieprawdziwe. Skutek dla osób, których dane dotyczą, jest łatwy do przewidzenia. BIP jest publicznie dostępny, często dobrze indeksowany przez wyszukiwarki, a raz ujawnione dane mogą krążyć w obiegu informacyjnym latami, nawet jeśli formalnie dokument zostanie później usunięty. W tym sensie błędy w publikacji w BIP nie są drobnym uchybieniem technicznym, tylko realnym ryzykiem dla prywatności obywateli.
Co zmieniły wcześniejsze kontrole i dlaczego UODO wraca do tematu
Efektem wcześniejszych kontroli była zauważalna zmiana podejścia w części podmiotów publicznych. Wiele samorządów opracowało i wdrożyło polityki ochrony danych w BIP, zaczęło wykonywać systematyczne przeglądy publikowanych zasobów, a przede wszystkim uświadomiło sobie, że publikacja nie może być bezterminowa tylko dlatego, że „zawsze tak było”. Dobrym przykładem tej zmiany myślenia jest wniosek, że oświadczenia majątkowe nie muszą być przechowywane w BIP wieczyście, bo przepisy wskazują granice czasowe i cel takich publikacji.
Jednocześnie UODO wskazuje, że mimo postępu wciąż nie wszędzie dane są chronione w odpowiedni sposób. Potwierdzają to liczne skargi, sygnały od obywateli oraz naruszenia ochrony danych zgłaszane przez samych administratorów. Z tego powodu Prezes UODO zdecydował się przyjrzeć, jak różne podmioty publiczne – nie tylko samorządy – realizują ochronę danych osobowych w BIP. W praktyce oznacza to rozszerzenie perspektywy: problem nie dotyczy jednego typu instytucji, tylko całego sektora publikującego informacje publiczne w sposób masowy i powtarzalny.
Dlaczego kontrola nie oznacza kary: statystyki i logika działań nadzorczych
Najmocniejszym argumentem przeciwko tezie „kontrola = kara” są statystyki i praktyka stosowania środków nadzorczych. Prezes UODO podkreśla, że po kary sięga w wyjątkowych sytuacjach. W 2025 r. wydano ponad dwa tysiące decyzji administracyjnych, a decyzji nakładających kary pieniężne było 32. To oznacza, że kary pojawiły się w niewielkim odsetku spraw zakończonych decyzją administracyjną, a w zdecydowanej większości przypadków organ korzysta z innych narzędzi.
Warto zrozumieć, dlaczego tak jest. RODO i polskie przepisy nie projektują nadzoru jako systemu opartego wyłącznie na sankcjach finansowych. Organ ma całą paletę środków naprawczych i w typowej sytuacji jego priorytetem jest doprowadzenie administratora do stanu zgodnego z prawem oraz usunięcie ryzyk dla osób, których dane dotyczą. Jeśli w BIP ujawniono dane, najważniejsze jest, aby dane zostały prawidłowo zabezpieczone, a proces publikacji był poprawiony tak, by błąd się nie powtarzał.
Jakie środki może zastosować UODO, jeśli wykryje nieprawidłowości
Jeżeli w toku kontroli zostaną stwierdzone naruszenia, organ nadzorczy może zastosować środki adekwatne do rodzaju i skali problemu. W praktyce oznacza to możliwość wydania ostrzeżenia, udzielenia upomnienia, a także wydania nakazu dostosowania działań do obowiązujących przepisów. Dopiero gdy środki „miękkie” nie wystarczają, a sytuacja ma charakter poważny lub uporczywy, w grę wchodzą kary finansowe jako ostateczność.
To rozróżnienie ma duże znaczenie dla podmiotów publicznych, ponieważ pokazuje, że kontrola ma charakter przede wszystkim jakościowy i naprawczy. Odpowiednio przygotowany administrator nie powinien koncentrować się na „obronie przed karą”, tylko na wykazaniu, że rozumie obowiązki, umie zarządzać publikacją w BIP oraz potrafi usuwać ryzyka dla obywateli.
Dlaczego przywoływana kara 40 tys. zł z 2019 r. bywa źle interpretowana
W dyskusji o kontrolach sektorowych często wraca przykład kary 40 tys. zł nałożonej w 2019 r. na Burmistrza Aleksandrowa Kujawskiego. Bywa to przedstawiane tak, jakby kara była konsekwencją samego publikowania nagrań sesji rady na YouTube. Z przekazu UODO wynika jednak, że przyczyny były inne i miały charakter złożony. Chodziło o kilka uchybień organizacyjnych i procesowych, które razem tworzyły rzeczywiste ryzyko dla danych osobowych i wykazywały brak dojrzałego zarządzania tym obszarem.
Po pierwsze, burmistrz nie zawarł umów powierzenia przetwarzania danych z podmiotami, którym przekazywał dane. To jest fundamentalny obowiązek w sytuacji, gdy dane trafiają do podmiotów zewnętrznych w związku z realizacją określonych usług. Po drugie, brakowało procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem okresu publikowania, a w BIP znajdowały się m.in. oświadczenia majątkowe przechowywane dłużej niż dopuszczają przepisy, i to przez okres przekraczający sześć lat. Po trzecie, nie przeprowadzono analizy ryzyka związanej z korzystaniem z kanału YouTube i przechowywaniem nagrań wyłącznie na serwerach usługodawcy, bez własnych kopii zapasowych, co wprost uderza w zasadę bezpieczeństwa przetwarzania i ciągłość kontroli nad danymi.
Ten przykład jest więc bardziej ostrzeżeniem przed brakiem podstawowych mechanizmów zarządzania danymi niż „karą za jawność”. Pokazuje też, że organ ocenia nie tylko pojedynczy dokument w BIP, ale cały system: podstawy powierzeń, procedury przeglądu, analizy ryzyka oraz realne zabezpieczenia organizacyjne i techniczne.
Jak przygotować się do kontroli BIP?
Jeżeli potraktować kontrolę jako impuls do uporządkowania procesu, przygotowanie nie sprowadza się do jednorazowego „sprzątania” BIP. Największą wartość daje podejście systemowe: ustalenie zasad anonimizacji, wskazanie odpowiedzialności, wdrożenie regularnych przeglądów publikowanych treści i określenie maksymalnych okresów publikacji dla typów dokumentów, które pojawiają się cyklicznie. Równolegle trzeba uporządkować relacje z podmiotami zewnętrznymi, bo BIP i publikacje często opierają się na rozwiązaniach hostingowych, usługach IT, narzędziach do transmisji i archiwizacji. W praktyce administracyjnej to właśnie te elementy najczęściej „rozjeżdżają się” z dokumentacją.
Warto też pamiętać, że celem organu w przypadku wykrycia nieprawidłowości jest przede wszystkim zapewnienie bezpieczeństwa osobom, których dane dotyczą, oraz przywrócenie stanu zgodnego z prawem. Jeżeli administrator potrafi wykazać, że rozumie problem, umie go naprawić i wprowadza rozwiązania zapobiegające powtórkom, ryzyko eskalacji działań nadzorczych jest z reguły mniejsze niż w sytuacji, gdy podmiot bagatelizuje temat lub działa reaktywnie i bez procedur.
Podsumowanie
Kontrole Prezesa UODO dotyczące Biuletynu Informacji Publicznej nie są zapowiedzią kar i nie mają na celu ograniczania przejrzystości życia publicznego. Ich sens polega na sprawdzeniu, czy jawność jest realizowana w sposób zgodny z prawem ochrony danych, bez ujawniania informacji nadmiarowych, nieaktualnych lub przechowywanych bez podstawy przez zbyt długi czas. Statystyki i dotychczasowa praktyka pokazują, że kary pieniężne są środkiem stosowanym rzadko i przede wszystkim w sytuacjach szczególnie poważnych lub świadczących o braku podstawowego zarządzania ryzykiem. Dla podmiotów publicznych najlepszą strategią jest potraktowanie kontroli jako okazji do uporządkowania procesu publikacji w BIP tak, aby chronić obywateli i jednocześnie zachować standard jawności, który stanowi fundament zaufania do instytucji publicznych.
