Kontrola Prezesa UODO nie jest równoznaczna z karą

Celem kontroli UODO realizowanych w organach publicznych zobowiązanych do udostępniania informacji w BIP jest poprawa jakości ochrony danych osobowych.

W mediach pojawiły się ostatnio informacje sugerujące, że planowane przez Prezesa UODO sektorowe kontrole, które w tym roku obejmą podmioty prowadzące Biuletyn Informacji Publicznej, mogą skończyć się wysokimi karami administracyjnymi i godzić w przejrzystość działania organów samorządu terytorialnego.

Obowiązek anonimizacji dokumentów, publikowanych w BIP nie jest niczym nowym. W przeszłości UODO kontrolował już BIP w jednostkach samorządu terytorialnego. Zrealizowane wówczas kontrole wykazały, że często w BIP były ujawniane dane nadmiarowe, nieaktualne, a czasem nieprawdziwe co miało negatywny wpływ na osoby, których dane dotyczą.

Efektem tych kontroli była zmiana podejścia do ochrony danych przetwarzanych w BIP. Wiele samorządów opracowało i wdrożyło odpowiednie polityki ochrony danych, zaczęło dokonywać ich systematycznych przeglądów. Działania UODO uświadomiły wielu podmiotom m.in. że oświadczenia majątkowe nie muszą być przechowywane w BIP-ach wieczyście.

W dalszym ciągu nie wszędzie dane są odpowiednio chronione, co potwierdzają liczne skargi i sygnały oraz zgłaszane, przez administratorów, naruszenia ochrony danych. Dlatego Prezes UODO postanowił przyjrzeć się, jak różne podmioty publiczne, nie tylko samorządy, podchodzą do ochrony danych osobowych w Biuletynach informacji Publicznej.

Prezes UODO sięga po kary tylko w wyjątkowych sytuacjach, co potwierdzają statystyki. W 2025 roku Prezes UODO wydał ponad 2 tysiące decyzji administracyjnych, wśród nich były 32 decyzje nakładających kary pieniężne. Czyli kary były nałożone w nieco ponad 1,5 proc. spraw zakończonych wydaniem decyzji administracyjnej.

Prezes UODO wydawał już decyzje w sprawie niezanonimizowania na stronie BIP określonych dokumentów i nie były to decyzje nakładające administracyjne kary pieniężne.

Organ nadzorczy ma do dyspozycji całą gamę rozwiązań, które służą wzmocnieniu ochrony danych osobowych obywateli. W przypadku stwierdzenia naruszenia przepisów może być bowiem m.in. wydane ostrzeżenie, udzielone upomnienie czy wydany nakaz dostosowania określonych działań do obowiązujących przepisów. Mogą też zostać nałożone kary finansowe, ale są one ostatecznością. Organowi nadzorczemu zależy przede wszystkim na przywróceniu u administratora stanu zgodnego z prawem.

Część mediów informując o tegorocznych kontrolach sektorowych UODO przywołuje karę 40 tys. zł, jaką Prezes UODO nałożył na Burmistrza Aleksandrowa Kujawskiego w 2019 roku. Wbrew obiegowej opinii, przyczyną nałożenia kary nie była publikacja nagrań sesji rady gminy na YouTube. Powodów nałożenia kary było kilka:

• Burmistrz Aleksandrowa nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane.
• Nie było procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania (w BIP były dostępne m.in. oświadczenia majątkowe, przechowywane dłużej niż dopuszczają przepisy – ponad 6 lat).
• Nie przeprowadzono analizy ryzyka związanego z korzystaniem przez Burmistrza z kanału YouTube i przechowywaniem nagrań sesji Rady Miasta wyłącznie na serwerach właściciela tego serwisu – nie miał on kopii zapasowych.

Celem kontroli sektorowych Prezesa UODO jest zawsze poprawa jakości ochrony danych osobowych i sprawdzenie przestrzegania obowiązującego prawa. W przypadku wykrycia nieprawidłowości najważniejsze jest zapewnienie bezpieczeństwa osób, których dane dotyczą oraz przywrócenie stanu zgodnego z prawem.