Biuletyny Informacji Publicznej pod lupą prezesa UODO. Sprawdź, co może skontrolować

• Ramka 2

► Kiedy zatem jednostki administracji publicznej, w tym samorządu terytorialnego mogą się spodziewać wizyty przedstawicieli UODO? W odpowiedzi na pytania redakcji zastępca rzecznika prasowego UODO Łukasz Kuligowski wskazał, że kontrole sektorowe podmiotów publicznych prowadzących BIP będą przeprowadzane przez cały rok. Obejmą one różne organy publiczne zobowiązane do udostępniania informacji, w tym administrację samorządową na różnych szczeblach.

– Kontrole w ramach danego sektora są wyznaczane na bieżąco, a ich liczba zależy od innych zadań realizowanych przez UODO – wyjaśnił Łukasz Kuligowski. – Podmioty do kontroli są co do zasady wybierane losowo, jednak mogą być brane pod uwagę także inne okoliczności, takie jak wpływające skargi, zgłoszenia naruszeń dotyczące konkretnych podmiotów czy doniesienia medialne – dodał.

Co istotne, przepisy nie nakładają na UODO obowiązku wcześniejszego zawiadamiania podmiotów publicznych o planowanej kontroli. – W praktyce jednak kontrole bez uprzedzenia są prowadzone wyłącznie w wyjątkowych przypadkach – przyznał zastępca rzecznika prasowego UODO.

Na co trzeba zwrócić uwagę przygotowując się do kontroli

Analiza sprawozdań prezesa UODO oraz wydawanych przez niego decyzji może pomóc w przygotowaniu się do kontroli. Nie ma wątpliwości, że kontrola podmiotów i publikacji w Biuletynie Informacji Publicznej jest procesem złożonym i wielowarstwowym. Wynika to z faktu, że nakładają się tu dwie odrębne grupy przepisów. Pierwszą z nich stanowią przepisy RODO oraz regulacje dotyczące ochrony danych osobowych i szerzej – prywatności. Drugą tworzą przepisy o jawności informacji publicznej, na czele z ustawą o dostępie do informacji publicznej (dalej: u.d.i.p.).
Publikując informacje w BIP, administrator musi więc uwzględniać oba te porządki prawne.

Dlaczego urzędy i inne podmioty muszą prowadzić BIP

W myśl art 86 RODO „Dane osobowe zawarte w dokumentach urzędowych, które posiada organ lub podmiot publiczny lub podmiot prywatny w celu wykonania zadania realizowanego w interesie publicznym, mogą zostać przez ten organ lub podmiot ujawnione zgodnie z prawem Unii lub prawem państwa członkowskiego, któremu podlegają ten organ lub podmiot, dla pogodzenia publicznego dostępu do dokumentów urzędowych z prawem do ochrony danych osobowych na mocy niniejszego rozporządzenia”.

Z drugiej strony ustawa o dostępie do informacji publicznej wskazuje na kilka sposobów udostępnienia informacji publicznej, w tym poprzez zamieszczenie na BIP. Także ustawy samorządowe (o samorządzie gminnym, powiatowym, województwa) czy ustawa o petycjach – wskazują na konieczność publikacji określonych informacji poprzez BIP.

Ustawowe ograniczenia

Publikacja w BIP-ie jako jeden ze sposobów udostępnienia informacji jednocześnie podlega ograniczeniom, zwłaszcza przewidzianym w art. 5 ust 2 ustawy o dostępie do informacji publicznej (dalej: u.d.i.p.), czyli ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy. Przy czym „ograniczenie to nie dotyczy informacji o osobach pełniących funkcje publiczne, mających związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji, oraz przypadku, gdy osoba fizyczna lub przedsiębiorca rezygnują z przysługującego im prawa”.

Warto podkreślić przy tym, że ustawa ta nie operuje pojęciem „danych osobowych” ale „prawem do prywatności”. Jest to pojęcie szersze, chronione konstytucyjnie (art. 47 konstytucji). Ponadto pojawiają się w tym przepisie takie terminy, jak „prywatność”, „osoba pełniąca funkcję publiczną”, „związek z pełnieniem tych funkcji”, „powierzenie i wykonywanie funkcji”.

Jak rozumieć pojęcie dane osobowe

Dane osobowe to każda informacja, która pozwala bezpośrednio lub pośrednio zidentyfikować osobę. Pomocny w zrozumieniu, czym są dane, może być przykład skargi, która wpłynęła do prezesa UODO opisany w Biuletynie UODO nr 4/06/23 z 21 czerwca 2023 r. Pokazuje on jednocześnie, jak często błędnie rozumiane jest to pojęcie w jednostkach samorządu terytorialnego.

Jedna z jednostek oświaty opublikowała w BIP protokół kontroli. W dokumencie ujawniono m.in.:

• imię skarżącej,
• informację, że jest matką konkretnej uczennicy,
• imię uczennicy, klasę, do której uczęszcza,
• początek nazwiska matki.

A na dodatek w odniesieniu do małoletniej ujawniono także informację o nieharmonijnym rozwoju niektórych funkcji poznawczych.

Prezes UODO uznał, że doszło do naruszenia danych osobowych matki oraz danych szczególnej kategorii córki (informacji o stanie zdrowia): „Dane obejmujące imię skarżącej w połączeniu z nazwą szkoły i klasy, do której uczęszcza jej dziecko, już samodzielnie pozwalają przypisać spseudonimizowane dane osobie fizycznej – skarżącej. Co istotne, w tej sprawie skarżąca jest jedynym rodzicem o tym imieniu wśród rodziców uczniów klasy, do której uczęszcza jej dziecko, które także zostało wymienione w protokole. W tym przypadku łatwo zidentyfikować dane osobowe skarżącej przy jednoczesnym braku ponoszenia kosztów”.

Na ten przykład warto zwrócić szczególną uwagę. W środowisku samorządowym, zwłaszcza wśród radnych, nadal powszechne jest przekonanie, że dane osobowe to imię i nazwisko. Tymczasem definicja jest szersza.

Wniosek jest prosty. Radni oraz inne osoby, które regularnie przetwarzają dane osobowe, powinni przechodzić regularne szkolenia. Bez tego podobne błędy będą się powtarzać.

Kim jest osoba pełniąca funkcję publiczną

Publikacja danych osoby pełniącej funkcję publiczną w BIP jest dopuszczalna, jeśli dotyczy sprawowania tej funkcji i zakresu zadań publicznych
Definicja osoby pełniącej funkcje publiczną nie została określona. Trybunał Konstytucyjny w słynnym orzeczeniu K 17/05 z 20 marca 2006 r. wskazał, że nie jest to „funkcjonariusz publiczny” w rozumieniu kodeksu karnego. TK wyjaśnił, że aby zostać uznanym za osobę publiczną trzeba spełnić jedno z kryteriów:

• posiadać zarząd nad mieniem publicznym,
• mieć wpływ (chociaż pośredni) na wydawanie decyzji,
• bezpośrednio realizować zadanie publiczne,

Przy czym zaznaczył, że powyższe nie dotyczy osób pełniących funkcje usługowe.
Samorządy cały czas mają problemy z ustalaniem, o kogo chodzi, czego dowodem jest bardzo obszerne orzecznictwo sądów administracyjnych. Sądy te przyjmują szerokie (lub bardzo szerokie) rozumienie tego pojęcia. W jednym z typowych dla tej sprawy orzeczeń Wojewódzki Sąd Administracyjny w Gdańsku (wyrok z 25 września 2025 r., sygn. akt III SAB/Gd 341/25) stwierdził, że „Wskazanie, czy mamy do czynienia z funkcją publiczną, powinno odnosić się do badania, czy określona osoba w ramach instytucji publicznej realizuje w pewnym zakresie nałożone na tę instytucję zadania publiczne. Chodzi o podmioty, którym przysługuje co najmniej wąski zakres kompetencji decyzyjnej w ramach instytucji publicznej. Podejmując próbę wskazania ogólnych cech, jakie będą przesądzały o tym, że określony podmiot sprawuje funkcję publiczną, można bez większego ryzyka błędu uznać, że chodzi o takie stanowiska i funkcje, których sprawowanie jest równoznaczne z podejmowaniem działań wpływających bezpośrednio na sytuację prawną innych osób lub łączy się co najmniej z przygotowaniem decyzji dotyczących innych podmiotów. Spod zakresu funkcji publicznych wykluczone są takie stanowiska, choćby pełnione w ramach organów władzy publicznej, które mają charakter usługowy lub techniczny”.

Warto dodać, że chodzi nie tylko o osoby zatrudnione na podstawie umowy o pracę, ale również o kontrahentów. („Fakt działalności danej osoby na podstawie umowy cywilnoprawnej nie wyklucza uznania, że osoba ta jest osobą pełniącą funkcję publiczną lub ma związek z pełnieniem tych funkcji' (wyrok Wojewódzkiego Sądu Administracyjnego w Poznaniu z 18 stycznia 2005 r. IV SA/Po 1392/04).

Najszersze rozumienie pojęcia wskazuje, że „w świetle orzecznictwa sądów administracyjnych za pracowników samorządowych pełniących funkcje publiczne lub mających związek z pełnieniem funkcji publicznych, w rozumieniu art. 5 ust. 2 zd. 2 ustawy, uznać należy natomiast nie tylko pracowników, wydających decyzje administracyjne z upoważnienia wójta (burmistrza, prezydenta), ale także innych pracowników samorządowych, którzy w ramach swoich obowiązków wykonują zadania, wywierające wpływ na podejmowanie rozstrzygnięć o charakterze władczym (np. pracownicy merytoryczni wydziałów urzędu, którzy w indywidualnych sprawach innych podmiotów prowadzą postępowania administracyjne, chociaż nie wydają decyzji administracyjnej, a przygotowują całość materiału dowodowego takiej sprawy a nawet przygotowują projekty decyzji administracyjnych, czy osoby uprawnione do wydawania zaświadczeń w imieniu organu, czy też przyjmowania wniosków w indywidualnych sprawach administracyjnych). Natomiast za stanowiska o charakterze usługowym czy technicznym uznać należy szeregowych pracowników urzędu, nieposiadających żadnego wpływu na procesy decyzyjne, wykonujących szeroko rozumiane czynności pomocnicze polegające między innymi na obsłudze biurowej, informatycznej, czy też porządkowej“ (tak: wyrok WSA w Łodzi z 24 października 2023 r., sygn. akt II SAB/Łd 88/23).

Najczęstsze naruszenia związane z prowadzeniem BIP. Sprawdź, czy nie popełniasz tych błędów

Na czym zatem polegają błędy popełniane przez organy publiczne, o których wspomina prezes UODO, związane z prowadzeniem BIP? Na podstawie decyzji oraz sprawozdań Prezesa UODO można wskazać kilka często powtarzających się nieprawidłowości.

► Błąd 1: brak umów z firmami hostingowymi

Przygotowując się do planowanych kontroli organu, warto zwrócić uwagę na decyzję prezesa UODO z 8 października 2019 r. (nr ZSPU.421.3.2019) wobec jednego z urzędów miast. Prezes UODO zakwestionował w niej m.in. nieprawidłowe udostępnianie przez administratora danych osobowych zawartych w BIP zewnętrznym firmom hostingowym i dostawcom oprogramowania bez zawarcia umowy powierzenia przetwarzania danych.

Rozpoczynając przygotowania do kontroli, warto zatem m.in. zweryfikować, czy administrator ma podpisaną umowę powierzenia przetwarzania z każdym podmiotem zewnętrznym, który ma dostęp do danych osobowych (np. firma hostingująca stronę BIP, dostawca systemu CMS, firma serwisująca sieć IT). Brak takiej umowy oznacza bowiem udostępnienie danych bez podstawy prawnej.

► Błąd 2: zbyt długi okres publikowania dokumentów

W decyzji z 8 października 2019 r. prezes UODO wskazał też na inne naruszenie: brak w kontrolowanym urzędzie odpowiednich procedur przeglądu treści w BIP. Rejestr cyklicznych przeglądów prowadzony przez urząd był niekompletny. Nie wskazano w nim m.in. planowanych terminów usunięcia danych. Skutkowało to publikowaniem dokumentów z danymi osobowymi przez okres dłuższy niż wymagają tego przepisy prawa, przez co kontrolowany urząd miasta naruszył zasadę ograniczonego przechowywania.

Publikacja informacji w BIP musi mieć określone ramy czasowe. Dane osobowe nie mogą być udostępniane bezterminowo. Każda publikacja zawierająca dane osobowe powinna mieć jasno określony moment zakończenia. Po jego upływie dane należy usunąć, ograniczyć do nich dostęp albo trwale zanonimizować.

Obowiązek czasowego ograniczenia publikacji wynika m.in. z:

• zasady ograniczenia przechowywania danych – zgodnie z art. 5 ust. 1 lit. e RODO dane osobowe można przechowywać tylko przez okres niezbędny do realizacji celu, w jakim je opublikowano.
• zasady minimalizacji danych – art. 5 ust. 1 lit. c RODO wymaga, aby przetwarzane dane były adekwatne i niezbędne;
• zasady legalności przetwarzania – po ustaniu podstawy prawnej do publikacji dalsze udostępnianie danych osobowych w BIP staje się przetwarzaniem bez podstawy prawnej, co narusza art. 6 RODO.

Warto zatem opracować i wdrożyć procedurę cyklicznego przeglądu zasobów BIP. Administrator musi weryfikować, czy nie upłynął okres publikacji oświadczeń majątkowych, wyników konkursów czy protokołów publikowanych w BIP. Po upływie wymaganego czasu dane należy zanonimizować lub usunąć.

Uwaga! Rejestr cyklicznych przeglądów musi być uzupełniany na bieżąco i precyzyjnie opisywać stan faktyczny.

Warto sprawdzić, czy rejestr cyklicznych przeglądów w obszarze publikacji w BIP jest na bieżąco aktualizowany. W rubryce „Planowany termin usunięcia” trzeba wskazać konkretne okresy przechowywania dla poszczególnych kategorii dokumentów, zamiast ogólnych stwierdzeń. Ponadto w rubryce „Odbiorcy danych” trzeba wpisać podmioty obsługujące BIP (nazwy firm hostingowych/serwisowych).

► Błąd 3: ujawnianie danych osób składających skargi

Prezes UODO rozpatrywał skargę na wojewodę, który opublikował w BIP rozstrzygnięcie nadzorcze zawierające imię i nazwisko osoby, która złożyła skargę do rady gminy (decyzja DS.523.1369.2023 opisana w sprawozdaniu z działalności prezesa Urzędu Ochrony Danych Osobowych w roku 2024). Wojewoda opublikował rozstrzygnięcie w związku z obowiązkiem ustawowym, jednak ujawnił w nim dane osobowe skarżącego jako wnioskodawcy skargi. Po interwencji organu nadzoru dane te wojewoda zanonimizował. Prezes UODO zwrócił uwagę, że skarżący nie zrzekł się prawa do prywatności ani nie występował jako osoba publiczna, samo ujawnienie imienia i nazwiska skarżącego nie było niezbędne do osiągnięcia celu publikacji (informowanie o treści rozstrzygnięcia nadzorczego), a publikacja dokumentu urzędowego powinna nastąpić po uprzedniej anonimizacji danych osobowych skarżącego. Zdaniem Prezesa UODO udostępnienie danych nie znajdowało oparcia w żadnej przesłance z art. 6 ust. 1 RODO, a ponadto naruszyło zasadę minimalizacji danych (art. 5 ust. 1 lit. c RODO). Za to naruszenie prezes UODO udzielił wojewodzie upomnienia.

► Błąd 4: publikacja decyzji SKO bez anonimizacji danych

W innej sprawie opisywanej w sprawozdaniu rocznym z działalności prezesa UODO w 2023 r. skarżąca złożyła odwołanie od decyzji burmistrza ustalającej lokalizację inwestycji celu publicznego (decyzja DS.523.3953.2021). Samorządowe Kolegium Odwoławcze utrzymało decyzję w mocy i przekazało burmistrzowi obwieszczenie do publikacji. Zawierało ono informację o decyzji SKO po rozpatrzeniu odwołania skarżącej – z jej imieniem i nazwiskiem – i zostało umieszczone w szczególności na: tablicy ogłoszeń SKO, stronie BIP SKO, BIP urzędu gminy.

Prezes UODO wskazał, że celem obwieszczenia, instrumentu wskazanego w art. 49 kodeksu postępowania administracyjnego (dalej: k.p.a.) jest ułatwienie doręczenia w postępowaniach z dużą liczbą stron – eliminacja trudności z indywidualnym doręczaniem. Do poinformowania stron o zakończeniu postępowania i wydaniu decyzji nie było niezbędne podawanie w obwieszczeniu danych osobowych osoby, która wniosła odwołanie. Strony postępowania mają prawo zapoznawać się z aktami (w tym danymi innych stron), ale oznaczanie stron powinno następować w treści decyzji administracyjnej, a nie w publicznym obwieszczeniu dostępnym także dla osób postronnych. Co istotne, obwieszczenie nie jest równoznaczne z pełnym odwzorowaniem decyzji – ze względu na nieograniczony dostęp i prawo do prywatności niektóre elementy (takie jak dane osobowe skarżącego) powinny być zanonimizowane.

Prezes UODO podkreślił, że ujawnienie imienia i nazwiska w obwieszczeniu nie znajdowało oparcia w przesłankach art. 6 ust. 1 RODO i naruszyło zasady przetwarzania danych. Za to naruszenie prezes UODO udzielił upomnienia.

► Błąd 5: zbędne dane radnego

W sprawozdaniu z 2020 r. prezes UODO podkreślił, że publikacja interpelacji i zapytań nie powinna obejmować zbędnych danych osobowych – np. adresu zamieszkania radnego. Tego typu informacje nie są wymagane przepisami ustawy, która nakazuje upublicznienie jedynie treści interpelacji, zapytań i odpowiedzi.

Organ administracji, jako administrator danych, musi każdorazowo ocenić konieczność, zakres i cel publikacji danych osobowych. Niedopuszczalne jest automatyczne umieszczanie w BIP wszystkich danych zawartych w nadesłanej interpelacji – należy ocenić, które dane są niezbędne do realizacji celu, jakim jest zapewnienie jawności działalności rady.

► Błąd 6: utrzymywanie nieaktualnych oświadczeń majątkowych

W jednym ze swoich sprawozdań prezes UODO przypomniał sprawę dotyczącą nieprawidłowości w zakresie przetwarzania danych osobowych w związku z publikacją oświadczenia majątkowego na stronie Biuletynu Informacji Publicznej (DS.523.4358.2020). Skarga ta dotyczyła skargi złożonej przez byłego radnego gminy, którego oświadczenie majątkowe było dostępne w BIP przez okres przekraczający sześć lat. Oświadczenie było już nieaktualne.

Warto wskazać, że nie ma jednoznacznych regulacji w zakresie okresu przechowywania takich dokumentów w BIP. W opisanej sprawie prezes UODO nakazał jednak usunięcie danych osobowych z dokumentu dostępnego online.

► Błąd 7: upublicznianie danych osoby wnoszącej petycję bez jej zgody

Prezes UODO rozpatrywał m.in. skargę na wojewodę, który opublikował w BIP metrykę postępowania petycyjnego zawierającą imię i nazwisko osoby wnoszącej petycję (decyzja DS.523.1030.2023 opisana w „Sprawozdaniu z działalności prezesa UODO w roku 2024”). Skarżąca nie wyraziła zgody na ujawnienie swoich danych osobowych. Po jej pisemnej interwencji wojewoda usunął dane z BIP.

Prezes UODO wskazał, że zgodnie z art. 8 ustawy o petycjach (dalej: u.p.) publikacja imienia i nazwiska osoby wnoszącej petycję jest dopuszczalna wyłącznie za jej wyraźną zgodą. Brak takiej zgody oznacza obowiązek anonimizacji danych przed zamieszczeniem informacji w BIP.

W ocenie prezesa UODO wojewoda nie dysponował żadną przesłanką legalizującą przetwarzanie danych, o której mowa w art. 6 ust. 1 RODO. Doszło więc do udostępnienia danych osobowych bez podstawy prawnej. W związku z tym prezes UODO udzielił wojewodzie upomnienia.

W innej sprawie wójt gminy udostępnił na stronie BIP cyfrową kopię petycji złożonej przez mieszkankę, która zawierała dane osoby trzeciej – imię i nazwisko osoby wymienionej w treści petycji. Skarżący uznał, że jego dane zostały opublikowane bez podstawy prawnej, mimo że sam nie był autorem petycji. Wójt bronił się, powołując się na art. 4 ust. 3 ustawy o petycjach, który odnosi się do zasad publikowania tożsamości samego wnioskodawcy. W jego ocenie, to wnioskodawca odpowiada za treść petycji, a urząd jedynie realizuje ustawowy obowiązek publikacji. Jak wskazał prezes UODO, obowiązek informacyjny wynikający z art. 8 ust. 1 u.p. dotyczy publikacji danych autora petycji lub podmiotu, w którego imieniu została ona wniesiona. Obowiązek ten ma zastosowanie wyłącznie wtedy, gdy osoba ta wyraziła na to wyraźną zgodę.

Przepisy ustawy o petycjach nie regulują natomiast wprost sytuacji, w której treść petycji zawiera dane osobowe osób trzecich, niebędących wnioskodawcami ani ich przedstawicielami. W takich przypadkach – jak podkreślił prezes UODO – zastosowanie mają przepisy RODO.
Administrator przed publikacją treści petycji powinien więc ocenić legalność przetwarzania danych osobowych osób trzecich. W szczególności musi uwzględnić ich prawo do prywatności i ochrony danych osobowych, nawet jeśli osoby te nie wiedziały, że ich dane znalazły się w treści petycji.
Stanowisko organu nadzorczego było jednoznaczne. Brak podstawy prawnej do przetwarzania danych osobowych osób trzecich wskazanych w petycji stanowi naruszenie art. 6 ust. 1 RODO. W konsekwencji wójt został ukarany administracyjnie, a dokument usunięto z portalu BIP.

► Błąd 7: brak anonimizacji danych w wystąpieniach pokontrolnych

Kwestie prawidłowego przetwarzania danych osobowych pojawiły się również w sprawie opublikowania wystąpień pokontrolnych przez jeden z urzędów wojewódzkich. Kontrola przeprowadzona w urzędzie miejskim oraz ośrodku pomocy społecznej dotyczyła sposobu udzielenia wsparcia jednej z rodzin. Po zakończeniu procedury w BIP opublikowano treść wystąpień, które zawierały dane osobowe członków tej rodziny – imiona i nazwiska, relacje rodzinne i informacje o sprawowanej pieczy zastępczej. Udostępnienie tych danych nastąpiło wskutek niewłaściwej anonimizacji dokumentów. Z uwagi na brak przesłanki legalizującej przetwarzanie danych na podstawie art. 6 ust. 1 RODO, prezes UODO uznał działania wojewody za niezgodne z prawem. Dokumenty zawierające dane osobowe osób objętych pomocą zostały usunięte z internetu.

O czym jeszcze warto wiedzieć prowadząc BIP

Przeglądając sprawozdania z działalności prezesa UODO, można znaleźć wskazówki, na co jeszcze organ zwracał uwagę w trakcie weryfikacji skarg dotyczących funkcjonowania BIP.

Adres domowy przedsiębiorcy w zaleceniach pokontrolnych

W sprawozdaniu z działalności w 2021 r. prezes UODO pochylił się nad pytaniem, czy w BIP można opublikować prywatny adres osoby prowadzącej żłobek, jeśli jest on tożsamy z adresem firmy (s. 39 i n.). A ponadto nad pytaniem, jak długo takie dane mogą znajdować się na stronie urzędu (decyzja DS.523.3685.2020).

Sprawa dotyczyła publikacji przez urząd miasta zaleceń pokontrolnych po inspekcji w prywatnym żłobku. Właścicielka placówki (osoba fizyczna prowadząca działalność gospodarczą) złożyła skargę do prezesa UODO, kwestionując ujawnienie w BIP jej imienia, nazwiska oraz adresu zamieszkania. Organ nadzorczy musiał rozstrzygnąć dwa problemy: czy publikacja była legalna w momencie jej dokonania oraz czy urząd ma prawo utrzymywać te dane w BIP bezterminowo.

W omawianym przypadku nazwa firmy skarżącej składała się z jej imienia i nazwiska, a adres wykonywania działalności był tożsamy z jej adresem zamieszkania. Prezes UODO stanął na stanowisku, że pierwotna publikacja była zgodna z prawem. Uznał, że zgodnie z ustawą o dostępie do informacji publicznej (dalej: u.d.i.p.), obywatele mają prawo wiedzieć, jakie są efekty kontroli w placówkach takich jak żłobki. Aby informacja była rzetelna, musi wskazywać podmiot kontrolowany. Skoro przedsiębiorca zdecydował się na prowadzenie działalności pod własnym nazwiskiem i we własnym domu, dane te stały się elementem jawnym obrotu gospodarczego. Prezes UODO wskazał, że w tym przypadku ujawnienie tych danych było niezbędne i adekwatne do celu (identyfikacja kontrolowanego podmiotu) i oparte na przepisach prawa (art. 6 ust. 1 lit. c RODO).

Prezes przyznał, że polskie przepisy nie określają „daty ważności' publikowanych dokumentów. Nie wskazują, kiedy należy je usunąć. Tu jednak prezes UODO wyjaśnił, że trzeba zastosować zasadę ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO). Prezes UODO podkreślił: brak ustawowego terminu usunięcia danych nie oznacza, że można je przetwarzać w nieskończoność. Czasowym wyznacznikiem publikacji jest osiągnięcie celu przetwarzania.

W omawianej sprawie kluczowy okazał się wyrok WSA w Warszawie. Sąd ten uchylił decyzje administracyjne wydane na podstawie przedmiotowej kontroli i nakazał przeprowadzenie nowej inspekcji, wytykając błędy proceduralne (m.in. nierozpatrzenie zastrzeżeń do protokołu).

UODO wskazał, że skoro sąd zakwestionował prawidłowość postępowania kontrolnego, a sprawa wróciła do ponownego rozpatrzenia, cel publikowania „starych” i prawnie wadliwych zaleceń w BIP został wyczerpany lub zdezaktualizował się.

Informacje o absencji chorobowej osób pełniących funkcje publiczne

W sprawozdaniu ze swojej działalności w roku 2020 prezes UODO opisał również skargę, która dotyczyła udostępnienia w BIP przez burmistrza informacji o przebywaniu dyrektora szkoły na zwolnieniu lekarskim. Taka informacja była zawarta w treści zarządzeń burmistrza dotyczących odwołania skarżącej ze stanowiska dyrektora szkoły i powołania nowego szefa placówki (sprawa opisana na stronie 55, bez numeru decyzji).

Zarządzenia opublikowane przez burmistrza w BIP zawierały uzasadnienie, z którego wynikało, że przyczyną zmiany na stanowisku była nieobecność skarżącej spowodowana zwolnieniem lekarskim, co stwarzało konieczność zapewnienia ciągłości zarządzania placówką. Skarżąca nie wystąpiła wcześniej do urzędu z wnioskiem o usunięcie danych, lecz od razu skierowała sprawę do UODO.

Po analizie stanu faktycznego prezes UODO uznał, że: skarżąca, jako dyrektor szkoły, pełniła funkcję publiczną, a informacje o obsadzeniu takiego stanowiska są informacją publiczną. Absencja pracownika sprawującego funkcję kierowniczą wpływa na organizację pracy jednostki i stanowi istotną okoliczność służącą uzasadnieniu decyzji kadrowej. Publikacja informacji jedynie o przebywaniu na zwolnieniu lekarskim, bez wskazywania przyczyny czy szczegółów medycznych, nie naruszyła przepisów o ochronie danych osobowych.

Prezes UODO uznał, że w tym przypadku dane osobowe zostały udostępnione legalnie – podstawą prawną przetwarzania były art. 6 ust. 1 lit. c i e oraz art. 9 ust. 2 lit. g RODO. Wyjaśnił, że zarządzenia organów publicznych są dokumentami urzędowymi podlegającymi archiwizacji, a zatem ich usunięcie lub ograniczenie przetwarzania przed upływem ustawowego okresu przechowywania nie było możliwe.

Wniosek wypływający z rozważań prezesa UODO jest następujący: informacja o nieobecności pracownika pełniącego funkcję publiczną, która wpływa na funkcjonowanie jednostki, może być – w uzasadnionym zakresie – ujawniona w BIP, o ile nie narusza to granic prywatności i nie wchodzi w sferę danych wrażliwych. Organy administracji muszą jednak zachowywać ostrożność i unikać podawania informacji nadmiarowych lub zbędnych z punktu widzenia celu informacyjnego.

Przetwarzanie danych osobowych pracownika

Prezes UODO wypowiadał się również w kwestii, czy na stronie BIP można bez zgody zainteresowanego urzędnika przetwarzać jego imię i nazwisko oraz publikować jego wizerunek. Po przeprowadzeniu analizy organ uznał, że przetwarzanie danych osobowych skarżącego w zakresie jego imienia i nazwiska na stronie internetowej urzędu gminy, w tym w BIP, miało oparcie w przepisach RODO. ©℗