RODO w samorządach: osiem typowych naruszeń ochrony danych osobowych

Przybliżamy wybrane problemy dotyczące samorządów, na które zwrócił uwagę prezes UODO. Uwzględniamy też decyzje, które nie zawsze dotyczyły wprost organów publicznych, ale wskazane w nich wnioski mogą być również dla nich ważną wskazówką.

Błąd pierwszy: udostępnianie danych osobowych autorów skarg podczas sesji rady

Prezes UODO w sprawozdaniu zwrócił uwagę, że skargi obywateli są odczytywane na sesji rady gminy w całości wraz z danymi osobowymi osób je zgłaszających. Potem informacje te są zamieszczane w protokołach z przebiegu sesji rady oraz w Biuletynie Informacji Publicznej. W efekcie zdarza się, że dane osobowe z jednej skargi są naruszane na kilka różnych sposobów.

Tak było w jednej ze spraw rozpatrywanych przez prezesa UODO w 2024 r., opisanych szerzej w sprawozdaniu (nr decyzji DS.523.3773.2022). Skarżący wniósł skargi na wójta do urzędu gminy za pośrednictwem platformy ePUAP, zostały one przekazane radzie, a ta – jako organ właściwy – rozpatrywała je na dwóch posiedzeniach. Podczas obu sesji najpierw wójt udostępnił nazwisko skarżącego, a następnie – przewodniczący rady jego imię. Na dodatek nagrania z sesji zostały umieszczone na stronach internetowych urzędu bez anonimizacji danych.

Ważne! W ocenie prezesa UODO wójt nie miał podstaw do upublicznienia podczas sesji danych osobowych skarżącego, ponieważ nie było to niezbędne do rozpatrzenia wniesionych skarg.

Wskazał, że wójt jako administrator danych osobowych zawartych w skardze jest zobowiązany przetwarzać je tak, by nie naruszać przepisów o ochronie danych osobowych, w tym art. 6 ust. 1 RODO (który wskazuje, w jakich przypadkach przetwarzanie jest zgodne z prawem – red.) oraz zasad przetwarzania danych wyrażonych w RODO, m.in. zasady minimalizacji danych określonej w art. 5 ust. 1 lit. c RODO. Dodał, że również „przy upublicznieniu nagrań zbędne było (nieadekwatne do celu) ujawnienie imienia i nazwiska skarżącego, jako osoby składającej skargi na wójta”.

Prezes odwołał się w decyzji również do art. 5 ust. 2 ustawy o dostępie do informacji publicznej (dalej: u.d.i.p.), w myśl którego: „Prawo do informacji publicznej podlega ograniczeniu ze względu na prywatność osoby fizycznej lub tajemnicę przedsiębiorcy”. A zatem udostępniając informację publiczną, należy chronić prywatność (to pojęcie szersze niż pojęcie samych danych osobowych). A informacji prywatnych nie wolno udostępniać w trybie u.d.i.p.

Za powyższe naruszenie prezes UODO udzielił wójtowi upomnienia.

Wyjątek: osoby pełniące funkcje publiczne

Od ograniczenia prywatności wynikającego z art. 5 ust. 2 u.d.i.p. jest jednak wyjątek. Mianowicie zdanie drugie tego przepisu pozwala udostępniać dane dotyczące „osób pełniących funkcje publiczne mające związek z pełnieniem tych funkcji, w tym o warunkach powierzenia i wykonywania funkcji, oraz w przypadku gdy osoba fizyczna lub przedsiębiorca rezygnują z przysługującego im prawa”.

W przytoczonym fragmencie przepisu na szczególne uwzględnienie zasługują dwa zwroty: „osoba pełniąca funkcję” oraz „związek z pełnieniem tych funkcji”.

Trybunał Konstytucyjny w wyroku K 17/05 wyjaśnił, kto może być uznany za osobę pełniącą funkcję publiczną. Podkreślił, że to pojęcie ma własną, niezależną definicję, inną niż pojęcie „funkcjonariusz publiczny'. Aby zostać uznanym za osobę pełniącą funkcję publiczną, pracownik samorządowy nie musi składać oświadczenia majątkowego. Wystarczy, że spełnia jedno z trzech kryteriów:

• zarządza mieniem publicznym,
• ma chociażby pośredni wpływ na wydawanie decyzji administracyjnych,
• bezpośrednio realizuje zadania publiczne.

Tak sformułowana definicja była wielokrotnie komentowana przez sądy administracyjne. WSA w Łodzi w orzeczeniu z 24 października 2023 r., sygn. akt II SAB/Łd 88/23 wskazał, że funkcję publiczną mogą pełnić nie tylko osoby wydające decyzje administracyjne z upoważnienia wójta (burmistrza, prezydenta), lecz także inni pracownicy samorządowi, którzy w ramach swoich obowiązków wykonują zadania mające wpływ na podejmowanie rozstrzygnięć o charakterze władczym (np. pracownicy merytoryczni wydziałów urzędu, którzy choć nie wydają decyzji administracyjnych, to w indywidualnych sprawach przygotowują materiały dowodowe lub projekty decyzji administracyjnych, albo osoby uprawnione do wydawania zaświadczeń w imieniu organu, czy przyjmowania wniosków w indywidualnych sprawach administracyjnych). Natomiast za stanowiska o charakterze usługowym czy technicznym uznać należy stanowiska „szeregowych pracowników urzędu, nieposiadających żadnego wpływu na procesy decyzyjne, wykonujących szeroko rozumiane czynności pomocnicze polegające między innymi na obsłudze biurowej, informatycznej czy też porządkowe.'

Ważne! Jeśli skargę do rady gminy lub powiatu złoży osoba pełniąca funkcję publiczną, jej dane można ujawnić tylko wtedy, gdy skarga ta ma związek z jej funkcją.

Jak powinna być rozpatrywana skarga na sesji rady, żeby nie naruszyć RODO

Przewodniczący lub inna osoba przedstawiająca skargę na forum publicznym (czyli na sesji) ma obowiązek pominąć wszelkie informacje, które mogłyby doprowadzić do zidentyfikowania skarżącego. Pominięte powinny być nie tylko nazwisko, lecz także inne dane, które w połączeniu mogłyby ujawnić tożsamość, na przykład:

• adres,
• numer telefonu,
• numer PESEL,
• inne specyficzne informacje, które dotyczą tylko tej osoby.

Ważne! Radni jako przedstawiciele organu stanowiącego i kontrolnego gminy mają prawo do pełnego dostępu do dokumentów, w tym skarg, które są przedmiotem ich pracy.

Ten dostęp jest niezbędny, aby mogli rzetelnie wykonywać obowiązki, szczególnie w ramach komisji skarg, wniosków i petycji. Radni nie są jednak zwolnieni z obowiązku zachowania poufności danych, do których uzyskują dostęp w związku z pełnioną funkcją.

Błąd drugi: dane w metryce postępowania dotyczącego petycji

Inna skarga, o której wspomniał prezes UODO w sprawozdaniu (nr decyzji DS.523.1030.2023), dotyczyła udostępnienia danych osobowych autora petycji na stronie BIP urzędu wojewódzkiego. Wojewoda opublikował dane w metryce postępowania dotyczącego petycji. Naruszył w ten sposób art. 8 ustawy o petycjach, z którego wynika, że brak zgody uniemożliwia upublicznienie danych. Po interwencji skarżącej wojewoda usunął dane ze strony.

W ocenie organu nadzorczego „metryka dotycząca przebiegu postępowania w sprawie złożonej przez skarżącą petycji powinna zostać umieszczona na stronie internetowej podmiotu rozpatrującego petycję po uprzedniej anonimizacji danych osobowych skarżącej”. Prezes UODO dodał, że „wojewoda, publikując dane osobowe skarżącej, nie legitymował się żadną spośród przesłanek określonych w art. 6 ust. 1 RODO, która stanowiłaby o legalności tego udostępnienia, co przesądza o tym, że ww. udostępnienie danych nastąpiło bez podstawy prawnej. Za powyższe naruszenie prezes UODO udzielił wojewodzie upomnienia.

Błąd trzeci: dane osobowe skarżącego w BIP wojewody

W innej sprawie (nr DS.523.1369.2023) prezes UODO zakwestionował udostępnienie przez wojewodę danych osobowych skarżącego (imienia i nazwiska) na stronie internetowej BIP urzędu wojewódzkiego. Sytuacja była następująca: osoba prywatna złożyła skargę na radną do rady gminy. Rada gminy podjęła uchwałę o przekazaniu tej skargi do wojewody. Ten zaś wydał rozstrzygnięcie nadzorcze i następnie opublikował je na stronie internetowej BIP urzędu wojewódzkiego (z uwagi na ustawowy obowiązek).

Rozstrzygnięcie nadzorcze zawierało jednak dane osobowe skarżącego w postaci imienia i nazwiska osoby, która wniosła skargę do rady gminy. Ocena prezesa UODO była jednoznaczna: „przy upublicznieniu dokumentu urzędowego jedynie w celu informacyjnym zbędne było (nieadekwatne do uzyskania celu) ujawnienie danych osobowych skarżącego w postaci jego imienia i nazwiska jako osoby, która wniosła skargę do rady gminy. Publikacja dokumentu, który zawiera dane osobowe w zakresie, który może powodować naruszenie prawa do prywatności, powinna była nastąpić po odpowiednim przetworzeniu danych osobowych w nim zawartych. Oznacza to, że rozstrzygnięcie nadzorcze powinno było zostać upublicznione po uprzednim usunięciu z niego danych osobowych skarżącego”.

Prezes UODO wskazał, że zgodnie z zasadą minimalizacji danych, która jest zapisana w artykule 5 ust. 1 lit. c RODO, „dane osobowe muszą być: adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (minimalizacja danych)'. Przy czym:

• adekwatność – oznacza, że zbierane dane są wystarczające do realizacji celu,
• stosowność – oznacza, że dane są bezpośrednio powiązane z celem,
• ograniczenie do niezbędności – znaczy tyle, że nie przetwarza, a więc również nie udostępnia się żadnych danych na zapas ani takich, które nie są absolutnie potrzebne.

Podsumowując: według prezesa UODO udostępnienie przez wojewodę pełnego rozstrzygnięcia nadzorczego było niewłaściwe, ponieważ jego cel (informacja o decyzji nadzorczej) nie wymagał ujawniania tożsamości skarżącego. W tym przypadku wystarczające byłoby opublikowanie dokumentu po uprzednim zanonimizowaniu danych osobowych (czyli usunięciu imienia i nazwiska).

Uwaga! Adekwatność, stosowność i ograniczenie do niezbędności w kontekście publikacji danych w BIP oznacza według prezesa UODO, że wszelkie informacje podawane do wiadomości publicznej muszą być pozbawione tych danych osobowych, które nie są absolutnie konieczne do zrozumienia treści dokumentu. Taka praktyka zapewnia ochronę prywatności obywateli, jednocześnie spełniając obowiązki informacyjne.

Wydaje się, że tu właśnie leży sedno problemu: trzeba znaleźć równowagę między dwiema ważnymi wartościami zapisanymi w konstytucji – jawnością życia publicznego (art. 61 konstytucji) a ochroną prywatności (art. 47, w myśl którego „Każdy ma prawo do ochrony prawnej życia prywatnego, rodzinnego, czci i dobrego imienia oraz do decydowania o swoim życiu osobistym”). Celem rozpatrywania skarg czy publikowania protokołów jest bowiem jawność życia publicznego, transparentność wydawanych uchwał i decyzji, a nie ujawnianie określonych danych osobowych.

Błąd czwarty: ujawnianie podmiotom kontrolowanym danych osoby, informującej o naruszeniach

Prezes UODO zwrócił też uwagę na inny błąd, jaki popełniają często organy publiczne: ujawnianie danych autorów skarg tym osobom i podmiotom, które są kontrolowane przez te organy z powodu tych skarg.

Stan faktyczny w jednej z takich spraw rozpatrywanych przez prezesa UODO (decyzja nr DS.523.3975.2020) był następujący: „Skarżąca zwróciła się do Powiatowego Inspektoratu Nadzoru Budowlanego (PINB) z wnioskiem o udzielenie informacji, na jakiej podstawie rozpoczęto prace budowlane na działkach położonych w jej miejscowości. W piśmie poinformowała również o braku tablicy informującej o prowadzeniu robót budowlanych na działkach, nieprawidłowym umieszczeniu skrzynki energii elektrycznej oraz o zmianach w wyznaczeniu granicy tych działek. PINB po otrzymaniu pisma przeprowadził kontrolę legalności robót budowlanych prowadzonych na działkach wskazanych w piśmie. W zawiadomieniu o sposobie rozpatrzenia skargi poinformował skarżącą o wynikach przeprowadzonej kontroli na wskazanych działkach. Powyższe zawiadomienie wysłał do podmiotów wymienionych w tym zawiadomieniu w polu „do wiadomości”. W efekcie dane skarżącej trafiły m.in. do właścicieli nieruchomości, której dotyczyła kontrola przeprowadzona przez PINB.

W sprawozdaniu za 2024 r. prezes UODO podkreślił, że udostępnienie przez PINB danych osobowych skarżącej, zawartych w skierowanym do niej zawiadomieniu PINB o sposobie załatwienia skargi, było nieuzasadnione. Wyjaśnił, że „dane osobowe osoby zawiadamiającej organ o potencjalnych nieprawidłowościach powinny co do zasady pozostać poufne w ramach postępowania prowadzonego przez organ z urzędu, w sytuacji gdy nie jest ona stroną postępowania wszczętego na skutek otrzymanego od niej zgłoszenia, i nie mogą być ujawniane w toku postępowania stronom i uczestnikom tego postępowania”. Prezes UODO uznał, że powyższe działanie nie miało podstawy prawnej i naruszało zasadę minimalizacji. Ujawnienie danych osobowych skarżącej było całkowicie zbędne. Cel, jakim było poinformowanie właścicieli o wynikach kontroli, mógł zostać osiągnięty bez ujawniania tożsamości osoby zgłaszającej.

Prezes UODO konsekwentnie podkreślał w wielu wcześniejszych decyzjach, że ochrona danych osobowych dotyczy również sytuacji, w których obywatele korzystają z prawa do zgłaszania nieprawidłowości.

Ważne! Organy publiczne powinny dbać o to, by informacje te były przetwarzane z najwyższą starannością, a ich ujawnienie następowało tylko wtedy, gdy jest to absolutnie konieczne i ma wyraźną podstawę prawną.

W innej sprawie (nr DS.523.142.2024) prezes UODO oceniał sytuację, gdy PINB udostępnił dane osobowe skarżącego (imię, nazwisko, adres zamieszkania i numer PESEL) zawarte we wnioskach skierowanych do PINB o wszczęcie kontroli w sprawie stanu technicznego zbiornika na nieczystości ciekłe na wskazanych przez skarżącego nieruchomościach. I w tej sytuacji prezes UODO ujawnienie tak szerokiego zakresu danych uznał za „nieadekwatne i zbędne do celu, jakim było wszczęcie kontroli”. Organ administracji publicznej powinien przetwarzać dane w sposób, który nie narusza prywatności, i stosować się do zasady minimalizacji danych, ograniczając udostępnianie informacji do absolutnie niezbędnego minimum.

Błąd piąty: ujawnianie adresu mailowego skarżącego w urzędowym mailu

Jedna z rozpatrywanych skarg dotyczyła „udostępnienia przez powiatowy ośrodek dokumentacji geodezyjnej i kartograficznej (PODGiK) danych osobowych skarżącego w postaci imienia, nazwiska i adresu e-mail, jako jednego z wielu adresatów wiadomości e-mail dotyczącej sposobu przekazywania dokumentacji z wykonania prac geodezyjnych, wysłanej przez dyrektora tego ośrodka do dużej liczby adresatów”.

Prezes UODO w wydanej decyzji (nr DS.523.3091.2021) wskazał, że zakres danych i informacji udostępnianych innym adresatom wiadomości e-mail powinien być adekwatny do ich potrzeb związanych ze zgodnym z prawem celem udostępnienia. Prezes UODO ocenił, że PODGiK nie dochował należytej staranności przy przetwarzaniu danych osobowych skarżącego, naruszając tym samym zasadę minimalizacji danych uregulowaną w art. 5 ust. 1 lit. c RODO”.

Opisywany przypadek pokazuje, że błędy w ochronie danych osobowych nie zawsze wynikają ze skomplikowanych problemów technicznych, ale często z braku świadomości i należytej staranności w prostych, codziennych czynnościach.

Ważne! Przy przesyłaniu informacji e-mailem do wiadomości należy korzystać z opcji UDW (ukryte do wiadomości), a nie DW (do wiadomości). To istotne z punktu widzenia ochrony danych osobowych.

Błąd szósty: używanie biometrii do ewidencji czasu pracy w urzędzie

Obecnie coraz częściej pracodawcy, także samorządowi (starostwa powiatowe, szpitale), wprowadzają system monitorowania wejść i wyjść pracowników przez kontrolę danych biometrycznych. Często wskazują, że dotychczasowe rozwiązania, tj. karty magnetyczne, nie zawsze się sprawdzają, bo pracownicy je sobie nawzajem pożyczają w wiadomym celu.

Decyzja prezesa UODO wprawdzie nie dotyczyła samorządu, ale wskazuje jak jest oceniane takie wykorzystywanie biometrii. W rozpatrywanej przez prezesa sprawie skarżąca złożyła skargę na pracodawcę, który stosował system ewidencji czasu pracy oparty na czytnikach linii papilarnych. Zarzuciła, że jej dane biometryczne były przetwarzane bez podstawy prawnej oraz że nie spełniono wobec niej obowiązku informacyjnego. Pracodawca twierdził, że system nie przechowuje danych biometrycznych, a jedynie porównuje wzór odcisku palca zakodowanego na karcie z odciskiem faktycznym.

Prezes UODO uznał w decyzji (DS.523.2629.2023), że pracodawca pełni rolę administratora danych biometrycznych, ponieważ to on decydował o sposobie ich przetwarzania i wykorzystywał je w systemie kontroli dostępu. Z punktu widzenia prawa ochrony danych nawet samo porównywanie wzorca odcisku palca w celu identyfikacji osoby jest już przetwarzaniem danych biometrycznych.

Zgodnie z art. 9 RODO dane biometryczne (jak odciski palców) są danymi szczególnie chronionymi i ich przetwarzanie jest zasadniczo zabronione, chyba że zachodzi jeden z wyjątków sankcjonujących przetwarzanie, wskazanych w ust. 2 tego artykułu. Pracodawca musiałby wykazać, że posiada podstawę prawną do ich przetwarzania, np. zgodę pracownika, która musi być dobrowolna i świadoma.

Tymczasem w warunkach zatrudnienia, gdzie pracownik jest w relacji podległości, uzyskanie zgody spełniającej takie warunki jest bardzo trudne (a wręcz praktycznie niemożliwe).

W myśl art. 22^1b par. 2 kodeksu pracy „przetwarzanie danych biometrycznych pracownika jest dopuszczalne także wtedy, gdy podanie takich danych jest niezbędne ze względu na kontrolę dostępu do szczególnie ważnych informacji, których ujawnienie może narazić pracodawcę na szkodę, lub dostępu do pomieszczeń wymagających szczególnej ochrony”.

Oznacza to, że w przypadku samorządu dopuszczalne wydaje się zatem np. kontrolowanie wejść do serwerowni lub kancelarii niejawnej.

Błąd siódmy: adnotacje o zdrowiu w skierowaniu na badania okresowe

Przedmiotem jednego z postępowań omawianych w rocznym sprawozdaniu prezesa UODO było przetwarzanie przez spółkę (pracodawcę) danych o stanie zdrowia skarżącej, zawartych w skierowaniu na okresowe badania lekarskie (decyzja nr DS.523.5504.2024).

W toku postępowania administracyjnego prezes UODO zakwestionował treść skierowania używanego przez pracodawcę. Wskazał, że wzór skierowania na badania profilaktyczne (wstępne, okresowe, kontrolne) został określony w przepisach prawa. Wśród informacji przewidzianych w tym wzorze nie ma danych dotyczących stanu zdrowia pracownika. „Umieszczenie na skierowaniu informacji o tym, że skarżąca miewa omdlenia (bez względu na prawdziwość tej informacji), stanowiło nadmiarowe przetwarzanie danych, do którego pracodawca nie był uprawniony” – podkreślił prezes UODO.

Takie adnotacje naruszają zasadę minimalizacji danych (art. 5 ust. 1 lit. c RODO).

Ważne! Zasada minimalizacji danych stanowi, że dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

Pracodawca w tym przypadku naruszył tę zasadę, umieszczając w skierowaniu na badania lekarskie informację o stanie zdrowia pracownicy. Pracodawca miał obowiązek podać jedynie dane niezbędne do wykonania badań (np. stanowisko pracy i czynniki szkodliwe), a nie informacje medyczne pracownika.

Ważne! Dane dotyczące stanu zdrowia należą do szczególnych kategorii danych osobowych. Ich przetwarzanie jest co do zasady zabronione.

Istnieją wyjątki, ale w tym konkretnym przypadku pracodawca nie miał podstawy prawnej do gromadzenia i przetwarzania tej informacji. Umieszczenie informacji medycznej w skierowaniu, które jest standardowym dokumentem pracodawcy, stanowiło nieuprawnione przetwarzanie danych wrażliwych. Nawet jeśli informacja ta była prawdziwa, pracodawca nie miał prawa jej tam podać, ponieważ nie było to niezbędne do celów medycyny pracy.

Pracodawca naruszył też zasadę zgodności z prawem, rzetelności i przejrzystości (art. 5 ust. 1 lit. a RODO).

Ważne! Modyfikowanie wzorów dokumentów określonych przepisami przez pracodawców w celu gromadzenia dodatkowych nadmiarowych informacji jest działaniem nieuprawnionym. A zamieszczanie danych dotyczących stanu zdrowia w sposób szczególny narusza dane osobowe pracowników.

Podobne naruszenie prezes UODO przytoczył już w sprawozdaniu z 2023 r. Wyraźnie zatem organ nadzorczy stara się zwrócić uwagę administratorów na taką praktykę.

Błąd ósmy: ujawnianie stanu zdrowia pracownika przez przełożonych. To też naruszenie RODO

Warto wymienić także naruszenie, które jak wynika z obserwacji – często zdarza się również w samorządach. W sprawie, w której prezes UODO wydał decyzję (nr DS.523.5475.2023), skarżąca zarzuciła pracodawcy, że udostępnił na forum pracowników informacje o jej stanie zdrowia i leczeniu. Pracownica była długotrwale nieobecna w pracy z powodu zwolnienia lekarskiego. W jego trakcie współpracownicy, po uzyskaniu informacji od przełożonych, kontaktowali się z nią telefonicznie z pytaniami o stan zdrowia. Pracodawca wyjaśnił, że początkowo informacje o chorobie skarżącej były udostępniane jedynie przełożonym odpowiedzialnym za organizację pracy w oddziale, w którym była zatrudniona. Następnie jedna z przełożonych przekazała je innym pracownikom, uzasadniając to koniecznością reorganizacji pracy z powodu długotrwałej nieobecności. Prezes UODO stwierdził, że ujawnienie tych danych nie miało podstawy w żadnej z przesłanek art. 9 ust. 2 RODO i było nieuprawnione.

Ważne! Informacja o szczegółach choroby czy leczeniu nie była niezbędna do zorganizowania zastępstwa czy reorganizacji pracy. Wystarczyłaby informacja o nieobecności pracownika.

Prezes UODO podkreślił, że w opisanej sytuacji nie miała również zastosowania żadna z przesłanek zawartych w art. 9 ust. 2 RODO (przepis ten określa, kiedy nie stosuje się RODO do przetwarzania danych osobowych). W szczególności nie było zgody pracownika (a nawet gdyby była – byłyby wątpliwości co do jej dobrowolności), nie było obowiązku prawnego (żaden przepis prawa pracy nie nakłada na pracodawcę obowiązku informowania innych pracowników o przyczynie nieobecności kolegi/koleżanki). Przetwarzanie danych o zdrowiu jest dozwolone, gdy jest niezbędne do celów medycyny pracy, ale w tym przypadku udostępnienie informacji współpracownikom nie miało nic wspólnego z tym celem. ©℗