Publikacja petycji w BIP może być aktem transparentności, ale też źródłem poważnego naruszenia prywatności. Decyzja Prezesa UODO po sprawie z Myślenic pokazuje, że „błąd” nie zwalnia z obowiązków administratora.
Transparentność kontra prywatność
Biuletyn Informacji Publicznej ma służyć jawności życia publicznego, jednak w praktyce bywa miejscem, w którym zderzają się dwie wartości: prawo obywateli do informacji i prawo do ochrony danych osobowych. Ten konflikt nie jest teoretyczny — wystarczy jeden nieprzemyślany załącznik, by jawność zamieniła się w masowe ujawnienie wrażliwych informacji.
Tak stało się w gminie, która opublikowała w BIP petycję dotyczącą budowy połączenia kolejowego na trasie Kraków–Myślenice. Wraz z dokumentem udostępniono listę 749 osób popierających inicjatywę, a w niej: nazwiska, adresy oraz wzory podpisów. Kluczowe jest to, że plik nie został zanonimizowany.
Co dokładnie ujawniono i dlaczego to problem
Wzór podpisu to nie „zwykła” informacja kontaktowa. W połączeniu z adresem i nazwiskiem tworzy zestaw danych, który może zostać wykorzystany do podszywania się pod daną osobę, prób wyłudzeń czy nadużyć w obrocie prawnym. Nawet jeśli ryzyko nie materializuje się od razu, sam fakt ujawnienia takiego pakietu danych znacząco podnosi potencjalne koszty społeczne incydentu.
W tej sprawie istotne było również to, że błędny załącznik pozostawał dostępny w BIP przez kilkanaście dni. W realiach internetu to wystarczająco długo, by dokument został pobrany, skopiowany i rozpowszechniony poza kontrolą urzędu. Późniejsza podmiana pliku na poprawny nie cofa skutków pierwotnej publikacji.
Reakcja obywatela i uruchomienie procedur
Impulsem do działania okazało się zawiadomienie złożone przez jednego z mieszkańców, którego dane znalazły się w opublikowanej petycji. To ważny sygnał: system ochrony danych nie opiera się wyłącznie na kontrolach, ale także na aktywności osób, których dane dotyczą.
Po zgłoszeniu sprawą zajął się Prezes Urzędu Ochrony Danych Osobowych, prowadząc postępowanie administracyjne. W jego toku oceniano zarówno sam fakt ujawnienia danych, jak i sposób, w jaki administrator danych zareagował na incydent.
Obowiązek zgłoszenia naruszenia i spór o „ryzyko”
Władze gminy argumentowały, że doszło do niezamierzonego błędu, a niewłaściwy plik został zastąpiony prawidłowym. Pojawił się też wniosek o umorzenie postępowania dotyczącego niezgłoszenia naruszenia, m.in. z powołaniem się na to, że sprawa toczy się już w związku ze skargą indywidualną.
Organ nadzorczy uznał jednak, że nawet przy braku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych administrator miał obowiązek zgłosić incydent do UODO — a tego nie zrobił. To rozróżnienie jest dla praktyki samorządów kluczowe: ocena poziomu ryzyka wpływa na zakres działań wobec osób, których dane dotyczą, ale nie znosi automatycznie obowiązków wobec organu nadzorczego.
Kara pieniężna i jej znaczenie
W efekcie Prezes UODO stwierdził naruszenie ochrony danych osobowych i nałożył administracyjną karę pieniężną w wysokości 7700 zł. Sama kwota nie jest tu jedynym przekazem. Decyzja pokazuje, że w sektorze publicznym „proceduralne” zaniedbania — takie jak brak zgłoszenia naruszenia — mogą być traktowane równie poważnie jak pierwotny błąd publikacyjny.
To także sygnał dla innych jednostek samorządu: BIP nie jest strefą wyłączoną spod RODO. Publikowanie dokumentów urzędowych wymaga kontroli wersji, weryfikacji załączników i jasnych reguł anonimizacji. W przeciwnym razie jawność staje się ryzykiem systemowym, a nie narzędziem budowania zaufania.
Odwołanie do sądu i pytania o standard uzasadnienia
Decyzja nie jest prawomocna. Burmistrz zapowiedział odwołanie do sądu, wskazując na niejasności i nieścisłości w uzasadnieniu rozstrzygnięcia. Ten etap może mieć znaczenie wykraczające poza jedną gminę, bo sądowa kontrola decyzji organu nadzorczego doprecyzowuje standardy interpretacji obowiązków administratora.
W praktyce spór może dotyczyć m.in. tego, jak oceniać ryzyko w sytuacji ujawnienia podpisów i adresów oraz jak rozumieć relację między skargą osoby fizycznej a niezależnym obowiązkiem zgłoszenia naruszenia. Dla administracji publicznej to ważne, bo podobne incydenty często zaczynają się od „jednego pliku w złym miejscu”.
Wnioski dla urzędów: procedury, nie deklaracje
Najbardziej pouczające w tej historii jest to, że problem nie wynikał z intencji, lecz z procesu. RODO w urzędach nie sprowadza się do klauzul informacyjnych i szkoleń „raz do roku”, ale do codziennej higieny publikacji: list kontrolnych, podwójnej weryfikacji, ograniczania danych do niezbędnego minimum i jasnego przypisania odpowiedzialności.
Jeśli petycja ma być publiczna, nie oznacza to automatycznie, że publiczne mają być wszystkie dane osób ją popierających. W samorządach szczególnie łatwo pomylić jawność działania organu z jawnością danych mieszkańców. Decyzja UODO przypomina, że to dwie różne kategorie — a pomieszanie ich może kosztować znacznie więcej niż administracyjna kara.
Oryginalny tekst: Dane osobowe obywateli ujawnione przez burmistrza Myślenic. Prezes UODO ukarał go karą pieniężną
