Kontrola UODO w BIP samorządów: 4 rzeczy do sprawdzenia przez JST
Urząd Ochrony Danych Osobowych zapowiedział na 2026 rok sektorowe kontrole Biuletynów Informacji Publicznej w jednostkach samorządu terytorialnego. Inspektorzy będą weryfikować nie tylko zawartość strony, lecz także procesy redakcyjne, umowy z dostawcami usług IT i sposób anonimizacji dokumentów – sprawdź, które obszary wymagają przeglądu w pierwszej kolejności.
Planowane zmiany w ustawie o finansach publicznych w 2026 r. w zakresie audytu wewnętrznego »
Urząd Ochrony Danych Osobowych zapowiedział na 2026 rok sektorowe kontrole Biuletynów Informacji Publicznej w jednostkach samorządu terytorialnego. Kontrola UODO w BIP nie musi kończyć się karą finansową – organ dysponuje też ostrzeżeniami i upomnieniami – ale wymaga od samorządu udokumentowanego porządku w kilku konkretnych obszarach. Poniżej cztery działania, które JST powinna podjąć przed kontrolą UODO.
Oświadczenia majątkowe w BIP – sprawdź daty publikacji
Oświadczenia majątkowe mogą być udostępniane w BIP wyłącznie przez sześć lat od ich złożenia. Dokumenty starsze powinny zostać wycofane z publicznego dostępu niezwłocznie – nawet jeśli nadal przechowujesz je w archiwum zakładowym. To jeden z pierwszych obszarów, które weryfikują inspektorzy UODO. Jeśli nie przeprowadzałeś przeglądu BIP od kilku lat, istnieje ryzyko, że w biuletynie nadal widnieją oświadczenia byłych funkcjonariuszy sprzed dekady. Analogiczna weryfikacja dotyczy petycji, wniosków mieszkańców i protokołów posiedzeń komisji zawierających dane osób trzecich.
Umowy powierzenia przetwarzania danych – kto powinien je podpisać
Każdy podmiot zewnętrzny obsługujący BIP musi działać na podstawie umowy powierzenia przetwarzania danych, o której mowa w art. 28 RODO. Dotyczy to hostingodawcy, dostawcy systemu CMS oraz – co często bywa pomijane – platformy do transmisji sesji rady gminy. Warto sprawdzić nie tylko, czy umowy istnieją, lecz również czy są aktualne i czy obejmują faktyczny zakres przetwarzanych danych.
Nagrania sesji rady a ochrona danych osobowych
Obowiązek transmisji i utrwalania obrad rady wynika wprost z ustawy o samorządzie gminnym. Nie zwalnia to jednak administratora z obowiązków wynikających z RODO. Jeśli podczas sesji zostały ujawnione dane osobowe osób trzecich – np. odczytano pismo zawierające informacje o stanie zdrowia mieszkańca – fragment ten powinien zostać wycięty lub wyciszony w wersji publikowanej w BIP. Korzystanie z bezpłatnych platform streamingowych jest dopuszczalne, ale wymaga udokumentowanej analizy ryzyka i kopii nagrań na własnych serwerach jednostki.
Anonimizacja dokumentów w BIP – jak zrobić to skutecznie
Zakrycie tekstu czarnym prostokątem w edytorze PDF nie stanowi skutecznej anonimizacji.
Taka warstwa graficzna może zostać usunięta, a ukryte dane – skopiowane. Bezpieczna anonimizacja wymaga narzędzi spłaszczających plik lub fizycznego zaciemnienia oryginału i ponownego skanowania dokumentu. Osobnym problemem są metadane plików: dokumenty Word i PDF przechowują imię autora oraz historię zmian. Przed każdą publikacją w BIP metadane należy usunąć.
Powyższe cztery obszary to punkt wyjścia do przeglądu, więcej o zasadzie czterech oczu przy publikacji dokumentów, wymogach dotyczące upoważnień dla redaktorów BIP oraz procedurze zgłaszania naruszeń do UODO w ciągu 72 godzin – przeczytasz w najnowszym wydaniu Gazety Samorządu i Administracji
Jak przygotować się do kontroli samorządowych BIP przez UODO »
Oprac. Agata Wróbel
na podstawie artykułu: Jak przygotować się do kontroli samorządowych BIP przez UODO Sławomira Bilińskiego
Okładka czasopisma Gazeta Samorządu i Administracji 3/2026
POTRZEBUJESZ POMOCY?