RODO i BIP to jedno z najbardziej problematycznych połączeń w administracji publicznej. Z jednej strony masz zasadę jawności i dostęp do informacji publicznej, z drugiej – ochronę danych osobowych. W praktyce wiele jednostek gubi granicę, przez co wpada w skrajności: albo publikuje „wszystko jak leci”, albo anonimizuje tak mocno, że dokument przestaje mieć wartość informacyjną.
W tym wpisie porządkuję temat w sposób praktyczny: czy dane osobowe mogą być publikowane w BIP zgodnie z RODO, jakie dane zwykle można ujawniać bezpiecznie (i dlaczego), gdzie najczęściej dochodzi do błędów oraz jak podejść do anonimizacji i archiwum tak, żeby nie robić sobie problemów „na własne życzenie”.
TL;DR: RODO obowiązuje w BIP, ale nie oznacza „zakazu publikacji”. Publikujesz dane osobowe tylko wtedy, gdy masz podstawę prawną i gdy zakres danych jest niezbędny do realizacji jawności. PESEL, adres zamieszkania i prywatne kontakty – zwykle odpadają. Jeśli dokument zawiera dane osób prywatnych, najczęściej rozwiązaniem jest anonimizacja, a nie chowanie całej treści.
Czy RODO w ogóle obowiązuje w BIP?
Tak. RODO obowiązuje również w Biuletynie Informacji Publicznej. Sam fakt, że publikujesz coś w BIP, nie wyłącza automatycznie przepisów o ochronie danych osobowych.
Jednocześnie trzeba powiedzieć wprost: RODO nie zabrania publikowania danych osobowych w BIP. Kluczowe jest to, czy istnieje podstawa prawna ujawnienia (najczęściej: obowiązek prawny/realizacja jawności) oraz czy publikujesz dane w zakresie, który jest niezbędny.
W praktyce najwięcej trudności sprawia rozróżnienie: informacja publiczna (dotycząca działania podmiotu i spraw publicznych) vs dane osobowe „przy okazji” (np. dane stron postępowań, rodziców, uczniów, wnioskodawców). To rozróżnienie warto mieć w głowie za każdym razem, gdy dodajesz dokument do BIP.
Jawność kontra prywatność: jak wyznaczyć granicę w praktyce?
Najgorsze podejście to myślenie „albo publikujemy wszystko, bo jawność, albo nic, bo RODO”. Prawo nie działa zero-jedynkowo. Jawność dotyczy działania instytucji, a ochrona danych chroni prywatność osób, które nie występują jako „publiczne” w danej sprawie.
Szybki test przed publikacją
Czy to dotyczy sprawy publicznej? (decyzji, wydatków, organizacji, procedur, działania organu)
Czy dane osobowe są konieczne, żeby zrozumieć treść? Jeśli nie – zwykle powinny zniknąć.
Czy osoba występuje jako pełniąca funkcję publiczną / działająca w imieniu podmiotu? Jeśli tak, zakres jawności jest szerszy.
Jakie dane osobowe można publikować w BIP bezpiecznie?
W BIP często wolno (a czasem trzeba) publikować dane osób, które pełnią funkcje publiczne albo działają w imieniu podmiotu. Chodzi o dane związane z wykonywaniem funkcji: imię i nazwisko, stanowisko, zakres kompetencji, dane kontaktowe służbowe.
To dlatego w BIP bez większych kontrowersji pojawiają się dane wójta/burmistrza, dyrektora szkoły, skarbnika, sekretarza czy kierowników komórek organizacyjnych. Podobnie – osoby podpisujące uchwały, zarządzenia, decyzje czy ogłoszenia występują w roli publicznej, a ich dane są elementem informacji o działaniu organu.
W praktyce można to streścić tak: w BIP pokazujesz „kto za co odpowiada” i „kto wykonał czynność publiczną”, ale bez danych nadmiarowych.
Najczęściej OK
Uważaj / zwykle niepotrzebne
Imię i nazwisko + stanowisko osoby pełniącej funkcję publiczną
Dane kontaktowe służbowe (sekretariat, komórka, ePUAP)
PESEL, nr dowodu, data urodzenia (bez wyraźnej podstawy)
Podpisy / wskazanie osoby odpowiedzialnej za treść dokumentu
Skany dokumentów z danymi „przy okazji” (np. formularze, wnioski)
Skład organów, komisji – w zakresie wynikającym z przepisów i funkcji
Dane dzieci/uczniów oraz dane stron postępowań, jeśli nie są konieczne
Jakich danych osobowych w BIP lepiej unikać?
Najwięcej problemów w BIP powodują dane, które nie są potrzebne do realizacji jawności, a jednocześnie mocno ingerują w prywatność. Klasyczne przykłady to: PESEL, numery dokumentów, adres zamieszkania, prywatne telefony i prywatne skrzynki e-mail.
Szczególną ostrożność zachowaj przy danych dzieci i uczniów. Nawet jeżeli szkoła działa w interesie publicznym, to uczeń nie pełni funkcji publicznej, a publikacja danych identyfikujących dziecko rzadko bywa uzasadniona w BIP.
Warto też pamiętać, że większość wpadek wynika nie ze „złej woli”, tylko z braku procesu: ktoś wrzuca dokument „jak przyszedł”, bez sprawdzenia, co dokładnie w nim siedzi. Temat odpowiedzialności i ról poruszam szerzej tutaj: Kto odpowiada za BIP i jakie ma obowiązki?.
Anonimizacja dokumentów: kiedy jest konieczna i jak robić to sensownie?
Anonimizacja w BIP nie jest „fanaberią”. To sposób na pogodzenie jawności z ochroną danych. Jeśli dokument zawiera informację publiczną, ale pojawiają się w nim dane osób prywatnych (np. wnioskodawców, stron postępowań, rodziców), najczęściej właściwą drogą jest udostępnienie dokumentu po anonimizacji.
Dwie zasady, które oszczędzają najwięcej nerwów
1) Rób anonimizację w sposób nieodwracalny. „Czarny pasek” w złym narzędziu potrafi być tylko warstwą graficzną, którą da się zdjąć. 2) Stosuj jednolity standard. Ten sam typ dokumentu anonimizuj zawsze „tak samo”, żeby nie było sytuacji, że raz ukrywasz adres, a raz nie – bez logiki.
Jeśli przy okazji walczysz ze skanami i PDF-ami, podepnij też wpis: Czy można publikować skany PDF w BIP? – bo dostępność i RODO bardzo często spotykają się w tych samych dokumentach.
RODO a archiwum i wersje dokumentów w BIP
Regularnie wraca pytanie: „czy stare dokumenty trzeba usuwać z BIP, bo zawierają dane osobowe?”. Odpowiedź brzmi: nie ma automatu. Jeśli dokument był opublikowany legalnie i w prawidłowym zakresie, sama obecność danych osobowych nie oznacza, że trzeba go kasować.
Problemem bywa raczej brak porządku: nie wiadomo, która wersja jest aktualna, a która archiwalna, a zmiany robi się „na dziko”. Dlatego w BIP ogromne znaczenie ma rejestr wersji i kontrola zmian. Ten temat rozkładam na czynniki pierwsze tutaj: Rejestr wersji dokumentów w BIP na WordPress.
System BIP w 12 godzin?
Instalujemy i uruchamiamy gotowy do pracy BIP na WordPressie – zwykle w ciągu 12 godzin od zamówienia.
83,25 zł netto / miesiąc*
*płatność roczna: 999 zł netto. Do kwoty zostanie doliczony podatek VAT 23%.
Czy można publikować w BIP listy uczniów, klasy albo wyniki rekrutacji?
To obszar wysokiego ryzyka. Co do zasady dane dzieci i uczniów wymagają szczególnej ostrożności. Jeśli publikacja wynika z przepisów/procedury, trzymaj się minimalizacji zakresu danych i rozważ mniej inwazyjną formę (np. identyfikator zamiast pełnego imienia i nazwiska), jeżeli jest to dopuszczalne w danym trybie.
Czy w BIP można publikować wynagrodzenie pracownika?
Nie. Najpierw oceń, czy dokument był opublikowany legalnie i czy zakres danych był adekwatny. Jeśli faktycznie doszło do publikacji danych nadmiarowych, zwykle lepszą drogą jest podmiana na wersję z anonimizacją i utrzymanie porządku w archiwum i wersjach – zamiast masowego kasowania.
Co zrobić, jeśli informacja nie jest w BIP, a ktoś żąda jej udostępnienia?
Wtedy wchodzi tryb wniosku o informację publiczną i analiza, czy są ograniczenia jawności (w tym prywatność). Warto mieć w BIP jasną instrukcję „jak złożyć wniosek”. Jeśli potrzebujesz gotowej bazy: Wniosek o informację publiczną.
Podsumowanie: RODO w BIP to nie zakaz, tylko zasady
RODO nie jest „wrogiem BIP”. To zasady, które pomagają oddzielić jawność działania instytucji od prywatności osób fizycznych. Dane osobowe mogą pojawiać się w BIP, ale tylko wtedy, gdy jest to uzasadnione podstawą prawną i potrzebą realizacji jawności – oraz w zakresie niezbędnym.
Najbezpieczniejsze podejście to „zdrowy rozsądek + procedura”: kto publikuje, kto sprawdza, kiedy anonimizujemy, jak opisujemy pliki, jak archiwizujemy i jak kontrolujemy zmiany. Dobrze zrobiony BIP na WordPress mocno to ułatwia, ale nie zastąpi odpowiedzialności za treść.
