W jednym zdaniu. Urzędy i jednostki samorządu terytorialnego mają obowiązkowego inspektora ochrony danych (art. 37 ust. 1 lit. a RODO), a kary dla podmiotów publicznych są limitowane do 100 tys. zł — co nie znaczy, że UODO ich nie nakłada.
RODO w administracji publicznej rządzi się częściowo innymi regułami niż w biznesie. Urząd gminy, starostwo czy jednostka budżetowa przetwarzają dane obywateli na masową skalę, z obowiązku ustawowego, i podlegają szczególnym rozwiązaniom polskiej ustawy o ochronie danych osobowych. Trzy elementy wyróżniają ten sektor: obowiązkowy IOD, limit kar i napięcie między jawnością a ochroną danych. Zbliżone wyzwania działalności statutowej mają stowarzyszenia i fundacje realizujące zadania publiczne.
Najważniejsze punkty
- IOD jest obowiązkowy dla organów i podmiotów publicznych (art. 37 ust. 1 lit. a RODO).
- Kary dla podmiotów publicznych są ograniczone do 100 tys. zł (art. 102 ustawy o ochronie danych osobowych z 2018 r.).
- UODO realnie karze urzędy — burmistrz Aleksandrowa Kujawskiego (2019, 40 tys. zł) i Główny Geodeta Kraju (2020, 100 tys. zł).
- BIP i udostępnianie informacji publicznej muszą godzić jawność z ochroną danych.
- Podstawą przetwarzania jest zwykle obowiązek prawny lub zadanie w interesie publicznym (art. 6 ust. 1 lit. c i e RODO).
1. Obowiązkowy inspektor ochrony danych
Zgodnie z art. 37 ust. 1 lit. a RODO organy i podmioty publiczne mają obowiązek wyznaczenia inspektora ochrony danych — niezależnie od skali przetwarzania. Dotyczy to urzędów gmin, starostw, jednostek budżetowych, szkół publicznych, instytucji kultury. IOD musi mieć zapewnioną niezależność, zasoby i bezpośrednie podleganie kierownictwu. Kiedy IOD jest wymagany także poza sektorem publicznym, opisujemy w tekście o inspektorze ochrony danych.
2. Limit kar dla podmiotów publicznych
Polski ustawodawca skorzystał z możliwości z art. 83 ust. 7 RODO i wprowadził limit kar dla jednostek sektora finansów publicznych i niektórych innych podmiotów publicznych — do 100 tys. zł (art. 102 ustawy o ochronie danych osobowych z 10 maja 2018 r.). To znacznie mniej niż 20 mln EUR / 4% obrotu w sektorze prywatnym. Limit nie oznacza jednak bezkarności — UODO aktywnie nakłada sankcje w tym pułapie, a poza karą pozostaje odpowiedzialność wewnętrzna i reputacyjna. Mechanizm wymiaru kar opisujemy w przewodniku po karach administracyjnych RODO.
3. Realne kary UODO dla urzędów
Dwie decyzje wyznaczają linię orzeczniczą wobec administracji:
- Burmistrz Aleksandrowa Kujawskiego — decyzja UODO z 2019 r., kara 40 tys. zł. Powód: m.in. brak umów powierzenia z podmiotami przetwarzającymi dane oraz publikacja danych w BIP bez odpowiedniej kontroli.
- Główny Geodeta Kraju — decyzja UODO z 2020 r., kara 100 tys. zł (maksymalna dla podmiotu publicznego), związana z udostępnianiem danych w ramach prowadzonego rejestru.
Wniosek dla JST: najczęstsze uchybienia to brak umów powierzenia i nieostrożna publikacja danych w BIP.
4. BIP a ochrona danych osobowych
Napięcie między jawnością życia publicznego a ochroną danych jest w administracji stałe. Biuletyn Informacji Publicznej (BIP) realizuje prawo do informacji publicznej, ale nie zwalnia z RODO. Urząd musi:
- Publikować tylko dane, których ujawnienie ma podstawę prawną.
- Ograniczać zakres danych osobowych w publikowanych dokumentach (anonimizacja tam, gdzie brak podstawy).
- Uwzględniać prawo do prywatności przy udostępnianiu informacji o osobach pełniących funkcje publiczne (węższa ochrona) i osobach prywatnych (pełna ochrona).
Nadmiarowa publikacja danych w BIP to jedna z najczęstszych przyczyn skarg do UODO.
5. Podstawy prawne w administracji
Urząd przetwarza dane głównie na podstawie art. 6 RODO:
- Art. 6 ust. 1 lit. c — wypełnienie obowiązku prawnego (ewidencja ludności, podatki lokalne, sprawy administracyjne).
- Art. 6 ust. 1 lit. e — zadanie realizowane w interesie publicznym lub w ramach władzy publicznej.
Co istotne, zgoda rzadko jest właściwą podstawą w administracji — obywatel nie ma realnej swobody odmowy wobec organu władzy. Podstawą jest przepis prawa, nie zgoda.
6. Współpraca z UODO i inne podmioty publiczne
Administracja współpracuje z UODO nie tylko jako podmiot kontrolowany, lecz także realizując obowiązki wobec obywateli. Rolę i kompetencje organu opisujemy w przewodniku po UODO. Szczególne wyzwania dotyczą też sektorów powiązanych z samorządem — np. szkół i uczelni, gdzie przetwarza się dane dzieci.
7. Legiscope w praktyce urzędu
Urząd z wieloma jednostkami, procesorami (dostawcy IT, systemy dziedzinowe) i obowiązkiem prowadzenia rejestru musi utrzymać spójną dokumentację pod nadzorem IOD. Platforma taka jak Legiscope pozwala prowadzić rejestr czynności, klauzule i umowy powierzenia w jednym, wersjonowanym systemie z eksportem gotowym na kontrolę UODO — co ułatwia IOD wykazanie rozliczalności całej jednostki.
8. Umowy powierzenia w administracji
Urząd korzysta z licznych podmiotów zewnętrznych: dostawcy systemów dziedzinowych (ewidencja ludności, podatki, EZD), hostingu, obsługi BIP, firm archiwizujących i niszczących dokumenty. Każdy z nich, przetwarzając dane w imieniu urzędu, jest procesorem i wymaga umowy powierzenia z art. 28 RODO. Brak takich umów był jednym z powodów kary w sprawie Burmistrza Aleksandrowa Kujawskiego. Praktyka:
- Zinwentaryzuj wszystkich dostawców mających dostęp do danych.
- Zawrzyj z każdym umowę powierzenia z opisem środków bezpieczeństwa.
- Sprawdź, czy dostawca nie korzysta z podprocesorów spoza EOG bez podstawy.
9. Najczęstsze błędy jednostek publicznych
- Brak umów powierzenia z dostawcami IT i systemów dziedzinowych.
- Nadmiarowa publikacja danych w BIP — pełne dane osobowe tam, gdzie wystarczyłaby anonimizacja.
- Opieranie przetwarzania na zgodzie obywatela zamiast na przepisie prawa.
- IOD bez realnej niezależności i zasobów (formalne wyznaczenie „na papierze").
- Brak polityki retencji i archiwizacja bez podstawy.
- Udostępnianie danych innym podmiotom bez oceny podstawy prawnej.
- Słabe zabezpieczenia systemów dziedzinowych i brak kontroli dostępu.
Te uchybienia powtarzają się w decyzjach UODO wobec administracji i są w zasięgu naprawy każdej jednostki dysponującej sprawnym IOD.
FAQ
Czy każdy urząd musi mieć inspektora ochrony danych?
Tak. Zgodnie z art. 37 ust. 1 lit. a RODO organy i podmioty publiczne mają obowiązek wyznaczenia IOD niezależnie od skali przetwarzania. Dotyczy to urzędów gmin, starostw, jednostek budżetowych, szkół publicznych i instytucji kultury.
Jaka jest maksymalna kara RODO dla urzędu?
Dla jednostek sektora finansów publicznych i niektórych innych podmiotów publicznych kara jest ograniczona do 100 tys. zł na podstawie art. 102 ustawy o ochronie danych osobowych z 2018 r. To znacznie mniej niż w sektorze prywatnym, ale UODO realnie nakłada sankcje w tym pułapie.
Jakie kary UODO nałożył na urzędy?
Do najbardziej znanych należą decyzja wobec Burmistrza Aleksandrowa Kujawskiego z 2019 r. (40 tys. zł, m.in. brak umów powierzenia i publikacja w BIP) oraz wobec Głównego Geodety Kraju z 2020 r. (100 tys. zł, udostępnianie danych w prowadzonym rejestrze).
Czy publikacja danych w BIP jest zwolniona z RODO?
Nie. BIP realizuje prawo do informacji publicznej, ale nie zwalnia z RODO. Urząd może publikować tylko dane mające podstawę prawną i musi ograniczać ich zakres, uwzględniając prywatność osób. Nadmiarowa publikacja to częsta przyczyna skarg.
Czy urząd może opierać przetwarzanie na zgodzie obywatela?
Rzadko. W relacji z organem władzy obywatel nie ma realnej swobody odmowy, więc zgoda zwykle nie jest ważną podstawą. Administracja przetwarza dane na podstawie obowiązku prawnego (art. 6 ust. 1 lit. c) lub zadania w interesie publicznym (lit. e).
Podsumowanie
Administracja publiczna działa w reżimie RODO zmodyfikowanym przez polskie prawo krajowe: obowiązkowy inspektor ochrony danych, limit kar do 100 tys. zł dla podmiotów publicznych i stałe napięcie między jawnością życia publicznego a ochroną danych obywateli. Decyzje wobec Burmistrza Aleksandrowa Kujawskiego i Głównego Geodety Kraju pokazują, że limit kary nie oznacza bezkarności, a najczęstsze uchybienia są przyziemne: brak umów powierzenia z dostawcami IT i nadmiarowa publikacja danych w BIP. Urząd, który opiera przetwarzanie na przepisie prawa, a nie na zgodzie, ma sprawnego i niezależnego IOD, komplet umów powierzenia oraz przemyślaną politykę publikacji w BIP, spełnia standard, którego oczekuje UODO. Rozliczalność w administracji jest w pełni osiągalna — wymaga porządku, nie dużego budżetu.
Podstawa prawna i źródła
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial