Ochrona Danych

RODO w administracji publicznej: przewodnik gminy

RODO w administracji publicznej: obowiązkowy IOD, limit kar 100 tys. zł dla podmiotów publicznych, kary UODO dla gmin, BIP a dane osobowe. Przewodnik 2026.

Also available in:Français

W jednym zdaniu. Urzędy i jednostki samorządu terytorialnego mają obowiązkowego inspektora ochrony danych (art. 37 ust. 1 lit. a RODO), a kary dla podmiotów publicznych są limitowane do 100 tys. zł — co nie znaczy, że UODO ich nie nakłada.

RODO w administracji publicznej rządzi się częściowo innymi regułami niż w biznesie. Urząd gminy, starostwo czy jednostka budżetowa przetwarzają dane obywateli na masową skalę, z obowiązku ustawowego, i podlegają szczególnym rozwiązaniom polskiej ustawy o ochronie danych osobowych. Trzy elementy wyróżniają ten sektor: obowiązkowy IOD, limit kar i napięcie między jawnością a ochroną danych. Zbliżone wyzwania działalności statutowej mają stowarzyszenia i fundacje realizujące zadania publiczne.

Najważniejsze punkty

  • IOD jest obowiązkowy dla organów i podmiotów publicznych (art. 37 ust. 1 lit. a RODO).
  • Kary dla podmiotów publicznych są ograniczone do 100 tys. zł (art. 102 ustawy o ochronie danych osobowych z 2018 r.).
  • UODO realnie karze urzędy — burmistrz Aleksandrowa Kujawskiego (2019, 40 tys. zł) i Główny Geodeta Kraju (2020, 100 tys. zł).
  • BIP i udostępnianie informacji publicznej muszą godzić jawność z ochroną danych.
  • Podstawą przetwarzania jest zwykle obowiązek prawny lub zadanie w interesie publicznym (art. 6 ust. 1 lit. c i e RODO).

1. Obowiązkowy inspektor ochrony danych

Zgodnie z art. 37 ust. 1 lit. a RODO organy i podmioty publiczne mają obowiązek wyznaczenia inspektora ochrony danych — niezależnie od skali przetwarzania. Dotyczy to urzędów gmin, starostw, jednostek budżetowych, szkół publicznych, instytucji kultury. IOD musi mieć zapewnioną niezależność, zasoby i bezpośrednie podleganie kierownictwu. Kiedy IOD jest wymagany także poza sektorem publicznym, opisujemy w tekście o inspektorze ochrony danych.

2. Limit kar dla podmiotów publicznych

Polski ustawodawca skorzystał z możliwości z art. 83 ust. 7 RODO i wprowadził limit kar dla jednostek sektora finansów publicznych i niektórych innych podmiotów publicznych — do 100 tys. zł (art. 102 ustawy o ochronie danych osobowych z 10 maja 2018 r.). To znacznie mniej niż 20 mln EUR / 4% obrotu w sektorze prywatnym. Limit nie oznacza jednak bezkarności — UODO aktywnie nakłada sankcje w tym pułapie, a poza karą pozostaje odpowiedzialność wewnętrzna i reputacyjna. Mechanizm wymiaru kar opisujemy w przewodniku po karach administracyjnych RODO.

3. Realne kary UODO dla urzędów

Dwie decyzje wyznaczają linię orzeczniczą wobec administracji:

  • Burmistrz Aleksandrowa Kujawskiego — decyzja UODO z 2019 r., kara 40 tys. zł. Powód: m.in. brak umów powierzenia z podmiotami przetwarzającymi dane oraz publikacja danych w BIP bez odpowiedniej kontroli.
  • Główny Geodeta Kraju — decyzja UODO z 2020 r., kara 100 tys. zł (maksymalna dla podmiotu publicznego), związana z udostępnianiem danych w ramach prowadzonego rejestru.

Wniosek dla JST: najczęstsze uchybienia to brak umów powierzenia i nieostrożna publikacja danych w BIP.

4. BIP a ochrona danych osobowych

Napięcie między jawnością życia publicznego a ochroną danych jest w administracji stałe. Biuletyn Informacji Publicznej (BIP) realizuje prawo do informacji publicznej, ale nie zwalnia z RODO. Urząd musi:

  • Publikować tylko dane, których ujawnienie ma podstawę prawną.
  • Ograniczać zakres danych osobowych w publikowanych dokumentach (anonimizacja tam, gdzie brak podstawy).
  • Uwzględniać prawo do prywatności przy udostępnianiu informacji o osobach pełniących funkcje publiczne (węższa ochrona) i osobach prywatnych (pełna ochrona).

Nadmiarowa publikacja danych w BIP to jedna z najczęstszych przyczyn skarg do UODO.

5. Podstawy prawne w administracji

Urząd przetwarza dane głównie na podstawie art. 6 RODO:

  • Art. 6 ust. 1 lit. c — wypełnienie obowiązku prawnego (ewidencja ludności, podatki lokalne, sprawy administracyjne).
  • Art. 6 ust. 1 lit. e — zadanie realizowane w interesie publicznym lub w ramach władzy publicznej.

Co istotne, zgoda rzadko jest właściwą podstawą w administracji — obywatel nie ma realnej swobody odmowy wobec organu władzy. Podstawą jest przepis prawa, nie zgoda.

6. Współpraca z UODO i inne podmioty publiczne

Administracja współpracuje z UODO nie tylko jako podmiot kontrolowany, lecz także realizując obowiązki wobec obywateli. Rolę i kompetencje organu opisujemy w przewodniku po UODO. Szczególne wyzwania dotyczą też sektorów powiązanych z samorządem — np. szkół i uczelni, gdzie przetwarza się dane dzieci.

7. Legiscope w praktyce urzędu

Urząd z wieloma jednostkami, procesorami (dostawcy IT, systemy dziedzinowe) i obowiązkiem prowadzenia rejestru musi utrzymać spójną dokumentację pod nadzorem IOD. Platforma taka jak Legiscope pozwala prowadzić rejestr czynności, klauzule i umowy powierzenia w jednym, wersjonowanym systemie z eksportem gotowym na kontrolę UODO — co ułatwia IOD wykazanie rozliczalności całej jednostki.

8. Umowy powierzenia w administracji

Urząd korzysta z licznych podmiotów zewnętrznych: dostawcy systemów dziedzinowych (ewidencja ludności, podatki, EZD), hostingu, obsługi BIP, firm archiwizujących i niszczących dokumenty. Każdy z nich, przetwarzając dane w imieniu urzędu, jest procesorem i wymaga umowy powierzenia z art. 28 RODO. Brak takich umów był jednym z powodów kary w sprawie Burmistrza Aleksandrowa Kujawskiego. Praktyka:

  • Zinwentaryzuj wszystkich dostawców mających dostęp do danych.
  • Zawrzyj z każdym umowę powierzenia z opisem środków bezpieczeństwa.
  • Sprawdź, czy dostawca nie korzysta z podprocesorów spoza EOG bez podstawy.

9. Najczęstsze błędy jednostek publicznych

  1. Brak umów powierzenia z dostawcami IT i systemów dziedzinowych.
  2. Nadmiarowa publikacja danych w BIP — pełne dane osobowe tam, gdzie wystarczyłaby anonimizacja.
  3. Opieranie przetwarzania na zgodzie obywatela zamiast na przepisie prawa.
  4. IOD bez realnej niezależności i zasobów (formalne wyznaczenie „na papierze").
  5. Brak polityki retencji i archiwizacja bez podstawy.
  6. Udostępnianie danych innym podmiotom bez oceny podstawy prawnej.
  7. Słabe zabezpieczenia systemów dziedzinowych i brak kontroli dostępu.

Te uchybienia powtarzają się w decyzjach UODO wobec administracji i są w zasięgu naprawy każdej jednostki dysponującej sprawnym IOD.

FAQ

Czy każdy urząd musi mieć inspektora ochrony danych?

Tak. Zgodnie z art. 37 ust. 1 lit. a RODO organy i podmioty publiczne mają obowiązek wyznaczenia IOD niezależnie od skali przetwarzania. Dotyczy to urzędów gmin, starostw, jednostek budżetowych, szkół publicznych i instytucji kultury.

Jaka jest maksymalna kara RODO dla urzędu?

Dla jednostek sektora finansów publicznych i niektórych innych podmiotów publicznych kara jest ograniczona do 100 tys. zł na podstawie art. 102 ustawy o ochronie danych osobowych z 2018 r. To znacznie mniej niż w sektorze prywatnym, ale UODO realnie nakłada sankcje w tym pułapie.

Jakie kary UODO nałożył na urzędy?

Do najbardziej znanych należą decyzja wobec Burmistrza Aleksandrowa Kujawskiego z 2019 r. (40 tys. zł, m.in. brak umów powierzenia i publikacja w BIP) oraz wobec Głównego Geodety Kraju z 2020 r. (100 tys. zł, udostępnianie danych w prowadzonym rejestrze).

Czy publikacja danych w BIP jest zwolniona z RODO?

Nie. BIP realizuje prawo do informacji publicznej, ale nie zwalnia z RODO. Urząd może publikować tylko dane mające podstawę prawną i musi ograniczać ich zakres, uwzględniając prywatność osób. Nadmiarowa publikacja to częsta przyczyna skarg.

Czy urząd może opierać przetwarzanie na zgodzie obywatela?

Rzadko. W relacji z organem władzy obywatel nie ma realnej swobody odmowy, więc zgoda zwykle nie jest ważną podstawą. Administracja przetwarza dane na podstawie obowiązku prawnego (art. 6 ust. 1 lit. c) lub zadania w interesie publicznym (lit. e).

Podsumowanie

Administracja publiczna działa w reżimie RODO zmodyfikowanym przez polskie prawo krajowe: obowiązkowy inspektor ochrony danych, limit kar do 100 tys. zł dla podmiotów publicznych i stałe napięcie między jawnością życia publicznego a ochroną danych obywateli. Decyzje wobec Burmistrza Aleksandrowa Kujawskiego i Głównego Geodety Kraju pokazują, że limit kary nie oznacza bezkarności, a najczęstsze uchybienia są przyziemne: brak umów powierzenia z dostawcami IT i nadmiarowa publikacja danych w BIP. Urząd, który opiera przetwarzanie na przepisie prawa, a nie na zgodzie, ma sprawnego i niezależnego IOD, komplet umów powierzenia oraz przemyślaną politykę publikacji w BIP, spełnia standard, którego oczekuje UODO. Rozliczalność w administracji jest w pełni osiągalna — wymaga porządku, nie dużego budżetu.

Podstawa prawna i źródła

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →