Plan kontroli UODO na 2026 r. BIP i anonimizacja w centrum uwagi

8 stycznia 2026 r. Prezes Urzędu Ochrony Danych Osobowych ogłosił plan kontroli sektorowych na bieżący rok. Podstawą prawną takich kontroli jest art. 78 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, organ nadzorczy prowadzi czynności zgodnie z planem zatwierdzonym przez Prezesa UODO, a także w ramach bieżącego nadzoru i na podstawie sygnałów o nieprawidłowościach.

W 2026 r. kontroli zostaną poddane pięć obszarów. Dla samorządów najistotniejszy jest jeden z nich, sposób prowadzenia Biuletynów Informacji Publicznej, ze szczególnym uwzględnieniem zasad anonimizacji danych oraz publikacji przebiegu sesji rad gminy.

Pełna lista sektorów objętych kontrolą

• Organy przetwarzające dane w Wielkoskalowych Systemach UE, w tym w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym, kontynuacja kontroli rozpoczętych w 2025 r.
• Podmioty lecznicze, monitoring wizyjny, w szczególności na oddziałach dziecięcych i w poradniach pediatrycznych
• Podmioty prowadzące Biuletyn Informacji Publicznej, anonimizacja danych, publikacja nagrań z sesji rad gminy
• Podmioty marketingowe, podstawy prawne przetwarzania danych w celach marketingowych
• Internetowe platformy dostaw, przetwarzanie danych w związku z pośrednictwem w sprzedaży towarów i usług

Komunikat jest dostępny pod adresem uodo.gov.pl/pl/138/4029. Plan nie jest listą zamkniętą, Prezes UODO prowadzi również kontrole ad hoc, jeśli dociera do organu informacja o naruszeniu.

Co konkretnie sprawdzi UODO w BIP

Na podstawie komunikatu UODO oraz dotychczasowej praktyki orzeczniczej, kontrola w jednostkach samorządu terytorialnego najpewniej obejmie kilka powiązanych obszarów.

1. Anonimizacja publikowanych dokumentów

UODO wielokrotnie wskazywał, że wizualne zaczernienie fragmentu w dokumencie PDF nie jest skuteczną anonimizacją. Jeśli dane są zakryte warstwą adnotacji rysunkowej, odbiorca dokumentu może je odzyskać, usuwając tę warstwę w edytorze PDF. Skuteczna anonimizacja polega albo na spłaszczeniu pliku po zaciemnieniu i wyeksportowaniu go ponownie, albo na fizycznym usunięciu tekstu z warstwy źródłowej dokumentu.

Kontrolerzy mogą także zwrócić uwagę na metadane plików, autor, historia zmian, komentarze. Dokumenty Word i PDF przechowują te informacje domyślnie. Przed publikacją należy je usunąć.

2. Oświadczenia majątkowe

Zgodnie z art. 24i ust. 1 ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (analogicznie w ustawach o samorządzie powiatowym i wojewódzkim), oświadczenia majątkowe są jawne. Jednocześnie publikacja ma swoje granice czasowe, oświadczenia przechowuje się przez sześć lat. Po tym okresie powinny zostać usunięte z publicznego dostępu, niezależnie od tego, że mogą być nadal archiwizowane w dokumentacji wewnętrznej.

3. Nagrania z sesji rady gminy

Obowiązek transmisji i nagrywania obrad rady wynika z art. 20 ust. 1b ustawy o samorządzie gminnym. UODO podkreśla, że nagranie jest dokumentem zawierającym dane osobowe, nie tylko radnych (których wypowiedzi są publiczne ze względu na pełnione funkcje), lecz również mieszkańców zabierających głos w trybie wolnych wniosków. Samorząd powinien dysponować procedurą reakcji na zgłoszenia praw osób, których dane dotyczą, a także świadomą polityką retencji nagrań.

4. Protokoły i dokumenty z procedur

Szczególnie narażone są protokoły komisji rewizyjnej, korespondencja ze skarg obywateli, decyzje administracyjne publikowane „w wersji z inicjałami". W 2020 r. UODO prowadził sprawę nieprawidłowej anonimizacji protokołu Komisji Rewizyjnej Rady Powiatu, postępowanie zakończyło się prawomocnym wyrokiem stwierdzającym przewlekłość organu, co pokazuje, że tego typu incydenty są realne.

Checklist przygotowania JST do kontroli

• Przegląd historyczny BIP. Zweryfikuj, czy nie są nadal publikowane oświadczenia majątkowe starsze niż 6 lat oraz dokumenty, które powinny być już zdjęte.
• Audyt publikowanych dokumentów. Sprawdź wybrane PDF-y zaciemnione, czy po otwarciu w edytorze dane rzeczywiście zostały usunięte, czy tylko przykryte.
• Usunięcie metadanych. Wdróż procedurę czyszczenia metadanych (autor, historia zmian) przed publikacją.
• Polityka retencji nagrań sesji. Określ na piśmie, jak długo nagrania są dostępne, na jakich platformach, i jakie mechanizmy reakcji na żądania osób, których dane dotyczą, są wdrożone.
• Upoważnienia dla redaktorów BIP. Każda osoba publikująca dokumenty musi mieć pisemne upoważnienie od administratora danych, z wskazanym zakresem zadań i okresem obowiązywania.
• Procedura „czterech oczu". Przed publikacją dokumentu z danymi osobowymi drugi pracownik weryfikuje anonimizację. Praktyka prosta, ale realnie zmniejsza liczbę błędów.
• Rejestr czynności przetwarzania. Publikacja dokumentów w BIP jest czynnością przetwarzania, powinna być ujęta w rejestrze z art. 30 RODO.

Co zrobić, jeśli kontrola już się rozpoczęła

Procedura kontroli uregulowana jest w art. 78-90 ustawy o ochronie danych osobowych oraz przepisach Kodeksu postępowania administracyjnego. Inspektorzy UODO okazują legitymację i upoważnienie do kontroli. Z czynności sporządza się protokół, który kontrolowany ma prawo podpisać z zastrzeżeniami, ten etap jest krytyczny. Późniejsze postępowanie sądowoadministracyjne często toczy się wokół ustaleń faktycznych zawartych w protokole kontroli, co wynika wprost z orzecznictwa, przykładowo z wyroku WSA w Warszawie z 18 marca 2026 r. (sygn. II SA/Wa 807/25) dotyczącego Polskiego Radia Szczecin, w którym sąd podkreślił, że brak zastrzeżeń do protokołu kontroli zamyka drogę do kwestionowania ustaleń faktycznych w późniejszym etapie.

Z praktycznego punktu widzenia warto mieć przygotowane uprzednio: rejestr czynności przetwarzania, dokumentację polityki ochrony danych, dowody przeprowadzonych szkoleń, raporty z testów bezpieczeństwa IT oraz dokumentację incydentów z ostatnich 24 miesięcy. Ich brak nie jest bezpośrednio karalny, ale istotnie wpływa na ocenę rozliczalności administratora z art. 5 ust. 2 RODO.

Autor: Zespół Beznazwisk.pl. Tekst ma charakter informacyjny i nie stanowi porady prawnej.