Burmistrz Myślenic, 749 podpisów i pierwsza kara UODO — dlaczego ta decyzja dotyczy każdego polskiego wójta

Plik PDF, kilka dni i jedno kliknięcie, które zmieniły reguły gry

Przed wakacjami 2024 r. — jak ustaliliśmy z publikacji medialnych i komunikatu Prezesa UODO — pracownik administracyjny Urzędu Miasta i Gminy Myślenice zamieszcza w Biuletynie Informacji Publicznej skan petycji obywatelskiej, którą grupa mieszkańców złożyła w urzędzie kilka tygodni wcześniej. Sprawa standardowa: zgodnie z art. 9 ustawy o petycjach i z ustawą o dostępie do informacji publicznej, urząd ma obowiązek upublicznienia petycji wraz z odpowiedzią na nią. Standardową procedurę stosuje się od lat — zarówno w urzędach miejskich, jak i w gminach wiejskich, w Wielkopolsce i w Małopolsce, w stuosobowych Krakowie i w sześciuset osobach Czerlewicach. Standardową — z jednym mocnym zastrzeżeniem, które w Myślenicach okazało się decydujące: przed publikacją plik musi być zanonimizowany.

W przypadku Myślenic plik nie został zanonimizowany. W BIP-ie pojawił się pełny skan oryginału petycji, zawierający — jak ustalił Prezes UODO — imię i nazwisko, adres zamieszkania oraz wzór podpisu 749 osób, które tę petycję podpisały. Plik pozostał publicznie dostępny przez kilka dni. Każdy odwiedzający stronę BIP-u — turysta z Krakowa, dziennikarz, pełnomocnik strony przeciwnej w lokalnym sporze, agent SEO indeksujący treść, w końcu osoba o znacznie poważniejszych motywach — mógł plik pobrać, zapisać, przekazać dalej. Mógł też — w tym świat, w którym żyjemy — uruchomić na nim model OCR, wyciągnąć dane do bazy i wykorzystać do jakiejkolwiek operacji, w której 749 par „imię + adres + wzór podpisu" stanowi wartość.

Pełny zakres tego, co znalazło się publicznie online — i co teoretycznie jest dziś gdzieś indeksowane w internecie, choć formalnie zostało usunięte — w prostej rzeczywistości danych osobowych przekłada się na poważne ryzyko dla tych 749 osób: ryzyko phishingu, ryzyko skutecznego ataku na konto bankowe poprzez próbę personalizacji socjotechnicznej, ryzyko bezpośredniej publikacji nazwisk podpisujących petycję w sytuacji konfliktu społecznego (jeśli petycja dotyczyła kwestii drażliwej). Wzór podpisu — kategoria szczególnie wrażliwa — pozwala w teorii na próbę podrobienia podpisu pod cudzym oświadczeniem woli. Liczba 749 razy te ryzyka — to jest miara naruszenia.

Co zdecydował Prezes UODO — kwota, podstawa prawna i co naprawdę za nią stoi

Decyzja Prezesa UODO opublikowana w poniedziałek 25 maja 2026 r. na portalu orzeczeń stwierdza naruszenie przepisów rozporządzenia 2016/679 (RODO) przez burmistrza miasta i gminy Myślenice. Naruszenie obejmuje przede wszystkim art. 5 ust. 1 lit. f RODO (zasada poufności i integralności) oraz art. 32 RODO (obowiązek wdrożenia środków technicznych i organizacyjnych zapewniających odpowiedni poziom bezpieczeństwa). Pełnomocna do nałożenia kary podstawa to art. 83 ust. 4 lit. a RODO. Wymiar kary — 7 700 zł — został ustalony z uwzględnieniem trzech okoliczności obciążających: poważnego charakteru naruszenia, dużej liczby osób, których dotyczyło (749 osób, znaczące przekroczenie typowej skali pojedynczego błędu administracyjnego), oraz długiego okresu dostępności pliku w sieci.

Burmistrz Jarosław Szlachetka — w pisemnym oświadczeniu w trakcie postępowania — wnosił o jego umorzenie, wskazując na nieumyślny błąd ludzki, na podmianę błędnego pliku w późniejszym terminie oraz na brak złej woli po stronie pracowników. Prezes UODO Mirosław Wróblewski uznał te wyjaśnienia za niewystarczające. W uzasadnieniu decyzji powracają trzy wątki, które warto zapamiętać — bo będą wracać w każdym kolejnym postępowaniu sektorowym tego rocznika. Po pierwsze, odpowiedzialność administratora jest obiektywna — fakt, że błąd popełnił szeregowy pracownik, nie zwalnia organu z odpowiedzialności wynikającej z RODO. Po drugie, podmiana błędnego pliku poprawnym jest reakcją, nie remediacją — nie cofa publikacji, nie usuwa kopii pozostałych w cache wyszukiwarek i nie wymazuje pamięci osób, które plik pobrały. Po trzecie — i to jest kluczowy element, którego w doniesieniach prasowych często brakuje — Prezes UODO równolegle wszczął odrębne postępowanie w sprawie niezgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Tego obowiązku — wynikającego z art. 33 RODO i odliczanego w siedemdziesięciu dwóch godzinach od stwierdzenia naruszenia — urząd nie wykonał. To, w nadchodzących miesiącach, będzie znacznie ważniejsza linia uzasadnienia niż samo niezanonimizowanie pliku.

Dlaczego kwota 7 700 zł brzmi jak żart? Bo z punktu widzenia RODO brzmi. Maksymalny pułap dla sektora publicznego (na mocy art. 102 ust. 1 polskiej ustawy o ochronie danych osobowych) wynosi 100 000 zł — to wyraźnie niżej niż dla sektora prywatnego, ale i tak ponad dwunastokrotność tego, co dostały Myślenice. Z punktu widzenia presji budżetowej — 7 700 zł to dla gminy liczącej 41 tysięcy mieszkańców i budżet rzędu 250 milionów złotych przejaw wymiaru sprawiedliwości symbolicznego, nie egzekwującego. Ale tu kara nie jest celem, jest paliwem. Decyzja kontekstualnie spełnia trzy funkcje, których kwota nie odda: ustanawia publiczny precedens, otwiera uzasadnienie do następnych decyzji w analogicznych sprawach i — to fundamentalne — daje Prezesowi UODO wprost zacytowane orzecznictwo własne, do którego będzie się odwoływał w sektorowych kontrolach BIP, zapowiedzianych na 2026 r.

Sektorowa kontrola BIP w 2026 r. — czyli to, o czym nie pisze się w nagłówkach

Drugą informację, którą warto wczytać razem z decyzją Myślenicką, opublikował Prezes UODO w komunikacie z początku 2026 r., zapowiadającym plan kontrolny na bieżący rok. W planie tym — obok kontroli przetwarzania danych w systemach SI/AI, kontroli zgłaszania naruszeń w sektorze finansowym i kontroli ochrony danych dzieci w sieci — znalazły się podmioty prowadzące Biuletyn Informacji Publicznej. UODO sprawdzi w nich „sposób przetwarzania danych osobowych w związku z realizacją obowiązku prowadzenia BIP, w szczególności w zakresie anonimizacji danych oraz udostępniania przebiegu sesji rad gminy".

Zakres podmiotowy tej kontroli jest ważny do uchwycenia. Polski BIP prowadzi ponad pięć tysięcy podmiotów — wszystkie jednostki samorządu terytorialnego (gminy, powiaty, województwa), ich jednostki podległe (urzędy, szkoły, biblioteki, OPS-y, MOPS-y, ZDP-y, PCPR-y), spółki komunalne (wodociągi, ciepłownie, oczyszczalnie, komunikacja miejska, gospodarka odpadami), spółki Skarbu Państwa wykonujące zadania publiczne i — od niedawna — niektóre podmioty niepubliczne, które otrzymały taki obowiązek mocą szczególnych przepisów. Każdy z tych pięciu tysięcy podmiotów jest w 2026 r. potencjalnym przedmiotem kontroli sektorowej. Decyzja w sprawie Myślenic — to pierwsza opublikowana z tego rocznika. Niemal pewnie nie ostatnia.

Co konkretnie UODO będzie sprawdzał w BIP, jest dziś znacznie lepiej rozpoznane niż w latach poprzednich. Z naszej praktyki — i z dokumentów publicznie udostępnionych — wynikają cztery główne obszary kontroli. Pierwszy — kompletność i jakość anonimizacji. Czy publikowane petycje, uchwały, zarządzenia, protokoły z sesji rad mają usunięte wszystkie dane osobowe, których ujawnienie nie jest niezbędne? Czy anonimizacja jest „twarda" (rzeczywiste usunięcie danych z PDF, nie jedynie nałożenie czarnego prostokąta w warstwie graficznej, który w 30 sekund da się zdjąć w darmowym narzędziu)? Czy obejmuje też metadane pliku (autor, ścieżka, historia zmian)? Drugi — nagrania i transmisje z sesji rad gminy. Ustawa o samorządzie gminnym nakazuje udostępnianie tych nagrań, ale jednocześnie nakłada na administratora obowiązek poszanowania prywatności wystąpień, które niekoniecznie należą do sfery publicznej (np. wypowiedzi o stanie zdrowia, sprawach rodzinnych). UODO będzie kontrolował, czy nagrania są przygotowywane z zachowaniem tego balansu. Trzeci — okres retencji publikacji. Dokumenty pozostające w BIP-ie bezterminowo, w tym te, które dawno nie są aktualne, są przedmiotem orzecznictwa UODO od dwóch lat. Czwarty — procedury wewnętrzne: czy istnieje pisana instrukcja anonimizacji, czy są szkolenia, czy jest osoba odpowiedzialna za publikację (zwykle koordynator BIP), czy IOD opiniuje publikacje przed ich zamieszczeniem.

Gdzie pęka łańcuch publikacji — anatomia błędu, który zdarzył się w Myślenicach i może się zdarzyć u Was jutro

W przypadku Myślenic — i w analogicznych sprawach, które obsługiwał Fib.Code w ostatnich dwóch latach — zawsze powraca ten sam wzorzec organizacyjny. Łańcuch publikacji w BIP-ie składa się z czterech, czasem pięciu ogniw: wpływ dokumentu → przygotowanie do publikacji (m.in. anonimizacja) → akceptacja merytoryczna → publikacja → ewentualna aktualizacja. Pęknięcie zwykle pojawia się w jednym z trzech miejsc.

Pęknięcie pierwsze — brak przypisanej roli. Anonimizacja nie należy do nikogo. „Każdy pracownik, który publikuje, anonimizuje sam, najlepiej jak umie". W praktyce — pracownik biura podawczego ma cztery godziny na przygotowanie pliku do publikacji, między dziesięcioma innymi zadaniami; nie jest grafikiem, nie zna trybu „redagowania PDF", i otwiera plik w przeglądarce, drukuje, skanuje skanerem urzędowym, zapisuje. Kopia, którą publikuje, formalnie jest „nowym" plikiem, ale w rzeczywistości — gdy ktoś otworzy ją w Adobe Acrobat — pokazuje wszystkie dane.

Pęknięcie drugie — brak narzędzia. Procedura przewiduje anonimizację, ale jedyne dostępne narzędzie to zaznaczanie prostokąta w przeglądarce PDF na poziomie warstwy graficznej. Ten prostokąt — co potrafi pokazać każde dziecko z poziomu szkoły podstawowej — można zdjąć w trzech kliknięciach. Profesjonalna anonimizacja PDF wymaga narzędzia, które fizycznie usuwa zawartość ze struktury dokumentu (np. Adobe Acrobat Pro w trybie Redact, niektóre darmowe alternatywy z open source). Bez takiego narzędzia anonimizacja jest jedynie iluzoryczna.

Pęknięcie trzecie — brak akceptacji „w dwie pary oczu". Plik publikuje jedna osoba, bez zewnętrznego sprawdzenia. W urzędzie liczącym 80 etatów to mogłoby być proste: koordynator BIP publikuje na ostateczne potwierdzenie sekretarza urzędu albo IOD. W praktyce — sekretarz jest na kolegium, IOD pracuje w wymiarze ¼ etatu trzy razy w tygodniu, koordynator BIP jest jednocześnie pracownikiem sekretariatu. Akceptacja w dwie pary oczu istnieje na papierze, w rzeczywistości publikacja idzie na jedno kliknięcie.

W Myślenicach — jak ustalił publicznie sam burmistrz — incydent był skutkiem nieumyślnego błędu ludzkiego. W rozumieniu organizacyjnym oznacza to dokładnie to, co opisaliśmy: złożenie tych trzech pęknięć zatrzymało dokument w trybie publikacji bez przejścia przez kontrolę. Z perspektywy art. 32 RODO odpowiedź organu nadzorczego brzmi: administrator nie wdrożył odpowiednich środków technicznych i organizacyjnych, czyli nie zbudował procesu zdolnego wyłapać taki błąd. Z perspektywy odpowiedzialności — nie ma znaczenia, czyje kliknięcie było ostateczne. Liczy się, kto był administratorem.

Drugi front — zgłoszenie naruszenia, które się nie zdarzyło

W komunikacie Prezesa UODO jest fragment, który w doniesieniach prasowych pojawia się jednym zdaniem, ale w praktyce orzeczniczej będzie ważył więcej niż pierwsza kara: urząd nie zgłosił naruszenia ochrony danych osobowych organowi nadzorczemu w trybie art. 33 RODO. Obowiązek ten — siedemdziesiąt dwie godziny od stwierdzenia naruszenia, zawiadomienie elektroniczne za pośrednictwem formularza na stronie UODO — jest obowiązkiem bezwarunkowym dla każdego administratora w sytuacji, gdy istnieje ryzyko dla osób, których dane dotyczą. W przypadku Myślenic — gdzie wypłynęły imię, nazwisko, adres i wzór podpisu 749 osób — ryzyko jest oczywiste.

Prezes UODO wszczął odrębne postępowanie w tej sprawie. To znaczy, że za samo niezgłoszenie naruszenia może zostać nałożona druga, autonomiczna kara administracyjna, niezależna od pierwszej. Wymiar drugiej kary statystycznie bywa wyższy niż pierwszej, bo organ patrzy na brak zgłoszenia jako na świadome uchylanie się od współpracy z nadzorem. To z perspektywy zarządczej — od dzisiaj — najważniejsza lekcja decyzji Myślenickiej. Jeżeli stwierdziliście naruszenie, nawet drobne, nawet pozornie naprawione w godzinę — zgłoście je do UODO w 72 godziny. Nie zgłoszenie kosztuje więcej niż samo naruszenie.

Dziesięć pytań na poniedziałkowe kolegium — burmistrzu, wójcie, prezesie spółki komunalnej

Lista pytań, na które zarząd publicznej JST lub spółki komunalnej powinien znać odpowiedź przed kontrolą sektorową UODO — a najpóźniej w trakcie najbliższego cotygodniowego kolegium. Listę układamy tak, aby każde pytanie miało odpowiedź „tak — udokumentowane" albo bezpośrednio identyfikowało lukę do zamknięcia.

Pierwsze — czy mamy spisaną instrukcję anonimizacji dokumentów publikowanych w BIP, której obecna wersja została zatwierdzona w 2025 lub 2026 r. przez sekretarza urzędu lub kierownika jednostki?

Drugie — czy mamy w urzędzie narzędzie, które fizycznie usuwa dane z PDF (Adobe Acrobat Pro w trybie Redact lub równoważne), czy też anonimizacja w praktyce sprowadza się do nałożenia czarnego prostokąta w przeglądarce?

Trzecie — czy każdy dokument publikowany w BIP jest sprawdzany w trybie w dwie pary oczu (koordynator BIP + osoba upoważniona przez kierownika jednostki lub IOD)?

Czwarte — czy wszyscy pracownicy mający dostęp do publikacji w BIP odbyli w ostatnich 12 miesiącach szkolenie z anonimizacji, którego treść została udokumentowana?

Piąte — czy mamy spisaną i przećwiczoną procedurę reagowania na naruszenie ochrony danych osobowych ze schematem 72 godzin do zgłoszenia do UODO, z numerem telefonu do IOD na pierwszej stronie?

Szóste — czy IOD ma realny dostęp do publikacji przed ich zamieszczeniem (a nie tylko po fakcie, na zgłoszenie obywatelskie)?

Siódme — czy nagrania z sesji rady gminy / rady powiatu / sejmiku są moderowane pod kątem fragmentów dotyczących sfery prywatnej (wystąpienia o stanie zdrowia, sprawach rodzinnych, kontaktach z poszczególnymi mieszkańcami)?

Ósme — czy w BIP-ie nie ma dokumentów sprzed roku 2018 (data wejścia RODO), w których publikowane są dane osobowe bez aktualnej podstawy prawnej?

Dziewiąte — czy mamy w arkuszu RPC (rejestrze czynności przetwarzania) wskazaną pozycję „publikacja w BIP" z opisem podstawy prawnej, kategorii danych, okresu retencji i środków bezpieczeństwa?

Dziesiąte — czy gdyby UODO przyszedł do nas jutro, mielibyśmy w ciągu czterech godzin gotowy komplet dokumentacji: instrukcja, rejestr, dziennik szkoleń, raporty z dwie pary oczu, ślady IOD?

Jeżeli na jedno z dziesięciu pytań odpowiedź brzmi „nie" lub „nie wiem" — macie konkretną pracę domową na czerwiec.

Szybki przewodnik po anonimizacji — co musi mieć urząd, który chce spać spokojnie

W praktyce wdrożeniowej, jaką prowadzi Fib.Code z samorządami, anonimizacja BIP rozkłada się na pięć warstw, których spełnienie łącznie daje bezpieczeństwo akceptowalne dla obecnego standardu orzeczniczego UODO.

Warstwa pierwsza — narzędzia. Adobe Acrobat Pro DC w trybie Redact (licencja jednostanowiskowa około 600 zł rocznie) albo darmowa alternatywa jak pdftk-java + Master PDF Editor (z restrykcją na sprawdzenie efektu). Narzędzie musi fizycznie usuwać dane, nie tylko zakrywać.

Warstwa druga — instrukcja. Krótki dokument (3–4 strony) opisujący: jakie kategorie danych zawsze anonimizować (imię, nazwisko, adres, PESEL, numer dowodu, numer telefonu, e-mail, podpis), jakich danych nie anonimizować (nazwy stanowisk, dane radnych z dokumentów publicznych, dane wnioskodawcy publikującego pod własnym nazwiskiem), jak postępować w sprawach wątpliwych (konsultacja z IOD).

Warstwa trzecia — szkolenie. Czterdziestopięciominutowe spotkanie raz w roku, dla wszystkich pracowników mających dostęp do publikacji w BIP. Najtańsza możliwa inwestycja, najwyższa stopa zwrotu w postępowaniu UODO.

Warstwa czwarta — dwie pary oczu. Procedura w której publikuje koordynator BIP, ale aprobuje publikację — przez krótki workflow w intranecie urzędu — sekretarz urzędu, dyrektor wydziału lub IOD. To rozdzielenie ról pełni funkcję, której nie pełni żadne narzędzie techniczne.

Warstwa piąta — rejestr publikacji. Plik (najlepiej w postaci tabeli, choć może być w intranecie urzędu) ze ścieżką audytu: kto, kiedy, jaki dokument, kto akceptował, kiedy ewentualnie aktualizował lub wycofywał. W razie kontroli — to pierwsze, czego organ poprosi.

Te pięć warstw razem to realny koszt operacyjny rzędu 3–5 tysięcy złotych rocznie dla średniej gminy. Wielokrotnie mniej niż jedna kara administracyjna; jeszcze mniej w porównaniu z kosztem reputacyjnym dziennikarskiej publikacji „wójt na ławie oskarżonych RODO".

Dlaczego z Fib.Code

Fib.Code od ponad dwóch lat pełni rolę zewnętrznego pełnomocnika ds. bezpieczeństwa informacji i Inspektora Ochrony Danych w dużej grupie polskich JST i spółek komunalnych. Pracujemy z gminami liczącymi od trzech do trzystu tysięcy mieszkańców, ze spółkami wodociągowymi i ciepłowniczymi, z bibliotekami i ośrodkami pomocy społecznej, oraz — od dwóch lat — z sądami powszechnymi w obszarze ich obowiązków informacyjnych. Sektorowa kontrola UODO w 2026 r. nie jest dla nas ryzykiem klienta. Jest naszą codzienną pracą.

Nasze podejście do BIP-u jest trójwarstwowe. Pierwsza warstwa — audyt zerowy: w ciągu pięciu dni roboczych analizujemy stan obecny publikacji w BIP-ie, identyfikujemy konkretne dokumenty stwarzające ryzyko (zaskakująco często są to nagrania sesji rady gminy, drugą najczęstszą kategorią są petycje, trzecią — protokoły z zebrań wiejskich), oszacowujemy ryzyko ekspozycji w kontroli sektorowej i przygotowujemy ranking dokumentów do natychmiastowej remediacji. Druga warstwa — wdrożenie procesu: budujemy z urzędem instrukcję anonimizacji, ustanawiamy schemat „w dwie pary oczu", szkolimy pracowników, opracowujemy procedurę zgłoszenia naruszenia z zegarem 72 godzin. Trzecia warstwa — obsługa ciągła: w modelu zewnętrznego IOD lub pełnomocnika ds. BI pełnimy rolę osoby konsultującej publikacje w BIP, opiniujemy dokumenty graniczne i prowadzimy ewidencję wymaganych przez UODO. W razie kontroli — reprezentujemy administratora przed organem nadzoru i komunikujemy się z UODO bezpośrednio.

Pisaliśmy o powiązanych tematach w tekstach poświęconych outsourcingowi pełnomocnika ds. bezpieczeństwa informacji, samoidentyfikacji w NIS-2 oraz fali ransomware wiosną 2026 r.. BIP — jako codzienny kanał publikacji administracji — wpina się w każdy z tych obszarów: jest jednocześnie najbardziej widoczną powierzchnią pracy urzędu i najwęższym ogniwem, w którym jedno kliknięcie potrafi unieść ryzyko 749 osób.

Co zrobić w ten poniedziałek

Jedno spotkanie. Trzydzieści minut. Burmistrz (wójt, prezydent, prezes spółki komunalnej) plus sekretarz urzędu plus IOD. Trzy pytania na flipie. Po pierwsze — kiedy ostatnio sprawdzaliśmy, czy nasz BIP nie zawiera niezanonimizowanego dokumentu, i czy w razie kontroli UODO mielibyśmy gotową odpowiedź na pierwsze cztery godziny. Po drugie — czy publikujemy w trybie „w dwie pary oczu", i kto z nas dwóch realnie patrzy na dokument przed kliknięciem „opublikuj". Po trzecie — gdy stwierdzimy naruszenie w piątek o godzinie dwudziestej drugiej, kto u nas zna procedurę 72 godzin i ma w pamięci telefon do UODO.

Jeżeli na którekolwiek z trzech pytań odpowiedź brzmi „nie wiem" — sektorowa kontrola UODO w 2026 r. mówi wam wprost, że macie tygodnie, nie miesiące, do zamknięcia luki. Czas zacząć w poniedziałek, bo wtorek już startuje kolejny tydzień, w którym petycja może wpłynąć, projekt uchwały trafić do publikacji, a transmisja sesji rady iść na żywo.

Zapraszamy do kontaktu: l.grabowski@fibcode.com | fibcode.com/pl/kontakt. Bezpośrednio powiązane materiały: Samoidentyfikacja w NIS-2 — jak wpisać firmę do wykazu zanim minister wpisze ją za was, Fala ransomware wiosną 2026 — co łączy szpital, urząd i Waszego dostawcę usług oraz Outsourcing pełnomocnika ds. bezpieczeństwa informacji — trzy tematy, które razem tworzą rok 2026 polskiego samorządu w obszarze ochrony danych i cyberbezpieczeństwa.