• admin@kibc
• 27 maja 2026
• Brak komentarzy

Prezes Urzędu Ochrony Danych Osobowych (UODO), Mirosław Wróblewski, nałożył karę administracyjną w wysokości 7 700 zł na Burmistrza Miasta i Gminy Myślenice za naruszenie przepisów o ochronie danych osobowych. Sprawa dotyczyła publikacji niezanonimizowanej petycji w Biuletynie Informacji Publicznej (BIP), która zawierała dane osobowe 749 osób, w tym imiona, nazwiska, adresy zamieszkania oraz wzory podpisów.

Prezes UODO przeprowadził postępowanie administracyjne w sprawie udostępnienia danych osobowych obywateli, którzy poparli petycję opublikowaną następnie przez Urząd Miasta i Gminy Myślenice w Biuletynie Informacji Publicznej. UODO dowiedział się o tym ze skargi osoby, której dane osobowe zostały wtedy udostępnione. Mirosław Wróblewski po przeprowadzonym postępowaniu stwierdził naruszenie ochrony danych osobowych przez administratora danych – Burmistrza Miasta i Gminy Myślenice.

Niezanonimizowana petycja zawierała dane osobowe (imiona, nazwiska, adresy zamieszkania oraz wzory podpisów) 749 osób, które ją poparły. Burmistrz wniósł o umorzenie postępowania w przedmiocie niezgłoszenia naruszenia ochrony danych osobowych, argumentując, że w sprawie wszczęto już postępowanie administracyjne na podstawie skargi indywidualnej. Dodał również, że publikacja niezanonimizowanych danych była skutkiem niezamierzonego błędu i ów niewłaściwy udostępniony plik z danymi osobowymi został zastąpiony poprawnym. W toku postępowania okazało się, że błędny plik był dostępny na stronie BIP przez kilkanaście dni. Administrator wyjaśnił jednak, że nie dopatrzył się w postępowaniu pracowników jakiegokolwiek zamiaru niezgodnego z prawem.

Prezes UODO zadecydował o podjęciu czynności wyjaśniających wykraczających poza indywidualny wymiar sprawy – w związku ze zgłoszoną skargą dostrzeżono możliwość wystąpienia nieprawidłowości w procesie przetwarzania danych osobowych o innym charakterze niż tylko te objęte skargą indywidualną. Nieuprawnione działanie wiązało się bowiem nie tylko z ingerencją w sferę indywidualnych praw podmiotów, ale wymagało oceny w kontekście innych obowiązków administratora.

Administrator niezwłocznie po uzyskaniu informacji o naruszeniu ochrony danych osobowych zobowiązany jest przeprowadzić ocenę związanego z nim ryzyka. Następnie ocena ryzyka powinna stanowić podstawę dla decyzji administratora o konieczności realizacji obowiązków wynikających z RODO w zakresie zgłoszenia organowi nadzorczemu naruszenia ochrony danych osobowych.

Pomimo faktu, że w niniejszej sprawie nie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to administrator miał obowiązek zgłoszenia incydentu Prezesowi UODO. Administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu w przypadku, gdy przeprowadzona analiza wykaże, że jest mało prawdopodobne wystąpienie ryzyka dla naruszeń praw i wolności. Małe prawdopodobieństwo powinno być utożsamiane z sytuacją, w której administrator oceniający ryzyko posiada podstawy do stwierdzenia, że taki skutek wcale się nie urzeczywistni, czyli wtedy gdy rzeczywiście można mówić o „braku ryzyka”. Europejska Rada Ochrony Danych stoi na stanowisku, że wyjątek w RODO przewidujący przypadek, gdy nie powstaje obowiązek zgłoszenia naruszenia ochrony danych osobowych należy rozumieć wąsko – tzn. wtedy gdy oczywiście małe jest prawdopodobieństwo jego wystąpienia. Chodzi o sytuację w której brak jest realnej możliwości jego powstania i odniesienia skutków dla praw i wolności osób, których dane dotyczą.
Sprawa Urzędu Miasta i Gminy Myślenice pokazuje, jak ważne jest przestrzeganie przepisów RODO, szczególnie przez jednostki publiczne. Naruszenie ochrony danych osobowych może skutkować nie tylko karą finansową, ale także utratą zaufania obywateli.
Ta sytuacja podkreśla konieczność większej świadomości i odpowiedzialności w zakresie ochrony danych osobowych wśród urzędników i instytucji publicznych. W dobie cyfryzacji i łatwego dostępu do informacji, nawet niezamierzone błędy mogą prowadzić do poważnych konsekwencji. Dlatego tak istotne jest, aby wszystkie podmioty przetwarzające dane osobowe stosowały odpowiednie środki bezpieczeństwa i procedury, które minimalizują ryzyko naruszeń.
Nałożenie kary na Burmistrza Miasta i Gminy Myślenice jest jasnym sygnałem, że ochrona danych osobowych jest priorytetem, a instytucje publiczne muszą być szczególnie ostrożne w zarządzaniu danymi obywateli. Ta sytuacja powinna być lekcją dla wszystkich podmiotów przetwarzających dane, aby zawsze działać zgodnie z obowiązującymi przepisami i najlepszymi praktykami w zakresie ochrony prywatności. Decyzja Prezesa UODO, sygn. akt DKN.5131.17.2025.