Ponad 40 polskich urzędów publikowało PESEL-e w BIP. Oto co znaleźliśmy

Wyszukiwarka Google umożliwia wykorzystanie odpowiednich parametrów, związanych m.in. z dosłownym występowaniem frazy (poprzez umieszczenie w cudzysłowie) czy zawężeniem poszukiwań do danej domeny (w ramach parametru „site:”). W grudniu 2025 roku opisaliśmy znalezienie w ten sposób klikuset numerów PESEL w publicznie dostępnych arkuszach Excela – jeden z nich dotyczył podopiecznych fundacji, zaś drugi pochodził z BIP-u jednej z gmin.

Tym razem postanowiliśmy poszukać niezanonimizowanych dokumentów w publicznie dostępnych zasobach polskich urzędów – mowa głównie o Biuletynach Informacji Publicznej. Okazało się, że wiele z nich publikowało dokumenty z danymi osobowymi osób fizycznych.

Dane osobowe w dokumentach

W ramach wyszukiwania w Google udało się nam znaleźć 46 jednostek publicznych, które publikowały dokumenty z danymi osobowymi. Mowa tutaj o różnym poziomie administracyjnym, ponieważ pliki się zarówno na stronach gmin, jak i w witrynach ministerstw.

Wśród jednostek znajdowały się kolejno:

• urzędy gminy – 15 przypadków;
• urzędy miasta – 12 przypadków;
• starostwa powiatowe – 11 przypadków;
• urzędy miasta i gminy – 3 przypadki;
• ministerstwa (domena rządowa - przyp. red.) – 2 przypadki;
• uniwersytety – 2 przypadki;
• inne – 1 przypadek.

Rodzaje dokumentów

Kluczowe pozostaje to, jakie rodzaje dokumentów zawierały dane osobowe (głównie numery PESEL). Mowa tutaj głównie o dwóch rodzajach:

• pismach ogólnych do podmiotu publicznego;
• uproszczonych ofertach realizacji zadania publicznego.

W przypadku pierwszej kategorii błędy zazwyczaj polegały na… publikacji niezanonimizowanych dokumentów z poziomu e-PUAPu (zarówno wydruków oraz wersji cyfrowych). Bardzo często oprócz docelowego dokumentu publikowano również dane nadawcy dokumentu.

Druga kategoria jest nie mniej ciekawa, ponieważ w rubrykach dotyczacych kontaktu z osobami realizującymi zadania publiczne wpisywany jest numer PESEL. Jest to o tyle ciekawe, że w tym miejscu dokumentu nie wskazano konieczności wpisania takiej informacji.

Szczegółowy podział znalezionych dokumentów z danymi osobowymi prezentuje się następująco:

• uproszczone oferty realizacji zadania publicznego – 21;
• pisma ogólne do podmiotów publicznych – 18;
• petycje – 3;
• uproszczone oferty realizacji zadania publicznego i pisma ogólne do podmiotów publicznych (w ramach jednego dokumentu) – 2;
• zgromadzenie publiczne – 1;
• oświadczenie majątkowe – 1.

Zgłoszenia do jednostek

23 lutego wysłaliśmy powiadomienia o widoczności danych z poziomu sieci do wszystkich 46 podmiotów. Do 6 marca odpowiedziało nam 26 jednostek publicznych.

Kolejnym krokiem był bezpośredni kontakt z inspektorami ochrony danych organizacji, które nie odpowiedziały na zapytania. W ciągu tygodnia otrzymaliśmy wiadomość od kolejnych 6 organizacji.

Kluczowe staje się pytanie o to, ile podmiotów usunęło pliki z BIP-ów bez odpowiadania na pytania prasowe. Otóż, było to 6 urzędów. Pozostałe 8 wciąż nie podjęło działań w celu ochrony danych osobowych (stan na 13 marca godz. 13:00).

Kilka dni przed opublikowaniem artykułu zgłosiliśmy widoczność danych do CERT Polska.

Naruszenia ochrony danych

Dalsza część analizy dotyczy 32 organizacji, które przekazały nam jakąkolwiek odpowiedź zwrotną.

Naruszenie ochrony danych osobowych stwierdzono wprost w 19 przypadkach. 3 organizacje powiedziały nam, że publikacja danych osobowych jest poparta zgodami zawartymi w dokumentach. Dwa pisma zawierały informacje dotyczące osób zmarłych, dlatego ich publikacja nie stanowiła naruszenia ochrony danych.

Jeden z urzędów stwiedził, że publikacja takich danych jest zgodna z prawem. Inny poparł swoje działania tym, że:

• publikacja dokumentu jest zgodna z zasadą minimalizacji danych;
• nie stwierdzono naruszenia ochrony danych;
• osoba zostanie powiadomiona o incydencie;
• Prezes UODO nie będzie poinformowany;
• dokument zostanie opublikowany w zanonimizowanej formie.

Jedna jednostka odmówiła odpowiedzi na pytanie dotyczące ewentualnego stwierdzenia naruszenia.

Dlaczego to ważne?

Informowanie o widoczności danych osobowych wiązało się z bardzo ciekawą obserwacją: wielu inspektorów ochrony danych wyraziło szczerą wdzięczność za dokonanie zgłoszenia. Dziękujemy za niezwłoczną reakcję IOD-om i innym osobom, które dbają o bezpieczeństwo danych osobowych.

Jedna osoba, która odpowiedziała na nasze zgłoszenie zwróciła uwagę na bardzo ważny aspekt: niektóre podmioty otrzymują dokumenty przez e-PUAP lub e-Doręczenia, aby następnie je:

• wydrukować;
• przybić odpowiednią pieczątkę (np. odnośnie daty wpływu dokumentu);
• przedłożyć pismo do podpisu odpowiedniej osobie;
• zeskanować dokument;
• zamieścić na BIP.

Nasz rozmówca wskazał, że taki sposób funkcjonowania urzędów generuje duże koszty związane m.in. z eksploatacją drukarek (mowa głównie o ryzach papieru i tonerach). Wskazał również, że w momencie wpłynięcia dokumentu do organizacji generowane jest Urzędowe Potwierdzenie Przedłożenia (UPP), co pozwala skończyć z podejściem: „pieczątka jest święta”.

Wydrukowane dokumenty w BIP są bardzo trudne do analizy pod kątem nadmiarowych danych, ponieważ nie da się ich wyszukać tak jak pliku tekstowego (przez wyszukiwanie frazy w dokumencie).

Stanowisko Urzędu Ochrony Danych Osobowych

Zapytaliśmy Urząd Ochrony Danych Osobowych o to, czy publikacja danych w wspomnianych rodzajach dokumentów jest zgodna z przepisami.

W odpowiedzi zaznaczono, że „jednoznaczne stanowisko Prezes UODO może wyrazić w decyzji administracyjnej po przeprowadzeniu postępowania i zbadaniu wszelkich okoliczności konkretnej sprawy”. Podkreślono również konieczność stosowania się do art. 5 RODO (dotyczącego zasad przetwarzania danych).

Rzecznik Prasowy UODO Karol Witowski podkreślił konieczność analizy dokumentów przed publikacją ich w Biuletynach Informacji Publicznej.

W praktyce dane w postaci numeru PESEL bywają jednak przekazywane organom administracji przez osoby w kierowanych przez nie pismach, skargach, itp. Dlatego też w przypadku ewentualnej publikacji dokumentów np. w BIP administrator danych powinien dokonać oceny niezbędności ujawnienia ich treści dla realizacji celu informacyjnego, któremu ta publikacja ma służyć. Gdy cel informacji publicznej może być osiągnięty bez publikacji danych powinny one podlegać anonimizacji dokonanej przed publikacją, zgodnie z zasadą minimalizacji danych wynikającą z art. 5 ust. 1 lit. c RODO.
Rzecznik Prasowy UODO Karol Witowski

Urząd Ochrony Danych Osobowych odniósł się również do publikowania danych w ramach uproszczonych ofert realizacji zadania publicznego, których wzór określa Rozporządzenie Przewodniczącego Komitetu do spraw Pożytku Publicznego z dnia 24 października 2018 r.

„We wzorach (uproszczonej oferty oraz uproszczonego sprawozdania), które stanowią załączniki do rozporządzenia Przewodniczącego Komitetu do spraw Pożytku Publicznego nie wskazuje się na obowiązek podawania nr PESEL, ale na dane oferenta zawierające jego numer w Krajowym Rejestrze Sądowym lub innej ewidencji. W zakresie podmiotowym organizacji pozarządowych wymieniono w ustawie osoby prawne lub jednostki organizacyjne nieposiadające osobowości prawnej, którym odrębnej ustawie przyznano zdolność prawną, w tym fundacje oraz stowarzyszenia. Mocą pkt 3 art. 3 działalność pożytku publicznego może być prowadzona także przez inne osoby prawne działające na podstawie odrębnych przepisów (np. na podstawie przepisów o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej), spółdzielnie socjalne, spółki akcyjne i spółki z ograniczoną odpowiedzialnością. Wymienione w ustawie podmioty nie posiadają nr PESEL – są zarejestrowane w Krajowym Rejestrze Sądowym w dziale przedsiębiorców, stowarzyszeń, fundacji lub innych organizacji społecznych i zawodowych. Natomiast wiedza o nr podmiotu w KRS pozwala na poznanie nr PESEL członków zarządów, rad nadzorczych – osób prowadzących sprawy lub reprezentujące dane podmiotu” - przekazał nam Rzecznik.

Warto mieć na uwadze, że numer PESEL nie jest zaliczany do danych osobowych szczególnej kategorii objętych ochroną na postawie art. 9 RODO. Dana ta stanowi jednak krajowy numer identyfikacyjny zgodnie z art. 87 RODO, którego przetwarzanie podlega wzmocnionej ochronie prawnej, gdyż jednoznacznie identyfikuje osobę i pozwala na ustalenie szeregu informacji na jej temat, takich jak data urodzenia czy płeć. W połączeniu z innymi danymi może zaś posłużyć do podszycia się pod daną osobę w celach przestępczych (tzw. kradzież tożsamości). (...) Wniesienie żądania o wszczęcie postępowania przez organ administracji publicznej wymaga podania określonych przepisami danych osobowych identyfikujących stronę postępowania. Lecz podanie nr PESEL nie jest przez przepisy Kpa wymagane do wszczęcia postępowania.
Rzecznik Prasowy UODO Karol Witowski

Jak dodał, kwestia problemów z anonimizacją dokumentów jest znana Prezesowi UODO.

„Kwestia nieprawidłowej anonimizacji jest przedmiotem licznych zgłaszanych organowi nadzorczemu naruszeń, jak i decyzji Prezesa UODO, co świadczy o tym, że nie zawsze jest dokonywana prawidłowo analiza ryzyka. Wykorzystywanie instrumentów z RODO (projektowanie ochrony danych osobowych, ocena skutków dla ochrony danych osobowych, domyślna ochrona, itd) pozwala na ograniczenie ryzyk związanych z nieprawidłową anonimizacją czy też zastosowaniem mechanizmów pseudonimizacji” - podkreśla na łamach naszego portalu przedstawiciel Urzędu.

W lipcu ubiegłego roku Prezes UODO podkreślał, że anonimizacja danych nie polega wyłącznie na zasłonięciu imienia i nazwiska.

Co dalej?

Publikacja kilkudziesięciu niezanonimizowanych dokumentów w Biuletynach Informacji Publicznej jest dobrym wyznacznikiem ku temu, że wciąż potrzebujemy zmian w zakresie podejścia do ochrony danych osobowych.

Pewnie niewielu z nas chciałoby znaleźć swój numer PESEL czy adres zamieszkania w niezanonizowanym dokumencie starostwa czy urzędu gminy, a niestety takie sytuacje wciąż mają miejsce.

Trzeba wskazać na to, że w polskich BIP-ach prawdopodobnie wciąż można znaleźć niezanonimizowane dokumenty z danymi osobowymi, np. w ramach innych rodzajów dokumentów, które muszą lub mogą być dostępne publicznie. Z tego powodu nie wskazujemy zapytań, jakie umożliwiły znalezienie omawianych pism, aby nie ułatwiać potencjalnego złośliwego wykorzystania danych osobowych.

W planie kontroli sektorowych UODO na 2026 rok znalazły się podmioty prowadzące Biuletyn Informacji Publicznej. Zalecamy wszystkim jednostkom publicznym zweryfikowanie procedur ochrony danych w BIP-ach oraz wszelkich innych publicznych rejestrach.

(...) każda osoba, która ma wątpliwości, czy administrator właściwie postępuje z jej danymi, w tym przestrzega jej praw, ma prawo złożyć skargę do Prezesa UODO. Ponadto każdy, kto uważa, że jego dane osobowe są przetwarzane niezgodnie z prawem, może dochodzić swoich praw przed sądem powszechnym (art. 79 RODO). A jeżeli dana osoba uzna, że w wyniku naruszenia przepisów RODO poniosła szkodę majątkową lub niemajątkową, ma też prawo żądać od administratora lub podmiotu przetwarzającego odszkodowania, do czego uprawnia ją art. 82 RODO.
Rzecznik Prasowy UODO Karol Witowski