Audyt BIP to dziś nie tylko kwestia zgodności z przepisami, ale realnej kontroli nad publikowanymi danymi osobowymi. Dowiedz się, jak sprawdzić, w których dokumentach znajdują się konkretne informacje, jak reagować na żądania usunięcia danych oraz jak przygotować Biuletyn Informacji Publicznej do kontroli UODO.
Biuletyn Informacji Publicznej (BIP) to fundament jawności administracji publicznej. Jednocześnie jest to jedno z najbardziej wrażliwych miejsc w kontekście ochrony danych osobowych.
W ostatnich latach rośnie liczba zapytań dotyczących:
• danych osobowych w BIP,
• kontroli UODO BIP,
• audytu BIP w kontekście RODO,
• żądania usunięcia danych z BIP,
• archiwalnych dokumentów zawierających PESEL, adresy lub numery ksiąg wieczystych.
Najważniejsze pytanie brzmi:
🔎 Czy wiemy dokładnie, gdzie i w jakich dokumentach opublikowane są konkretne dane osobowe?
Audyt BIP nie powinien być jednorazowym przeglądem strony. Powinien być stałym elementem kontroli nad publikowanymi informacjami.
W praktyce audyt BIP coraz częściej realizowany jest przy użyciu narzędzi do automatycznego skanowania domeny i analizy załączników. Jednym z rozwiązań wykorzystywanych przez jednostki administracji publicznej jest Mycroft BIP Scanner, który umożliwia identyfikację stron i plików zawierających dane osobowe oraz analizę archiwum BIP.
W BIP publikowane są m.in.:
• decyzje administracyjne,
• ogłoszenia o naborach,
• rejestry umów,
• oświadczenia majątkowe,
• protokoły postępowań,
• archiwalne dokumenty sprzed wielu lat.
W dokumentach tych mogą znajdować się:
• imiona i nazwiska,
• adresy zamieszkania,
• numery PESEL,
• daty urodzenia,
• numery ksiąg wieczystych,
• dane kontaktowe.
RODO nie zakazuje publikacji danych. Wymaga jednak minimalizacji, adekwatności i kontroli.
W kontekście kontroli UODO BIP kluczowe jest nie tylko to, czy dane są publikowane legalnie, lecz także czy urząd potrafi:
✔ wskazać, w których dokumentach występują,
✔ szybko je zlokalizować,
✔ ocenić, czy podstawa publikacji nadal obowiązuje.
Administrator danych publikujący informacje w BIP musi zapewnić:
• minimalizację danych,
• adekwatność zakresu publikacji,
• możliwość wykazania podstawy prawnej ujawnienia,
• realizację praw osób, których dane dotyczą.
Audyt BIP w kontekście RODO nie polega wyłącznie na sprawdzeniu, czy dane zostały opublikowane zgodnie z ustawą o dostępie do informacji publicznej. Obejmuje również ocenę, czy zakres ujawnionych danych jest proporcjonalny oraz czy administrator ma kontrolę nad miejscami ich publikacji.
W praktyce oznacza to konieczność odpowiedzi na pytanie:
🔍Czy potrafimy szybko znaleźć PESEL w BIP lub ustalić, czy w archiwum znajduje się numer księgi wieczystej?
Ręczne przeszukiwanie strony nie daje pełnej kontroli. Dane mogą znajdować się:
• w treści stron HTML,
• w załącznikach PDF,
• w plikach DOCX,
• w zeskanowanych dokumentach (JPG, PDF bez warstwy tekstowej),
• w archiwalnych materiałach.
Dlatego audyt BIP powinien obejmować:
⚠️ Samo „wiemy, że takie dane publikujemy” nie wystarcza.
Kluczowe jest: w którym dokładnie pliku i pod jakim adresem?
W praktyce takie funkcjonalności oferują systemy do skanowania BIP, takie jak Mycroft BIP Scanner, które analizują zarówno treść stron, jak i załączniki – w tym archiwalne dokumenty.
🔍 Krok 1 – Identyfikacja stron i plików z danymi osobowymi
Pierwszym etapem jest ustalenie, które strony i dokumenty zawierają dane osobowe.
W praktyce oznacza to stworzenie listy:
• adresów URL,
• załączników,
• plików zawierających określone typy informacji (np. numer PESEL, data urodzenia, numer księgi wieczystej).
Nie chodzi o ogólną statystykę.
Chodzi o konkretne wskazanie dokumentu.
👤 Krok 2 – Wyszukiwanie konkretnej osoby
Częsty scenariusz:
Osoba składa wniosek o usunięcie danych z BIP.
Aby prawidłowo zrealizować takie żądanie, urząd musi wiedzieć:
• w których dokumentach pojawia się nazwisko,
• ile razy dana informacja występuje,
• czy dotyczy jednego pliku, czy wielu publikacji.
🔎 Czy jesteśmy w stanie w kilka minut wskazać wszystkie publikacje dotyczące konkretnej osoby?
Możliwość wyszukiwania po nazwisku, numerze telefonu czy numerze księgi wieczystej znacząco ogranicza ryzyko pominięcia któregoś z dokumentów.
🏢 Krok 3 – Odróżnienie danych własnych od danych osób trzecich
W BIP naturalnie publikowane są dane urzędników:
• imiona i nazwiska,
• służbowe numery telefonów,
• adresy e-mail.
Audyt BIP powinien umożliwiać filtrowanie takich informacji, aby skupić się na danych osób trzecich.
Brak takiej funkcjonalności powoduje nadmiar wyników i utrudnia realną ocenę ryzyka.
🔄 Krok 4 – Monitoring BIP jako proces ciągły
BIP jest środowiskiem dynamicznym. Codziennie publikowane są nowe dokumenty.
Dlatego kontrola danych osobowych w BIP powinna być procesem ciągłym, a nie jednorazowym działaniem.
Monitoring BIP pozwala:
• wykrywać nowe publikacje zawierające dane osobowe,
• reagować przed pojawieniem się skargi,
• dokumentować działania administratora danych.
🛡️ W kontekście kontroli UODO BIP możliwość wykazania regularnego monitoringu ma istotne znaczenie dowodowe.
Organ nadzorczy może zapytać:
• Czy prowadzony jest audyt BIP?
• Czy urząd wie, gdzie znajdują się publikowane dane osobowe?
• Czy realizowane są żądania usunięcia danych w sposób kompletny?
• Czy publikowane dane są adekwatne do celu?
Bez systemowego podejścia odpowiedzi na te pytania mogą być trudne do udokumentowania.
Systemowe podejście do kontroli BIP wymaga rozwiązania, które:
✔ skanuje całą domenę BIP,
✔ analizuje treść stron i załączników,
✔ rozpoznaje typy danych osobowych,
✔ wskazuje dokładne miejsce ich wystąpienia,
✔ umożliwia wyszukiwanie konkretnej wartości,
✔ pozwala filtrować dane własne organizacji.
Takie funkcjonalności oferuje Mycroft BIP Scanner – rozwiązanie przeznaczone do analizy i monitoringu publikowanych treści.
Uzupełnieniem kontroli po publikacji jest anonimizacja dokumentów przed ich udostępnieniem w BIP. W tym zakresie wsparciem może być Mycroft Sweeper – narzędzie do lokalnej anonimizacji dokumentów przed publikacją.
Połączenie anonimizacji przed publikacją z monitoringiem po publikacji znacząco ogranicza ryzyko naruszeń.
W przypadku otrzymania wniosku warto:
1️⃣ Wyszukać wszystkie wystąpienia danych w domenie.
2️⃣ Ustalić podstawę prawną publikacji.
3️⃣ Ocenić, czy podstawa nadal obowiązuje.
4️⃣ Udokumentować podjęte działania.
⚠️ Kluczowe jest ustalenie kompletnej listy publikacji – pominięcie jednego pliku może oznaczać niepełną realizację wniosku.
Na koniec warto zadać sobie kilka pytań kontrolnych:
• Czy potrafimy wskazać wszystkie dokumenty zawierające numer PESEL?
• Czy wiemy, w których plikach znajduje się numer księgi wieczystej?
• Czy jesteśmy w stanie w kilka minut znaleźć wszystkie publikacje dotyczące konkretnej osoby?
• Czy monitoring BIP jest procesem ciągłym?
Jeżeli odpowiedź na którekolwiek z tych pytań wymaga ręcznego przeszukiwania archiwum, audyt BIP może wymagać usystematyzowania.
Wdrożenie systemowego monitoringu BIP pozwala nie tylko ograniczyć ryzyko naruszeń, ale również przygotować urząd na ewentualną kontrolę UODO.
Jeżeli temat audytu BIP i przygotowania do kontroli jest dla Ciebie istotny, warto zapoznać się również z:
👉 Kontrole UODO 2026: anonimizacja danych w BIP – jak się przygotować? 👉 BIP bez wycieków danych – automatyczna ochrona z Mycroft
Jeżeli chcesz zobaczyć, jak w praktyce wygląda monitoring BIP i wyszukiwanie konkretnych danych osobowych przy użyciu Mycroft BIP Scanner, możesz:
