Centralny Rejestr Umów JSFP ma zwiększać jawność gospodarowania środkami publicznymi. Nie oznacza to jednak, że obowiązki związane z CRU JSFP można realizować z pominięciem zasad ochrony danych osobowych.
Wdrożenie CRU wymaga uporządkowania procesu przetwarzania danych: od pozyskania informacji od kontrahenta, przez kwalifikację umowy, aż po publikację danych wymaganych przepisami.
Poniżej przedstawiamy 10 częstych błędów związanych z RODO, które mogą pojawić się przy przygotowaniu jednostki sektora finansów publicznych do obsługi CRU JSFP.
1. Założenie, że skoro CRU JSFP wynika z ustawy, RODO nie ma znaczenia
To jeden z podstawowych błędów. Obowiązek publikacji określonych informacji w CRU JSFP wynika z przepisów prawa, ale nie wyłącza stosowania RODO. Jednostka nadal musi przetwarzać dane zgodnie z zasadami legalności, minimalizacji, rzetelności, rozliczalności i bezpieczeństwa.
W praktyce oznacza to, że jednostka powinna wiedzieć:
- jakie dane przetwarza na potrzeby CRU JSFP,
- na jakiej podstawie prawnej,
- kto ma do nich dostęp,
- jak długo są przechowywane,
- jakie dane są przekazywane do CRU JSFP,
- jakie dane pozostają wyłącznie w dokumentacji wewnętrznej jednostki.
Samo powołanie się na obowiązek ustawowy nie wystarczy, jeżeli jednostka nie potrafi wykazać, że proces jest uporządkowany i kontrolowany.
2. Zbieranie zbyt szerokiego zakresu danych „na wszelki wypadek”
Drugim częstym błędem jest gromadzenie danych, które nie są potrzebne do realizacji obowiązków związanych z CRU JSFP. Dotyczy to zwłaszcza danych osób fizycznych prowadzących działalność gospodarczą, zleceniobiorców, wykonawców, pełnomocników, osób kontaktowych albo reprezentantów kontrahenta.
W praktyce jednostki mogą mieć pokusę, aby w formularzach, oświadczeniach albo lokalnej ewidencji umów zbierać dodatkowe informacje „dla bezpieczeństwa”. Problem polega na tym, że RODO wymaga minimalizacji danych. Jeżeli dana informacja nie jest potrzebna do zawarcia umowy, realizacji umowy, rozliczenia, archiwizacji albo wykonania obowiązku prawnego, jej zbieranie może być trudne do obrony.
Przykładowo, jeżeli do CRU JSFP mają trafić określone dane wymagane przepisami, nie oznacza to automatycznie, że jednostka powinna zbierać dodatkowe prywatne numery telefonów, prywatne adresy e-mail, numery dokumentów tożsamości albo inne dane, które nie są potrzebne w danym procesie.
3. Mylenie danych publikowanych w CRU JSFP z danymi przechowywanymi lokalnie
CRU JSFP nie jest pełnym repozytorium wszystkich dokumentów i wszystkich danych związanych z umową. Do rejestru przekazuje się dane określone przepisami i strukturą systemu. Równolegle jednostka może prowadzić własną dokumentację umowy, akta sprawy, rejestr lokalny, dokumentację księgową, obieg akceptacji albo korespondencję z kontrahentem.
Błędem jest traktowanie tych dwóch obszarów jako jednego zbioru danych. Dane potrzebne lokalnie nie zawsze trafiają do CRU JSFP. Z kolei dane wymagane w CRU JSFP powinny być ustalone zgodnie z przepisami dotyczącymi rejestru, a nie według uznaniowych zasad przyjętych w jednostce.
To rozróżnienie ma znaczenie także dla obowiązku informacyjnego, analizy ryzyka, uprawnień użytkowników i zasad retencji.
4. Brak aktualizacji klauzul informacyjnych
Wdrożenie CRU JSFP może zmienić sposób informowania kontrahentów o przetwarzaniu danych osobowych. Jeżeli jednostka zawiera umowy z osobami fizycznymi, osobami prowadzącymi działalność gospodarczą albo przetwarza dane reprezentantów i pełnomocników, powinna zweryfikować, czy jej klauzule informacyjne obejmują również przetwarzanie danych w związku z obowiązkami dotyczącymi CRU JSFP.
Nie zawsze musi to oznaczać tworzenie zupełnie nowej klauzuli. Czasem wystarczy aktualizacja istniejących informacji przekazywanych kontrahentom. Ważne jednak, aby osoba, której dane dotyczą, mogła zrozumieć, że określone dane mogą być przetwarzane w celu realizacji obowiązków wynikających z przepisów o Centralnym Rejestrze Umów JSFP.
Błędem jest uznanie, że skoro publikacja wynika z ustawy, to jednostka nie musi w ogóle analizować obowiązku informacyjnego.
5. Automatyczne publikowanie danych bez weryfikacji zakresu jawności
Jawność życia publicznego nie oznacza dowolności w ujawnianiu danych. Jednostka powinna publikować to, co wynika z przepisów dotyczących CRU JSFP, a nie wszystko, co znajduje się w umowie albo w dokumentacji sprawy.
Ryzykowne jest zwłaszcza kopiowanie do pól opisowych nadmiarowych informacji z umowy, korespondencji albo notatek służbowych. Jeżeli system dopuszcza wpisanie dodatkowego opisu, przed jego uzupełnieniem należy ocenić, czy nie zawiera on danych osobowych, które nie powinny być ujawnione.
Problem może dotyczyć np. opisów przedmiotu umowy, komentarzy wewnętrznych, danych kontaktowych, informacji o stanie zdrowia, sytuacji rodzinnej, numerów identyfikacyjnych albo innych informacji, które nie są potrzebne do realizacji celu rejestru.
6. Brak zasad postępowania z danymi osób fizycznych prowadzących działalność gospodarczą
W praktyce wiele umów zawieranych przez JSFP dotyczy jednoosobowych działalności gospodarczych. Dane takiego kontrahenta mogą mieć jednocześnie charakter danych firmowych i danych osobowych. Sam fakt, że ktoś prowadzi działalność gospodarczą, nie powoduje automatycznie, że jego dane przestają podlegać ochronie.
Dlatego jednostka powinna przyjąć jasne zasady postępowania z takimi umowami. Szczególnie ważne jest rozróżnienie danych identyfikujących przedsiębiorcę jako stronę umowy od danych dodatkowych, które mogą nie być potrzebne do publikacji w CRU JSFP.
Błędem jest mechaniczne założenie, że „firma to nie RODO”. W przypadku JDG takie podejście jest po prostu zbyt uproszczone.
7. Pomijanie danych pełnomocników, reprezentantów i osób kontaktowych
Przy obsłudze umów jednostka często przetwarza nie tylko dane samego kontrahenta, ale również dane osób działających po jego stronie: członków zarządu, pełnomocników, prokurentów, pracowników, koordynatorów umowy czy osób wskazanych do kontaktu.
Nie wszystkie te dane muszą trafiać do CRU JSFP, ale nadal mogą być przetwarzane przez jednostkę. To oznacza, że trzeba uwzględnić je w analizie procesu, upoważnieniach, zasadach dostępu i dokumentacji ochrony danych.
Błędem jest koncentrowanie się wyłącznie na danych strony umowy, przy jednoczesnym ignorowaniu danych osób, które pojawiają się w załącznikach, korespondencji, pełnomocnictwach, protokołach odbioru albo dokumentach rozliczeniowych.
8. Brak kontroli uprawnień użytkowników obsługujących CRU JSFP
RODO to nie tylko klauzule informacyjne. To także bezpieczeństwo i kontrola dostępu. Jeżeli w jednostce wiele osób uczestniczy w rejestracji, akceptacji, weryfikacji i publikacji informacji o umowach, konieczne jest uporządkowanie uprawnień.
Błędem jest przyznawanie szerokiego dostępu wszystkim osobom „na wszelki wypadek”. Dostęp powinien odpowiadać roli danej osoby w procesie. Inne uprawnienia powinien mieć pracownik merytoryczny wprowadzający dane, inne osoba akceptująca, inne administrator systemu, a inne osoba odpowiedzialna za publikację.
Warto zadbać również o historię operacji. Przy CRU JSFP znaczenie ma nie tylko to, czy dane zostały opublikowane, ale również kto je przygotował, kto zweryfikował, kto zaakceptował i kiedy dokonano określonych czynności.
9. Brak procedury korekty błędnych danych
W praktyce błędy będą się zdarzać. Może dojść do pomyłki w danych kontrahenta, wartości umowy, dacie, zakresie informacji albo kwalifikacji umowy do publikacji. Z punktu widzenia RODO istotne jest, aby jednostka miała sposób reagowania na takie sytuacje.
Błędem jest brak procedury korekty. Jednostka powinna wiedzieć:
- kto przyjmuje zgłoszenie błędu,
- kto ocenia jego charakter,
- kto decyduje o korekcie,
- kto dokonuje aktualizacji,
- jak dokumentuje się przyczynę zmiany,
- czy błąd może stanowić naruszenie ochrony danych osobowych.
Nie każdy błąd w CRU JSFP będzie naruszeniem RODO. Jednak każdy błąd dotyczący danych osobowych powinien być oceniony także z tej perspektywy.
10. Traktowanie CRU JSFP jako wyłącznie zadania informatycznego
Ostatni błąd jest organizacyjny. CRU JSFP często bywa sprowadzany do pytania: kto założy konto, kto się zaloguje i kto kliknie publikację. Tymczasem z perspektywy RODO i kontroli zarządczej jest to proces obejmujący prawo, organizację, bezpieczeństwo, obieg dokumentów, odpowiedzialność i jakość danych.
Informatyka może zapewnić narzędzie, integrację, role, logi i automatyzację. Nie zastąpi jednak decyzji organizacyjnych: kto kwalifikuje umowy, kto sprawdza dane, kto odpowiada za poprawność, kto akceptuje publikację i jak jednostka dokumentuje cały proces.
Najbezpieczniejsze podejście polega na potraktowaniu CRU JSFP jako procesu międzydziałowego, w którym uczestniczą co najmniej komórki merytoryczne, zamówienia publiczne, finanse, obsługa prawna, IOD, administratorzy systemów oraz kierownictwo jednostki.
Podsumowanie
CRU JSFP nie znosi obowiązków wynikających z RODO. Wprowadza natomiast nowy proces, w którym dane osobowe mogą być przetwarzane, weryfikowane, aktualizowane i częściowo udostępniane publicznie. Dlatego jednostka powinna zadbać nie tylko o samą techniczną możliwość publikacji informacji w rejestrze, ale również o prawidłowe zasady przetwarzania danych.
Najważniejsze jest zachowanie równowagi: z jednej strony realizacja obowiązku jawności i publikacji danych wymaganych przepisami, z drugiej – unikanie nadmiarowego ujawniania informacji, które nie powinny trafić do publicznego rejestru.
Dobrze przygotowany proces obsługi CRU JSFP powinien obejmować jasne role, kontrolę dostępu, aktualne klauzule informacyjne, ścieżkę akceptacji, historię zmian i procedurę korekty błędów. Dopiero wtedy jednostka może ograniczyć ryzyko zarówno organizacyjne, jak i związane z ochroną danych osobowych.
Źródła i podstawy prawne
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) – zasady legalności, minimalizacji danych, rozliczalności, bezpieczeństwa i obowiązku informacyjnego.
- Ustawa z dnia 27 sierpnia 2009 r. o finansach publicznych – tekst jednolity Dz.U. 2025 poz. 1483 – podstawa ustawowa jawności gospodarowania środkami publicznymi i przepisów dotyczących CRU JSFP.
- Ustawa z dnia 4 grudnia 2025 r. zmieniająca przepisy dotyczące CRU JSFP – Dz.U. 2025 poz. 1844 – aktualne brzmienie przepisów o publikacji informacji o umowach oraz terminów ich stosowania.
- Rozporządzenie Ministra Finansów i Gospodarki z dnia 30 marca 2026 r. w sprawie Centralnego Rejestru Umów Jednostek Sektora Finansów Publicznych – Dz.U. 2026 poz. 440 – zakres danych, sposób oznaczania stron umowy, zasady wartości i aktualizacji wpisów.
- Ustawa z dnia 6 września 2001 r. o dostępie do informacji publicznej – ograniczenia jawności ze względu na prywatność osoby fizycznej i inne tajemnice prawnie chronione.
Artykuł ma charakter informacyjny i nie stanowi porady prawnej. Przed wdrożeniem konkretnych rozwiązań jednostka powinna ocenić własny proces, zakres przetwarzanych danych oraz obowiązujące u niej procedury.