Wyjaśnienia UODO dotyczące wycieku danych
Wyjaśnienia UODO dotyczące wycieku danych z serwerów Głównego Urzędu Geodezji i Kartografii – w poprzedniej naszej publikacji („Wyciek danych z serwerów GUGK”) sygnalizowaliśmy, iż Rzecznik Praw Obywatelskich zdecydował się na wystąpienie do Prezesa UODO (VII.501.103.2022.MKS) z prośbą o przekazanie mu informacji o podjętych działaniach, w związku z zaistniałymi przypadkami naruszenia ochrony danych osobowych.
Chronologia zdarzeń ...
Wystąpienie do GGK
„z uwagi na napływające sygnały dotyczące upublicznienia informacji o numerach ksiąg wieczystych, zwrócono się do Głównego Geodety Kraju (dalej GGK) w grudniu 2018 r., a następnie w styczniu 2019 r., ze wskazaniem, że publiczne udostępnienie danych dotyczących numerów ksiąg wieczystych wszystkich podmiotów ujawnionych w bazie danych dotyczących ewidencji gruntów i budynków w usłudze WMS, jak również za pośrednictwem portalu internetowego www.geoportal.gov.pl, nie znajduje uzasadnienia w świetle przepisów o ochronie danych osobowych.”
Odpowiedź GGK
„GGK, którego funkcję sprawował od 7 czerwca 2018 r. do 13 maja 2022 r. Pan Waldemar Izdebski, podtrzymał jednak swoje stanowisko, zgodnie z którym numery ksiąg wieczystych nie mogą w żaden sposób być traktowane jako dane osobowe”
Ponowne zwrócenie uwagi na problem przez przez UODO
„sytuacja ta powtórzyła się w przypadku pisma skierowanego do GGK w styczniu 2020 r., w którym zwrócono uwagę na negatywne konsekwencje dla ochrony danych osobowych w związku z wprowadzeniem jawności i publicznej dostępności numerów ksiąg wieczystych dostępnych w usłudze WMS i za pośrednictwem portalu internetowego www.geoportal.gov.pl.”
Odpowiedź GGK
„W odpowiedzi na to pismo GGK nie zgodził się ze stanowiskiem organu nadzorczego, kwestionując m.in. konieczność ochrony numerów ksiąg wieczystych w rejestrach geodezyjnych.”
Wystąpienia UODO do Ministra Inwestycji i Rozwoju
„Nie ograniczono się jedynie do kierowania pism do GGK. W lutym 2019 r. skierowano doMinistra Inwestycji i Rozwoju wystąpienie w sprawie zmiany przepisów dotyczących ewidencji
gruntów i budynków mającej na celu ograniczenie dostępności numerów ksiąg wieczystych poprzezwyraźne ustawowe zawężenie kręgu podmiotów, na rzecz których mają być udostępniane, a następnie wystąpienie takie skierowano do Ministra Rozwoju w styczniu 2020 r.”
Decyzja o kontroli UODO
„Ostatecznie, w marcu 2020 r., zadecydowano o konieczności przeprowadzenia kontroli, któramiała objąć udostępnianie przez GGK za pośrednictwem portalu internetowego GEOPORTAL2 danych osobowych z ewidencji gruntów i budynków (w tym numerów ksiąg wieczystych). ”
Decyzja GGK w sprawie postępowania kontrolnego
„GGK niedopuścił jednak do przeprowadzenia czynności kontrolnych w pełnym zakresie wynikającym z przedłożonych upoważnień, jako że uznał, iż kontrola dotyczyć ma numeru księgi wieczystej, która w jego opinii nie jest daną osobową w rozumieniu przepisów prawa geodezyjnego i kartograficznego.”
Zapadają decyzja PUODO
„W związku z tym faktem wydano decyzję z dnia 2 lipca 2020 r., w której, stwierdzając naruszenie przepisów art. 31 oraz 58 ust. 1 lit. e) i f) rozporządzenia 2016/679, nałożono na GGK administracyjną karę pieniężną w kwocie 100.000 zł. Następnie decyzją z dnia 24 sierpnia 2020 r.3 stwierdzono naruszenie przez GGK przepisów art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 rozporządzenia 2016/679 poprzez udostępnianie na portalu o nazwie „GEOPORTAL2” (”geoportal.gov.pl”) bez podstawy prawnej danych osobowych w zakresie numerów ksiąg wieczystych pozyskanych z ewidencji gruntów i budynków, w związku z czym nakazano GGK dostosowanie operacji przetwarzania danych osobowych do przepisów rozporządzenia 2016/679 poprzez zaprzestanie udostępniania na ww. portalu tych danych osobowych oraz nałożono na GGK administracyjną karę pieniężną w kwocie 100.000 zł. ”
Wojewódzki Sąd Administracyjny odrzuca skargi GGK
„Skargi złożone przez GGK na obie powyższe decyzje zostały oddalone przez Wojewódzki Sąd Administracyjny w Warszawie.”
Kolejny przypadek kwalifikowany, jako naruszenie danych osobowych
„W kwietniu 2022 r. doszło do kolejnego ujawnienia numerów ksiąg wieczystych w serwisie www.geoportal.gov.pl w wyniku incydentu informatycznego związanego z pomyłką w numerze IP, przy czym GGK nie zgłosił naruszenia ochrony danych osobowych zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia i nie zawiadomił o nim, bez zbędnej zwłoki osób, których dane dotyczą (zgodnie z art. 34 ust. 1 rozporządzenia 2016/679)”
Kolejna decyzja PUODO
„W konsekwencji, w dniu 6 lipca 2022 r. wydano decyzję4 m.in. nakładającą na GGK administracyjną karę pieniężną w kwocie 60.000 zł.”
Zgłoszenia naruszeń ochrony danych osobowych przez GGK
„Nadto, po wykryciu przypadków naruszeń ochrony danych osobowych polegających na nieuprawnionym dostępie m.in. do numerów ksiąg wieczystych (które to naruszenia rozpoczęły się w czasie pełnienia funkcji GGK przez Pana Waldemara Izdebskiego, tj. w lipcu i w sierpniu 2018 r.), p.o. GGK Pani Alicja Kulka przystąpiła do ich usunięcia i zgłosiła je zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 organowi nadzorczemu, a także podjęła działania celem zawiadomienia o nim osób fizycznych zgodnie z art. 34 rozporządzenia 2016/679″
Sprawy w toku ...
„W związku z dwoma takimi zgłoszeniami dokonanymi w lipcu br., mając na uwadze konieczność prawidłowego zawiadomienia osób, których dotyczą dane objęte naruszeniem,
skierowano do GGK na podstawie art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 34 ust. 4 rozporządzenia 2016/679 wystąpienia o ponowne zawiadomienie tych osób. Jednocześnie informuję, że sprawy prowadzone w związku z przedmiotowymi zgłoszeniami nie zostały jeszcze zakończone”
Źródło informacji ...
Wyjaśnienia UODO dotyczace wycieku danych z serwerów GUGK – DKN.5101.330.2022.ADN [Dostęp: 21.09.2022r., godz.: 8:22]