Proste to RODO w medycynie w oświacie w firmie

Wdrożenie RODO w firmie / w szkole / w podmiocie medycznym

Wdrożenie RODO w firmie / w oświacie / w medycynie

Dokumentacja RODO dla firmy, dla podmiotów medycznych, przychodni, szpitali, lekarzy, dla placówek oświatowych. Pełnienei funkcji Inspektora Ochrony Danych w firmach, w podmiotach medycznych, w szkołach. Szkolenia z zakresu cyberbezpieczeństwa oraz ochrony danych osobowych. Audyt Bezpieczeństwa Informacji KRI. Dofinansowania dla samorządów, dla podmiotów medycznych na cyberbezpieczeństwo.

Wyjaśnienia UODO dotyczące wycieku danych

Wyjaśnienia UODO dotyczące wycieku danych

Wyjaśnienia UODO dotyczące wycieku danych z serwerów Głównego Urzędu Geodezji i Kartografii – w poprzedniej naszej publikacji („Wyciek danych z serwerów GUGK”) sygnalizowaliśmy, iż Rzecznik Praw Obywatelskich zdecydował się na wystąpienie do Prezesa UODO (VII.501.103.2022.MKS) z prośbą o przekazanie mu informacji o podjętych działaniach, w związku z zaistniałymi przypadkami naruszenia ochrony danych osobowych.

Chronologia zdarzeń ...

Wystąpienie do GGK

„z uwagi na napływające sygnały dotyczące upublicznienia informacji o numerach ksiąg wieczystych, zwrócono się do Głównego Geodety Kraju (dalej GGK) w grudniu 2018 r., a następnie w styczniu 2019 r., ze wskazaniem, że publiczne udostępnienie danych dotyczących numerów ksiąg wieczystych wszystkich podmiotów ujawnionych w bazie danych dotyczących ewidencji gruntów i budynków w usłudze WMS, jak również za pośrednictwem portalu internetowego www.geoportal.gov.pl, nie znajduje uzasadnienia w świetle przepisów o ochronie danych osobowych.”

Odpowiedź GGK

GGK, którego funkcję sprawował od 7 czerwca 2018 r. do 13 maja 2022 r. Pan Waldemar Izdebski, podtrzymał jednak swoje stanowisko, zgodnie z którym numery ksiąg wieczystych nie mogą w żaden sposób być traktowane jako dane osobowe”

Ponowne zwrócenie uwagi na problem przez przez UODO

„sytuacja ta powtórzyła się w przypadku pisma skierowanego do GGK w styczniu 2020 r., w którym zwrócono uwagę na negatywne konsekwencje dla ochrony danych osobowych w związku z wprowadzeniem jawności i publicznej dostępności numerów ksiąg wieczystych dostępnych w usłudze WMS i za pośrednictwem portalu internetowego www.geoportal.gov.pl.”

Odpowiedź GGK

W odpowiedzi na to pismo GGK nie zgodził się ze stanowiskiem organu nadzorczego, kwestionując m.in. konieczność ochrony numerów ksiąg wieczystych w rejestrach geodezyjnych.”

Wystąpienia UODO do Ministra Inwestycji i Rozwoju

Nie ograniczono się jedynie do kierowania pism do GGK. W lutym 2019 r. skierowano doMinistra Inwestycji i Rozwoju wystąpienie w sprawie zmiany przepisów dotyczących ewidencji
gruntów i budynków mającej  na celu ograniczenie dostępności numerów ksiąg wieczystych poprzezwyraźne ustawowe zawężenie kręgu podmiotów, na rzecz których mają być udostępniane, a następnie wystąpienie takie skierowano do Ministra Rozwoju w styczniu 2020 r.”

Decyzja o kontroli UODO

Ostatecznie, w marcu 2020 r., zadecydowano o konieczności przeprowadzenia kontroli, któramiała objąć udostępnianie przez GGK za pośrednictwem portalu internetowego GEOPORTAL2 danych osobowych z ewidencji gruntów i budynków (w tym numerów ksiąg  wieczystych). ”

Decyzja GGK w sprawie postępowania kontrolnego

GGK niedopuścił jednak do przeprowadzenia czynności kontrolnych w pełnym zakresie wynikającym  z przedłożonych upoważnień, jako że uznał, iż kontrola dotyczyć ma numeru księgi wieczystej, która w jego opinii nie jest daną osobową w rozumieniu przepisów prawa geodezyjnego i kartograficznego.”

Zapadają decyzja PUODO

W związku z tym faktem wydano decyzję z dnia 2 lipca 2020 r., w której, stwierdzając naruszenie przepisów art. 31 oraz 58 ust. 1 lit. e) i f) rozporządzenia 2016/679, nałożono na GGK administracyjną karę pieniężną w kwocie 100.000 zł. Następnie decyzją z dnia 24 sierpnia 2020 r.3 stwierdzono naruszenie przez GGK przepisów art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 rozporządzenia 2016/679 poprzez udostępnianie na portalu o nazwie „GEOPORTAL2” (”geoportal.gov.pl”) bez podstawy prawnej danych osobowych w zakresie numerów ksiąg wieczystych pozyskanych z ewidencji gruntów i budynków, w związku z czym nakazano GGK dostosowanie operacji przetwarzania danych osobowych do przepisów rozporządzenia 2016/679 poprzez zaprzestanie udostępniania na ww. portalu tych danych osobowych oraz nałożono na GGK administracyjną karę pieniężną w kwocie 100.000 zł. ”

Wojewódzki Sąd Administracyjny odrzuca skargi GGK

Skargi złożone przez GGK na obie powyższe decyzje zostały oddalone przez Wojewódzki Sąd Administracyjny w Warszawie.

Kolejny przypadek kwalifikowany, jako naruszenie danych osobowych

W kwietniu 2022 r. doszło do kolejnego ujawnienia numerów ksiąg wieczystych w serwisie www.geoportal.gov.pl w wyniku incydentu informatycznego związanego z pomyłką w numerze IP, przy czym GGK nie zgłosił naruszenia ochrony danych osobowych zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia i nie zawiadomił o nim, bez zbędnej zwłoki osób, których dane dotyczą (zgodnie z art. 34 ust. 1 rozporządzenia 2016/679)

Kolejna decyzja PUODO

„W konsekwencji, w dniu 6 lipca 2022 r. wydano decyzję4 m.in. nakładającą na GGK administracyjną karę pieniężną w kwocie 60.000 .

Zgłoszenia naruszeń ochrony danych osobowych przez GGK

Nadto, po wykryciu przypadków naruszeń ochrony danych osobowych polegających na nieuprawnionym dostępie m.in. do numerów ksiąg wieczystych (które to naruszenia rozpoczęły się w czasie pełnienia funkcji GGK przez Pana Waldemara Izdebskiego, tj. w lipcu i w sierpniu 2018 r.), p.o. GGK Pani Alicja Kulka przystąpiła do ich usunięcia i zgłosiła je zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 organowi nadzorczemu, a także podjęła działania celem zawiadomienia o nim osób fizycznych zgodnie z art. 34 rozporządzenia 2016/679″

Sprawy w toku ...

W związku z dwoma takimi zgłoszeniami dokonanymi w lipcu br., mając na uwadze konieczność prawidłowego zawiadomienia osób, których dotyczą dane objęte naruszeniem,
skierowano do GGK na podstawie art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 34 ust. 4 rozporządzenia 2016/679 wystąpienia o ponowne zawiadomienie tych osób. Jednocześnie informuję, że sprawy prowadzone w związku z przedmiotowymi zgłoszeniami nie zostały jeszcze zakończone

Źródło informacji ...

Audyt Bezpieczeństwa Informacji KRI ...