Proste to RODO ochrona danych w medycynie

Wdrożenie RODO w jednostkach medycznych.
RODO w medycynie. Przygotowanie dokumentacji RODO. Szkolenia z ochrony danych osobowych.

Proste to RODO

Ochrona danych w medycynie i oświacie

Wyjaśnienia UODO dotyczące wycieku danych

Wyjaśnienia UODO dotyczące wycieku danych

Wyjaśnienia UODO dotyczące wycieku danych z serwerów Głównego Urzędu Geodezji i Kartografii – w poprzedniej naszej publikacji („Wyciek danych z serwerów GUGK”) sygnalizowaliśmy, iż Rzecznik Praw Obywatelskich zdecydował się na wystąpienie do Prezesa UODO (VII.501.103.2022.MKS) z prośbą o przekazanie mu informacji o podjętych działaniach, w związku z zaistniałymi przypadkami naruszenia ochrony danych osobowych.

Chronologia zdarzeń ...

Wystąpienie do GGK

„z uwagi na napływające sygnały dotyczące upublicznienia informacji o numerach ksiąg wieczystych, zwrócono się do Głównego Geodety Kraju (dalej GGK) w grudniu 2018 r., a następnie w styczniu 2019 r., ze wskazaniem, że publiczne udostępnienie danych dotyczących numerów ksiąg wieczystych wszystkich podmiotów ujawnionych w bazie danych dotyczących ewidencji gruntów i budynków w usłudze WMS, jak również za pośrednictwem portalu internetowego www.geoportal.gov.pl, nie znajduje uzasadnienia w świetle przepisów o ochronie danych osobowych.”

Odpowiedź GGK

GGK, którego funkcję sprawował od 7 czerwca 2018 r. do 13 maja 2022 r. Pan Waldemar Izdebski, podtrzymał jednak swoje stanowisko, zgodnie z którym numery ksiąg wieczystych nie mogą w żaden sposób być traktowane jako dane osobowe”

Ponowne zwrócenie uwagi na problem przez przez UODO

„sytuacja ta powtórzyła się w przypadku pisma skierowanego do GGK w styczniu 2020 r., w którym zwrócono uwagę na negatywne konsekwencje dla ochrony danych osobowych w związku z wprowadzeniem jawności i publicznej dostępności numerów ksiąg wieczystych dostępnych w usłudze WMS i za pośrednictwem portalu internetowego www.geoportal.gov.pl.”

Odpowiedź GGK

W odpowiedzi na to pismo GGK nie zgodził się ze stanowiskiem organu nadzorczego, kwestionując m.in. konieczność ochrony numerów ksiąg wieczystych w rejestrach geodezyjnych.”

Wystąpienia UODO do Ministra Inwestycji i Rozwoju

Nie ograniczono się jedynie do kierowania pism do GGK. W lutym 2019 r. skierowano doMinistra Inwestycji i Rozwoju wystąpienie w sprawie zmiany przepisów dotyczących ewidencji
gruntów i budynków mającej  na celu ograniczenie dostępności numerów ksiąg wieczystych poprzezwyraźne ustawowe zawężenie kręgu podmiotów, na rzecz których mają być udostępniane, a następnie wystąpienie takie skierowano do Ministra Rozwoju w styczniu 2020 r.”

Decyzja o kontroli UODO

Ostatecznie, w marcu 2020 r., zadecydowano o konieczności przeprowadzenia kontroli, któramiała objąć udostępnianie przez GGK za pośrednictwem portalu internetowego GEOPORTAL2 danych osobowych z ewidencji gruntów i budynków (w tym numerów ksiąg  wieczystych). ”

Decyzja GGK w sprawie postępowania kontrolnego

GGK niedopuścił jednak do przeprowadzenia czynności kontrolnych w pełnym zakresie wynikającym  z przedłożonych upoważnień, jako że uznał, iż kontrola dotyczyć ma numeru księgi wieczystej, która w jego opinii nie jest daną osobową w rozumieniu przepisów prawa geodezyjnego i kartograficznego.”

Zapadają decyzja PUODO

W związku z tym faktem wydano decyzję z dnia 2 lipca 2020 r., w której, stwierdzając naruszenie przepisów art. 31 oraz 58 ust. 1 lit. e) i f) rozporządzenia 2016/679, nałożono na GGK administracyjną karę pieniężną w kwocie 100.000 zł. Następnie decyzją z dnia 24 sierpnia 2020 r.3 stwierdzono naruszenie przez GGK przepisów art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 rozporządzenia 2016/679 poprzez udostępnianie na portalu o nazwie „GEOPORTAL2” (”geoportal.gov.pl”) bez podstawy prawnej danych osobowych w zakresie numerów ksiąg wieczystych pozyskanych z ewidencji gruntów i budynków, w związku z czym nakazano GGK dostosowanie operacji przetwarzania danych osobowych do przepisów rozporządzenia 2016/679 poprzez zaprzestanie udostępniania na ww. portalu tych danych osobowych oraz nałożono na GGK administracyjną karę pieniężną w kwocie 100.000 zł. ”

Wojewódzki Sąd Administracyjny odrzuca skargi GGK

Skargi złożone przez GGK na obie powyższe decyzje zostały oddalone przez Wojewódzki Sąd Administracyjny w Warszawie.

Kolejny przypadek kwalifikowany, jako naruszenie danych osobowych

W kwietniu 2022 r. doszło do kolejnego ujawnienia numerów ksiąg wieczystych w serwisie www.geoportal.gov.pl w wyniku incydentu informatycznego związanego z pomyłką w numerze IP, przy czym GGK nie zgłosił naruszenia ochrony danych osobowych zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia i nie zawiadomił o nim, bez zbędnej zwłoki osób, których dane dotyczą (zgodnie z art. 34 ust. 1 rozporządzenia 2016/679)

Kolejna decyzja PUODO

„W konsekwencji, w dniu 6 lipca 2022 r. wydano decyzję4 m.in. nakładającą na GGK administracyjną karę pieniężną w kwocie 60.000 .

Zgłoszenia naruszeń ochrony danych osobowych przez GGK

Nadto, po wykryciu przypadków naruszeń ochrony danych osobowych polegających na nieuprawnionym dostępie m.in. do numerów ksiąg wieczystych (które to naruszenia rozpoczęły się w czasie pełnienia funkcji GGK przez Pana Waldemara Izdebskiego, tj. w lipcu i w sierpniu 2018 r.), p.o. GGK Pani Alicja Kulka przystąpiła do ich usunięcia i zgłosiła je zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 organowi nadzorczemu, a także podjęła działania celem zawiadomienia o nim osób fizycznych zgodnie z art. 34 rozporządzenia 2016/679″

Sprawy w toku ...

W związku z dwoma takimi zgłoszeniami dokonanymi w lipcu br., mając na uwadze konieczność prawidłowego zawiadomienia osób, których dotyczą dane objęte naruszeniem,
skierowano do GGK na podstawie art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 34 ust. 4 rozporządzenia 2016/679 wystąpienia o ponowne zawiadomienie tych osób. Jednocześnie informuję, że sprawy prowadzone w związku z przedmiotowymi zgłoszeniami nie zostały jeszcze zakończone

Źródło informacji ...

Audyt Bezpieczeństwa Informacji KRI ...