Trzecia kara dla Głównego Geodety Kraju nałożona przez UODO

Trzecia kara dla Głównego Geodety Kraju nałożona przez UODO
Źródło: UODO
Udostępnij Ikona facebook Ikona LinkedIn Ikona twitter
Prezes UODO nałożył kolejną administracyjną karę pieniężną na Głównego Geodetę Kraju (GGK). Jej wysokość to 60 tys. zł, a powodem tej sankcji było niezgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu oraz niepowiadomienie o nim osób, których dane osobowe zostały ujawnione. Decyzja nakazuje też powiadomić o naruszeniu osoby, których ono dotyczyło, informuje w komunikacie UODO.

Na początku kwietnia 2022 roku przez ponad 48 godzin w serwisie prowadzonym przez Głównego Geodetę Kraju, czyli www.geoportal.gov.pl widoczne były numery ksiąg wieczystych. Posiadając numer księgi wieczystej w łatwy sposób można  ustalić szereg danych właścicieli nieruchomości, w tym ich m.in. ich numery PESEL, imiona, nazwiska, imiona rodziców, adres nieruchomości.

UODO o naruszeniu dowiedział się jednak nie od administratora, który powinien to zgłosić organowi nadzorczemu, ale z mediów. Dlatego w piśmie z 7 kwietnia 2022 roku poinformował Głównego Geodetę Kraju o obowiązku zgłaszania naruszeń ochrony danych organowi nadzorczemu oraz o koniczności powiadomienia o tym osób, których dotyczy taki incydent, gdy może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, czyli prowadzić np. do tzw. kradzieży tożsamości.

Ponieważ w dalszym ciągu nie wpłynęło zgłoszenie naruszenie ochrony danych osobowych od GGK, to organ nadzorczy wszczął postępowanie administracyjne. W toku tego postępowania GGK utrzymywał, że numery ksiąg wieczystych nie są danymi osobowymi.

UODO o naruszeniu dowiedział się jednak nie od administratora, który powinien to zgłosić organowi nadzorczemu, ale z mediów

Ponadto GGK utrzymywał, że numery ksiąg są też widoczne w innych serwisach i krótkotrwałe pojawienie się numerów w serwisie www.geoportal.gov.pl nie spowodowało jakiegokolwiek ryzyka naruszenia praw i wolności osób, których dane dotyczą.

Czytaj także: Numery ksiąg wieczystych: czy bezpieczeństwo danych osobowych naprawdę wyklucza ich dostępność?

Numery ksiąg wieczystych są danymi osobowymi

W decyzji administracyjnej UODO przypominał definicję danych osobowych  określoną w art. 4 pkt. 1 RODO, zgodnie z którą danymi osobowymi są wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania w sposób bezpośredni lub pośredni osobie fizycznej.

Organ nadzorczy przytoczył również wyrok WSA w Warszawie (sygn. akt. II Sa/Wa 2222/20), w którym Sąd ten potwierdził stanowisko UODO, że numery ksiąg wieczystych są danymi osobowymi. Wyrok ten oddalił skargę GGK na decyzję Prezesa UODO związaną z nałożeniem 100 tys. zł kary za m.in. za bezpodstawne ujawnianie danych w postaci numerów ksiąg wieczystych w Geoportalu.

Brak zawiadomienia osoby o naruszeniu może powodować dla niej negatywne konsekwencje

Odpowiadając na zarzut GGK, że istnieją serwisy, w których ujawniane są numery ksiąg wieczystych UODO zwrócił uwagę, że administrator nie może uzasadniać swojego bezprawnego działania faktem istnienia podmiotów prywatnych, prowadzących serwisy internetowe umożliwiające dostęp do treści ksiąg wieczystych.

Ponadto oceny ryzyka naruszenia praw lub wolności osoby fizycznej należy dokonać z punktu widzenia interesów osoby dotkniętej naruszeniem, a nie interesów administratora. Osoba taka może wówczas sama ocenić, czy jej zdaniem incydent bezpieczeństwa może powodować dla niej negatywne konsekwencje i podjąć odpowiednie działania zaradcze.

Oceny ryzyka naruszenia praw lub wolności osoby fizycznej należy dokonać z punktu widzenia interesów osoby dotkniętej naruszeniem, a nie interesów administratora

Natomiast brak takiego zawiadomienia o naruszeniu danych nie tylko odbiera taką możliwość, ale może powodować negatywne konsekwencje dla takiej osoby.

Czytaj także: RODO, albo łatwy dostęp do danych w księgach wieczystych?

Obowiązek zawiadomienia osoby fizycznej o naruszeniu

UODO zwrócił uwagę na możliwość szeregu negatywnych konsekwencji dla osoby fizycznej. Podkreślił przy tym kluczową rolę numeru PESEL, który powinien być szczególnie chroniony.

Obowiązek zawiadomienia osoby fizycznej o naruszeniu nie jest uzależniony od materializacji negatywnych konsekwencji dla takiej osoby

W ocenie UODO brak zgłoszenia naruszenia ochrony danych organowi nadzorczemu uniemożliwia mu odpowiednią reakcję na takie zdarzenia, jak i weryfikację podjętych przez administratora czynności po takim zdarzeniu.

Nie znalazł zrozumienia argument GGK, że pomimo uwidocznienia numerów ksiąg wieczystych, nie doszło do negatywnych konsekwencji dla osób, których dane były widoczne. UODO podkreślił, że obowiązek zawiadomienia osoby fizycznej o naruszeniu nie jest uzależniony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej możliwości wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.

Wydając decyzję nakładającą karę organ nadzorczy wziął pod uwagę m.in. to iż w jego ocenie naruszenie miało dużą wagę i poważny charakter, a niezgłoszenie tego incydentu do UODO, jak i niepowiadomienie osób było umyślne. Znaczenie dla kary miało również to, że UODO o naruszeniu dowiedział się z mediów, a nie od samego administratora danych.

Pełna treść decyzji

Czytaj także: Numer księgi wieczystej i RODO, kwadratura koła

Źródło: UODO