UODO nakłada już trzecią karę na GGK

60 tys. zł – karę w takiej wysokości nałożył prezes Urzędu Ochrony Danych Osobowych na Głównego Geodetę Kraju za niezgłoszenie naruszenia ochrony danych osobowych.

Kara dotyczy incydentu z początku kwietnia, który opisaliśmy na Geoforum.pl. Wskutek błędnej konfiguracji usługi WMS z danymi ewidencji gruntów i budynków przez weekend wszyscy użytkownicy Geoportalu mogli przeglądać numery ksiąg wieczystych dla poszczególnych działek. To pozwalało zaś sprawdzić nie tylko imię i nazwisko właściciela nieruchomości, ale także imiona rodziców czy nr PESEL.

W ocenie UODO główny geodeta kraju powinien w takim przypadku, zgodnie z obowiązującymi przepisami, poinformować go o tym naruszeniu. Urząd dowiedział się jednak o tym incydencie nie od GGK, ale z mediów. Dlatego w piśmie z 7 kwietnia UODO poinformował GGK o obowiązku zgłaszania mu naruszeń ochrony danych osobowych oraz o konieczności powiadomienia o tym osób, których dotyczy taki incydent, gdyż może to powodować wysokie ryzyko kradzieży tożsamości.

Ponieważ mimo tej reprymendy zgłoszenie od GGK nie wpłynęło, organ nadzorczy wszczął postępowanie administracyjne. W jego toku główny geodeta kraju utrzymywał, że numery ksiąg wieczystych nie są danymi osobowymi. Ponadto twierdził, że dane te są też widoczne w innych serwisach i krótkotrwałe pojawienie się ich w Geoportalu nie spowodowało jakiegokolwiek ryzyka naruszenia praw i wolności osób, których te dane dotyczą.

UODO nie zgodził się jednak z tymi argumentami, wskazując wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie, w świetle którego numery KW należy traktować jako dane osobowe. Przypomnijmy jednak, że orzeczenie to jest nieprawomocne.

Odpowiadając na zarzut GGK, że istnieją serwisy, w których ujawniane są numery ksiąg wieczystych, UODO zwrócił uwagę, że administrator nie może uzasadniać swojego bezprawnego działania faktem istnienia podmiotów prywatnych prowadzących serwisy internetowe umożliwiające dostęp do treści ksiąg wieczystych. „Ponadto oceny ryzyka naruszenia praw lub wolności osoby fizycznej należy dokonać z punktu widzenia interesów osoby dotkniętej naruszeniem, a nie interesów administratora. Osoba taka może wówczas sama ocenić, czy jej zdaniem incydent bezpieczeństwa może powodować dla niej negatywne konsekwencje i podjąć odpowiednie działania zaradcze. Natomiast brak takiego zawiadomienia o naruszeniu danych nie tylko odbiera taką możliwość, ale może powodować negatywne konsekwencje dla takiej osoby” – czytamy w stanowisku UODO.

„Nie znalazł zrozumienia argument GGK, że pomimo uwidocznienia numerów ksiąg wieczystych, nie doszło do negatywnych konsekwencji dla osób, których dane były widoczne. UODO podkreślił, że obowiązek zawiadomienia osoby fizycznej o naruszeniu nie jest uzależniony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej możliwości wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych” – zaznacza UODO w swoim stanowisku.

Wydając decyzję nakładającą karę, prezes UODO wziął pod uwagę m.in. to, że w jego ocenie naruszenie miało dużą wagę i poważny charakter, a niezgłoszenie tego incydentu oraz niepowiadomienie osób było umyślne. Znaczenie dla kary miało również to, że UODO o naruszeniu dowiedział się z mediów, a nie od samego administratora danych.

Przypomnijmy, że jest to już trzecia kara nałożona przez UODO na GGK. Pierwsza (z lipca 2020 r.) dotyczyła utrudniania działań kontrolerów UODO w GUGiK. Przyczyną drugiej (z sierpnia 2020 r.) były już same wyniki owej kontroli, która wykazała bezprawne – w ocenie UODO – publikowanie numerów KW na Geoportalu. Wysokość obu kar wyniosła po 100 tys. zł. Na razie nie zostały one uiszczone, gdyż obie te sprawy są obecnie rozpatrywane przez Naczelny Sąd Administracyjny.

Chcesz być na bieżąco z wydarzeniami w geodezji i kartografii? Zapisz się na newsletter!

Jerzy Królikowski