O sprawie wycieku po raz pierwszy informowaliśmy na początku grudnia. Wtedy dr hab. inż. Waldemar Izdebski opublikował w serwisie X pismo, z którego wynikało, że w związku z prowadzonymi przez GUGiK pracami wdrożeniowymi nowej wersji aplikacji EMUiA zbiory dokumentów jednej z gmin trafiły do innej. Później okazało się, że takich sytuacji jest więcej – sprawa dotyczy ponad 350 urzędów.
W wystosowanym 3 stycznia piśmie do prezesa UODO zawarliśmy następujące pytania:
1) Czy Prezes UODO był informowany przez Główny Urząd Geodezji i Kartografii o wycieku danych osobowych i jego skali?
2) Czy Prezes UODO był informowany o naruszeniu przez samorządy, których bezpośrednio dotyczy wyciek danych osobowych?
3) Czy Prezes UODO był informowany przez inne osoby, instytucje o zaistniałym wycieku danych osobowych?
4) Czy wiadomo już, ilu jednostek samorządowych dotyczy sprawa?
5) Czy wszystkie samorządy, których dotyczy wyciek, mają podpisane porozumienia z GUGiK dotyczące wykorzystywania aplikacji GUGiK-EMUiA?
6) Ilu potencjalnie osób może dotyczyć wyciek danych osobowych? Jeśli nie jest jeszcze znana dokładna liczba, proszę o wskazanie wartości szacunkowej.
7) Czy w UODO prowadzone jest postępowanie w sprawie tego wycieku? Jeśli tak, proszę o podanie: od kiedy prowadzone jest to postępowanie, ile może potrwać, a także kiedy mogą pojawić się rozstrzygnięcia.
8) Kto poniesie ewentualne konsekwencje, w tym konsekwencje finansowe, w przypadku nałożenia kary przez UODO w związku z zaistniałym wyciekiem?
Niestety, we wczorajszej (16 stycznia) odpowiedzi (pełna treść poniżej) UODO wskazał, że interesujące nas zagadnienia nie stanowią informacji publicznej. Urząd podkreślił, że prezes UODO nie publikuje informacji dotyczącej faktu zgłoszenia lub niezgłoszenia naruszenia przez konkretnego administratora i nie jest do tego zobowiązany. „Przekazanie w trybie dostępu do informacji publicznej żądanej informacji mogłoby się przyczynić do spadku zaufania administratorów do Prezesa UODO, czego efektem mogłoby być powstrzymywanie się przez administratorów od zgłaszania organowi nadzorczemu naruszeń wymagających takiego zgłoszenia, a w konsekwencji do obniżenia poziomu ochrony danych osobowych w Polsce” – czytamy w odpowiedzi.

Na powyższym cytacie planowaliśmy zakończyć nasz artykuł, ale UODO nieoczekiwanie… zaprzeczyło wszystkim swoim tłumaczeniom. Otóż dziś (17 stycznia) na stronie urzędu pojawił się komunikat, w którym opublikowano informację, że „prezes Urzędu Ochrony Danych Osobowych otrzymał wstępne zgłoszenie naruszenia ochrony danych osobowych” od spółki Eurocert.
Widocznie „spadek zaufania administratorów do Prezesa UODO” nie jest kwestią, którą należałoby się przejmować...