UODO zmienia zdanie ws. wycieku danych z aplikacji EMUiA. Ale tylko odrobinę

W zeszłym tygodniu UODO stwierdził, że wnioskowane przez Geoforum.pl informacje dotyczące naruszenie ochrony danych osobowych z aplikacji GUGiK-EMUiA nie stanowią informacji publicznej, i odmówił odpowiedzi na wszystkie osiem wysłanych przez nas pytań. W tym tygodniu natomiast zmienił zdanie i poprzez swojego rzecznika udzielił nam częściowej odpowiedzi.

W wystosowanym 3 stycznia piśmie do prezesa UODO zawarliśmy następujące pytania:
1) Czy Prezes UODO był informowany przez Główny Urząd Geodezji i Kartografii o wycieku danych osobowych i jego skali?
2) Czy Prezes UODO był informowany o naruszeniu przez samorządy, których bezpośrednio dotyczy wyciek danych osobowych?
3) Czy Prezes UODO był informowany przez inne osoby, instytucje o zaistniałym wycieku danych osobowych?
4) Czy wiadomo już, ilu jednostek samorządowych dotyczy sprawa?
5) Czy wszystkie samorządy, których dotyczy wyciek, mają podpisane porozumienia z GUGiK dotyczące wykorzystywania aplikacji GUGiK-EMUiA?
6) Ilu potencjalnie osób może dotyczyć wyciek danych osobowych? Jeśli nie jest jeszcze znana dokładna liczba, proszę o wskazanie wartości szacunkowej.
7) Czy w UODO prowadzone jest postępowanie w sprawie tego wycieku? Jeśli tak, proszę o podanie: od kiedy prowadzone jest to postępowanie, ile może potrwać, a także kiedy mogą pojawić się rozstrzygnięcia.
8) Kto poniesie ewentualne konsekwencje, w tym konsekwencje finansowe, w przypadku nałożenia kary przez UODO w związku z zaistniałym wyciekiem?

W odpowiedzi z 16 stycznia przeczytaliśmy, że interesujące nas zagadnienia nie stanowią informacji publicznej, a także że prezes UODO nie publikuje informacji dotyczącej faktu zgłoszenia lub niezgłoszenia naruszenia przez konkretnego administratora i nie jest do tego zobowiązany.
Tak się jednak złożyło, że dzień później na stronie urzędu pojawił się komunikat, w którym opublikowano informację, że „prezes Urzędu Ochrony Danych Osobowych otrzymał wstępne zgłoszenie naruszenia ochrony danych osobowych” od spółki Eurocert.

O wyjaśnienie tej niekonsekwencji poprosiliśmy rzecznika UODO.
W odpowiedzi z 21 stycznia podkreślił on, że prezes UODO nie ma prawnego obowiązku informowania o fakcie zgłoszenia bądź niezgłoszenia naruszenia ochrony danych osobowych, ma jednak taką możliwość. „Użyte we wskazanej przez Pana odpowiedzi określenie »nie publikuje« odnosi się przeto do braku przepisanego prawem takiego obowiązku” – argumentował.
Dalej natomiast odniósł się do jednego z pytań, na które wcześniej nie uzyskaliśmy odpowiedzi:
„W nawiązaniu zaś do Pana pytania (…) informuję, że w intersującej Pana sprawie Główny Urząd Geodezji i Kartografii zgłosił do UODO naruszenie ochrony danych osobowych, które jest związane ze wskazaną przez Pana aplikacją. Sprawa ta jest analizowana przez Urząd”.
Na koniec zauważył jeszcze, że „charakter tego naruszenia jest zupełnie inny niż przedstawiany w mediach społecznościowych. Jednak UODO nie może podawać szczegółów związanych ze zgłaszanymi naruszeniami. Takich informacji mogą udzielać jedynie administratorzy danych, u których doszło do naruszenia”.

Redakcja Geoforum.pl