Kontrola.
Pytanie to zrodziło się na kanwie sprawy, która znalazła swój początek w lutym 2020 r. w związku z przeprowadzoną przez Urząd Ochrony Danych Osobowych (UODO) kontrolą przetwarzania danych osobowych w Starostwie w Jarocinie. W wyniku przeprowadzonej kontroli UODO ustalił, że starosta – na podstawie porozumienia – przekazuje dane z ewidencji gruntów i budynków (w tym numery ksiąg wieczystych) Głównemu Geodecie Kraju, który następnie udostępnia je na portalu Geoportal2 (polska.geoportal2.pl).
W konsekwencji powyższego UODO podjął decyzję o konieczności przeprowadzenia czynności kontrolnych również względem Głównego Geodety Kraju (GGK). Co symptomatyczne GGK nie wyraziło zgody na przeprowadzenie przez pracowników UODO kontroli. Wskutek powyższego UODO nie ustaliło:
- w jaki sposób i na jakiej podstawie prawnej przy udostępnianiu informacji z ewidencji gruntów i budynków GGK za pośrednictwem Geoportalu umożliwia dostęp do danych osobowych zawartych w księgach wieczystych oraz
- czy GGK wdrożył odpowiednie środki techniczne w celu zapewnienia bezpieczeństwa danych.
Kara.
UODO uznał, że GGK nie współpracował w trakcie przeprowadzanych czynności kontrolnych i wymierzył Głównemu Geodecie Kraju karę w maksymalnej wysokości 100 tys. zł. Nakładając karę pieniężną, organ nadzorczy wziął pod uwagę nie tylko wagę naruszenia, jego charakter oraz czas trwania, ale także umyślny charakter działania. GGK odwołał się od wydanej decyzji do Wojewódzkiego Sądu Administracyjnego. Skarga została jednak przez sąd oddalona.
W toku postępowania Główny Geodeta Kraju przekonywał, iż numer księgi wieczystej jest daną dotyczącą gruntu, a nie osoby. Fakt, że przez numer księgi można dotrzeć do danych osoby, nie powinien stanowić o winie GGK, a jeśli miałoby być inaczej, to trzeba ten problem jego zdaniem rozwiązać na gruncie prawa, a nie poprzez wymierzenie mu kary przez UODO.
Podstawa przetwarzania danych.
Zgodnie z art. 5 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – RODO, dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której te dane dotyczą. Dane są przetwarzane zgodnie z prawem wyłącznie w przypadkach, gdy spełniony jest co najmniej jeden z warunków wskazanych w art. 6 RODO.
W trakcie przeprowadzonego postępowania Główny Geodeta Kraju nie wskazał żadnej podstawy prawnej swojego działania. Ponadto, żaden z przepisów regulujących działalność GGK nie pozwala na udostępnianie przez niego w ramach Geoportal2 danych pozyskanych ze starostw.
Zdaniem Prezesa UODO, Główny Geodeta Kraju, zdając sobie sprawę z braku wyraźnej podstawy prawnej do przetwarzania numerów ksiąg wieczystych, zawarł porozumienia ze starostami, na postawie których pozyskał informacje z ewidencji gruntów i budynków (w tym numerów ksiąg wieczystych) prowadzonych przez starostów celem ich publikacji na Geoportal2. Mając na uwadze powyższe, Prezes UODO uznał, że doszło do udostępniania danych osobowych w postaci numerów ksiąg wieczystych na Geoportal2 bez podstawy prawnej. Takie zaś działanie przesądziło o naruszeniu przez Głównego Geodetę Kraju art. 5 ust. 1 lit. a oraz art. 6 ust. 1 RODO.
Co kryje się pod pojęciem “dane osobowe”?
W ocenie UODO bezsprzeczny jest fakt, że numery ksiąg wieczystych przetwarzane w serwisie Geoportal2 stanowią dane osobowe. Zgodnie z RODO dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą). Zaś możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
GGK poprzez zamieszczenie na Geoportal2 numerów ksiąg wieczystych wraz z odnośnikiem do strony Ministerstwa Sprawiedliwości z systemem Elektronicznych Ksiąg Wieczystych umożliwiał użytkownikom geoportal.gov.pl szybkie i bezproblemowe uzyskanie dostępu do zawartości księgi wieczystej, której numer został ujawniony, a w tym do danych osobowych właściciela nieruchomości.
Jak powszechnie wiadomo, zakres ujawnianych w księdze wieczystej danych osób fizycznych obejmuje m.in. imiona, nazwiska, imiona rodziców, numer PESEL, adres nieruchomości. Opublikowanie takich danych pozwala zatem na zidentyfikowanie osoby, której dane są zawarte w księdze wieczystej. Poprzez opublikowanie numerów ksiąg wieczystych na Geoportal2, dostęp do zawartych w nich informacji mógł uzyskać każdy zainteresowany użytkownik Internetu. UODO podkreślił, że taka sytuacja może narazić bardzo dużą liczbę osób na kradzież ich tożsamości.
Ostrzeżenie na przyszłość.
Zaprezentowana sprawa stanowi zarówno wyraźną wskazówkę interpretacyjną w zakresie rozumienia pojęcia danych osobowych, jak i ostrzeżenie przed niefrasobliwym podejściem do tematyki danych osobowych. W przypadku stwierdzenia naruszeń przy wymierzaniu i określaniu wymiaru kary organ bierze pod uwagę nie tylko takie okoliczności jak waga i charakter naruszenia, czas trwania naruszeń, czy umyślny charakter naruszenia, ale ważna jest również współpraca z organem przy przeprowadzaniu czynności kontrolnych.
W celu zapewnienia zgodności prowadzonej działalności z przepisami prawa krajowego jak i wspólnotowego zacząć należy od audytu przedsiębiorstwa, który między innymi będzie oceniał stopień zgodności z obowiązującymi wymogami ochrony danych jak również będzie zawierał wykaz niezbędnych zmian i środków zaradczych. Dalej koniecznym jest wdrożenie odpowiednich zmian w działalności, przeprowadzenie szkoleń pracowników, a to wszystko w oparciu o odpowiednią dokumentację. Na samym końcu pozostaje zmiana mentalności i podejścia do ochrony danych wszystkich osób zatrudnionych w przedsiębiorstwie i codzienne przestrzeganie ustalonych procedur.