naruszenia ochrony danych osobowych
Prezes UODO nałożył kolejną administracyjną karę pieniężną na Głównego Geodetę Kraju. Jej wysokość to 60 tys. zł, a powodem tej sankcji było niezgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu oraz niepowiadomienie o nim osób, których dane osobowe zostały ujawnione. Decyzja nakazuje też powiadomić o naruszeniu osoby, których ono dotyczyło.
Na początku kwietnia 2022 roku przez ponad 48 godzin w serwisie prowadzonym przez Głównego Geodetę Kraju, czyli www.geoportal.gov.pl widoczne były numery ksiąg wieczystych. Posiadając numer księgi wieczystej w łatwy sposób można ustalić szereg danych właścicieli nieruchomości w tym ich m.in. ich numery PESEL, imiona, nazwiska, imiona rodziców, adres nieruchomości. UODO o naruszeniu dowiedział się jednak nie od administratora, który powinien to zgłosić organowi nadzorczemu, ale z mediów. Dlatego w piśmie z 7 kwietnia 2022 roku poinformował Głównego Geodetę Kraju o obowiązku zgłaszania naruszeń ochrony danych organowi nadzorczemu oraz o koniczności powiadomienia o tym osób, których dotyczy taki incydent, gdy może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, czyli prowadzić np. do tzw. kradzieży tożsamości.
Ponieważ w dalszym ciągu nie wpłynęło zgłoszenie naruszenie ochrony danych osobowych od GGK, to organ nadzorczy wszczął postępowanie administracyjne. W toku tego postępowania GGK utrzymywał, że numery ksiąg wieczystych nie są danymi osobowymi. Ponadto GGK utrzymywał, że numery ksiąg są też widoczne w innych serwisach i krótkotrwałe pojawienie się numerów w serwisie www.geoportal.gov.pl nie spowodowało jakiegokolwiek ryzyka naruszenia praw i wolności osób, których dane dotyczą.
Numery ksiąg wieczystych są danymi osobowymi
W decyzji administracyjnej UODO przypominał, definicję danych osobowych określoną w art. 4 pkt. 1 RODO, zgodnie z którą danymi osobowymi są wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania w sposób bezpośredni lub pośredni osobie fizycznej. Organ nadzorczy przytoczył również wyrok WSA w Warszawie (sygn. akt. II Sa/Wa 2222/20), w którym sąd ten potwierdził stanowisko UODO, że numery ksiąg wieczystych są danymi osobowymi. Wyrok ten oddalił skargę GGK na decyzję Prezesa UODO związaną z nałożeniem 100 tys. zł kary za m.in. za bezpodstawne ujawnianie danych w postaci numerów ksiąg wieczystych w Geoportalu.
Brak zawiadomienia osoby o naruszeniu może powodować dla niej negatywne konsekwencje
Odpowiadając na zarzut GGK, że istnieją serwisy, w których ujawniane są numery ksiąg wieczystych UODO zwrócił uwagę, że administrator nie może uzasadniać swojego bezprawnego działania faktem istnienia podmiotów prywatnych, prowadzących serwisy internetowe umożliwiające dostęp do treści ksiąg wieczystych. Ponadto oceny ryzyka naruszenia praw lub wolności osoby fizycznej należy dokonać z punktu widzenia interesów osoby dotkniętej naruszeniem, a nie interesów administratora. Osoba taka może wówczas sama ocenić, czy jej zdaniem incydent bezpieczeństwa może powodować dla niej negatywne konsekwencje i podjąć odpowiednie działania zaradcze. Natomiast brak takiego zawiadomienia o naruszeniu danych nie tylko odbiera taką możliwość, ale może powodować negatywne konsekwencje dla takiej osoby.
UODO zwrócił uwagę na możliwość szeregu negatywnych konsekwencji dla osoby fizycznej. Podkreślił przy tym kluczową rolę numeru PESEL, który powinien być szczególnie chroniony.
W ocenie UODO brak zgłoszenia naruszenia ochrony danych organowi nadzorczemu uniemożliwia mu odpowiednią reakcję na takie zdarzenia, jak i weryfikację podjętych przez administratora czynności po takim zdarzeniu.
Nie znalazł zrozumienia argument GGK, że pomimo uwidocznienia numerów ksiąg wieczystych, nie doszło do negatywnych konsekwencji dla osób, których dane były widoczne. UODO podkreślił, że obowiązek zawiadomienia osoby fizycznej o naruszeniu nie jest uzależniony od materializacji negatywnych konsekwencji dla takiej osoby, ale od samej możliwości wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych .
Wydając decyzję nakładającą karę organ nadzorczy wziął pod uwagę m.in. to iż w jego ocenie naruszenie miało dużą wagę i poważny charakter, a niezgłoszenie tego incydentu do UODO, jak i niepowiadomienie osób było umyślne. Znaczenie dla kary miało również, to że UODO o naruszeniu dowiedział się z mediów, a nie od samego administratora danych.
źródło informacji: tutaj