Kolejna kara za ujawnienie numerów ksiąg wieczystych

W uzasadnieniu decyzji Prezesa UODO z 6 lipca 2022 r. możemy dostrzec ślad najnowszych orzeczeń WSA uchylających niektóre poprzednie decyzję tego organu.

Omawiana decyzja odnosi się do wydarzenia, o którym było głośno na branżowych forach internetowych dotyczących geoportalu. W pewien kwietniowy weekend na stronie geoportalu można było sprawdzić numer księgi wieczystej po wytypowaniu dowolnej nieruchomości, która oczywiście taką księgę posiada.

Główny Geodeta kraju, mimo pisma od UODO, że trzeba zgłaszać naruszenia ochrony danych osobowych, nie dokonał takiego zgłoszenia.

Za to Prezes UODO w uzasadnieniu swojej decyzji odniósł się do kilku ważnych orzeczeń:

II SA/Wa 1353/21

II SA/Wa 791/21

II SA/Wa 2222/20

Prezes UODO po przeprowadzeniu postępowania:

stwierdzając naruszenie przez Głównego Geodetę Kraju z siedzibą w Warszawie przy ul. Wspólnej 2 przepisów:
a) art. 33 ust. 1 rozporządzenia 2016/679, polegające na niezgłoszeniu Prezesowi Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia oraz
b) art. 34 ust. 1 rozporządzenia 2016/679, polegające na niezawiadomieniu o naruszeniu ochrony danych osobowych, bez zbędnej zwłoki osób, których dane dotyczą,
nakłada na Głównego Geodetę Kraju z siedzibą w Warszawie, przy ul. Wspólnej 2  administracyjną karę pieniężną w wysokości 60 000 PLN (słownie: sześćdziesiąt tysięcy złotych),

2) nakazuje Głównemu Geodecie Kraju z siedzibą w Warszawie przy ul. Wspólnej 2 zawiadomienie – w terminie 3 dni od dnia doręczenia niniejszej decyzji – osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych w celu przekazania im informacji wymaganych zgodnie z art. 34 ust. 2 rozporządzenia 2016/679, tj.:
a) opisu charakteru naruszenia ochrony danych osobowych;
b) imienia i nazwiska oraz danych kontaktowych inspektora ochrony danych lub oznaczenia innego punktu kontaktowego, od którego można uzyskać więcej informacji;
c) opisu możliwych konsekwencji naruszenia ochrony danych osobowych;
d) opisu środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu – w tym środków w celu zminimalizowania jego ewentualnych negatywnych skutków.

Organ nadzorczy stwierdził, że:

Na tej podstawie stwierdzić należy, że podane do publicznej wiadomości numery ksiąg wieczystych pozwalają na identyfikację osób, których dane zawarte są w księdze wieczystej. Posiadanie informacji o numerze księgi wieczystej umożliwia w sposób łatwy i prosty dostęp do danych podmiotowych osób ujawnionych w księgach wieczystych. Uzyskanie wglądu do danych osobowych zawartych w treści księgi wieczystej nie wymaga bowiem od osób dysponujących tym numerem posiadania dostępu do dedykowanego systemu informatycznego ani posiadania specjalnych uprawnień. Numer księgi wieczystej jest informacją, która pozwala w sposób pośredni zidentyfikować osobę fizyczną (tj. właściciela danej nieruchomości). W związku z tym uznać należy, że numer księgi wieczystej stanowi dane osobowe w rozumieniu art. 4 ust. 1 rozporządzenia 2016/679.

Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
24.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Powyżej w uzasadnieniu niniejszej decyzji wskazano już, że zasada jawności ksiąg wieczystych nie stanowi podstawy prawnej do publikacji numerów ksiąg wieczystych za pośrednictwem prowadzonego przez Administratora Serwisu. Wskazać ponadto należy, że udostępnienie przez organ administracji publicznej, jakim jest Administrator, dysponujący danymi w skali całego kraju, numerów ksiąg wieczystych w Serwisie przez ponad 48 godzin mogło dać innym podmiotom udostępniającym numery ksiąg wieczystych za pośrednictwem powszechnie dostępnych usług sieciowych możliwość np. zaktualizowania prowadzonych baz danych celem ich dalszego udostępniania. Powyższa okoliczność w ocenie Prezesa UODO powinna być wzięta pod uwagę podczas dokonywania oceny ryzyka naruszenia praw lub wolności osób fizycznych związanego  z ujawnieniem numerów ksiąg wieczystych w Serwisie, zdecydowanie powodując zwiększenie poziomu tego ryzyka. Podnieść również należy, że Administrator nie może uzasadniać swojego bezprawnego działania faktem istnienia podmiotów prywatnych, prowadzących serwisy internetowe umożliwiające dostęp do treści ksiąg wieczystych.

Tak jak wspomniałem na początku – Prezes UODO, w uzasadnieniu tej decyzji, wzmocnił argumentację co do “znaczenia” numeru PESEL, w przypadku jego “wycieku”, co zrobił zapewne ze względu na niedawny wyrok WSA w Warszawie:

Z ostatniego raportu infoDOK[1] (który przygotowywany jest w ramach prowadzenia społecznej Kampanii Informacyjnej Systemu DOKUMENTY ZASTRZEŻONE, organizowanej przez Związek Banków Polskich i niektóre banki, pod patronatem Ministerstwa Spraw Wewnętrznych i we współpracy m.in. z Policją oraz Federacją Konsumentów) wynika, że  w I kwartale 2022 roku odnotowano 1 915 prób wyłudzeń kredytów i pożyczek. Oznacza to średnio 21 prób wyłudzeń dziennie. Każdego dnia próbowano na cudze nazwiska ukraść łącznie ok. 575 tys. zł. W całym 2020 r. odnotowano 6884 próby wyłudzeń na kwotę 253,8 mln zł, zaś w całym 2021 r. odnotowano 8096 prób wyłudzeń kredytów na łączną kwotę 336,6 mln zł. Oznacza to, że cały rok 2021 r. pod względem liczby prób wyłudzeń oraz ich kwot był znacząco bardziej niebezpieczny od poprzedniego: nastąpił 17-procentowy wzrost liczby prób wyłudzeń i 32-procentowy wzrost łącznej kwoty tych prób wyłudzeń.

W konsekwencji należy stwierdzić, że Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu w wykonaniu obowiązku z art. 33 ust. 1 rozporządzenia 2016/679 oraz nie zawiadomił bez zbędnej zwłoki osób, których dane dotyczą,  o naruszeniu ochrony ich danych, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679, co oznacza naruszenie przez Administratora tych przepisów.

Równie ciekawym elementem omawianej decyzji Prezesa UODO jest argumentacja organu w zakresie konieczności przekazania zawiadomienia osób, których dane zostały ujawnione – tj. jak rozumiem są przetwarzane w księgach wieczystych:

W stanie faktycznym przedmiotowej sprawy numery ksiąg wieczystych były udostępnione  w Serwisie przez ponad 48 godzin. Administrator umożliwił nieuprawniony dostęp do danych szerokiemu kręgowi użytkowników, bowiem aby uzyskać dostęp do tych danych wystarczyło dysponować komputerem podłączonym do Internetu. Jednocześnie Administrator nie podjął działań określonych w art. 34 ust. 3 lit. a)-c) rozporządzenia 2016/679. W świetle powyższego należy przyjąć, że doszło do naruszenia ochrony danych osobowych, które, z uwzględnieniem powyżej wskazanych okoliczności uzasadniających możliwość wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych, obligowało Administratora do zawiadomienia osób, których dane dotyczą zgodnie z art. 34 ust. 1 rozporządzenia 2016/679.

Aktualności Plus 30 dni
Przez 30 dni masz dostęp do najnowszych aktualności z RODO
24.99
 PLN z VAT
  • Pierwszy zapoznasz się z argumentacją Urzędu, Sądu czy Trybunału – nie czekaj na podsumowania miesiąca, które wpada do spamu
  • Każda aktualność to fachowe i czytelne podsumowanie omawianego orzeczenia, decyzji czy wytycznych wraz z dostępem do jego treści w serwisie Judykatura.pl
  • Jedno miejsce, w którym zapoznasz się z najważniejszymi argumentami orzeczenia oraz z jego treścią niezależnie od tego, z jakiego źródła ono pochodzi
  • Utrzymaj zgodność z RODO dzięki byciu na bieżąco z orzecznictwem RODO
Wybieram

Prezes UODO nawet podpowiada jak dokonać takiego zawiadomienia:

Na koniec powyższych rozważań przypomnieć należy przepis art. 34 ust. 3 lit. c) rozporządzenia 2016/679. Przepis ten umożliwia administratorom wydanie publicznego komunikatu lub zastosowanie podobnego środka, za pomocą którego osoby, których dane dotyczą, zostaną poinformowane o naruszeniu, z uwzględnieniem informacji określonych w art. 34 ust. 2 rozporządzenia 2016/679, w przypadku kiedy indywidualne zawiadomienie osób, których dane dotyczą, wymagałoby niewspółmiernie dużego wysiłku. Nie ulega wątpliwości, że zawiadomienie osób, których dane dotyczą, w związku z przedmiotowym naruszeniem mogłoby nastąpić w sposób określony w ww. przepisie rozporządzenia 2016/679.