Biuletyn Informacji Publicznej RPO

• Z serwerów Głównego Urzędu Geodezji i Kartografii przez lata wyciekały dane osobowe
• Można było uzyskać dostęp m.in. do imion, nazwisk i numerów PESEL
• Konsekwencją nieuprawnionego wykorzystania takich danych może być np. kradzież tożsamości czy oszustwa  
• AKTUALIZACJA: Prezes Urzędu Ochrony Danych Osobowych przedstawił RPO swe działania w tej sprawie 

Do Rzecznika Praw Obywatelskich wpłynęła skarga związana z wyciekiem danych osobowych gromadzonych i realizowanych z wykorzystaniem tzw. serwerów Integracji Głównego Urzędu Geodezji i Kartografii (GUGiK) od 6 lipca 2018 r. do 25 lipca 2022 r.

Urząd potwierdza naruszenie ochrony danych osobowych w zawiadomieniu opublikowanym na stronie internetowej.

W skardze zwrócono uwagę, że sytuacja jest poważna ze względu na zakres danych podlegających nieuprawnionemu udostępnieniu. Chodzi o imiona i nazwiska, imiona rodziców, numer PESEL, formę władania oraz inne dane zawarte w księgach wieczystych.

Skarżąca ma uzasadnione obawy potencjalnej kradzieży lub sfałszowania tożsamości.

Z informacji na stronie internetowej GUGiK wynika, że do naruszenia ochrony danych osobowych ogólnodostępnych w serwisie www.geoportal.gov.pl dochodziło już wcześniej. Na GUGiK została też nałożona kara przez Prezesa Urzędu Ochrony Danych Osobowych z powodu niezgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu oraz niepowiadomienia o nim osób, których dane osobowe ujawniono.

Budzi to zaniepokojenie Rzecznika. Dlatego prosi prezesa UODO Jana Nowaka oraz głównego geodetę kraju Alicję Kulkę o informacje co do podjętych działań. 

Odpowiedź prezesa Urzędu Ochrony Danych Osobowych Jana Nowaka

W odpowiedzi na prośbę o przekazanie informacji o działaniach podjętych w związku z zaistniałymi przypadkami naruszenia ochrony danych osobowych w serwisie www.geoportal.gov.pl, informuję, że po rozpoczęciu stosowania rozporządzenia 2016/679, z uwagi na napływające sygnały dotyczące upublicznienia informacji o numerach ksiąg wieczystych, zwrócono się do Głównego Geodety Kraju (dalej GGK) w grudniu 2018 r., a następnie w styczniu 2019 r., ze wskazaniem, że publiczne udostępnienie danych dotyczących numerów ksiąg wieczystych wszystkich podmiotów ujawnionych w bazie danych dotyczących ewidencji gruntów i budynków w usłudze WMS, jak również za pośrednictwem portalu internetowego www.geoportal.gov.pl, nie znajduje uzasadnienia w świetle przepisów o ochronie danych osobowych. 

GGK, którego funkcję sprawował od 7 czerwca 2018 r. do 13 maja 2022 r. Pan Waldemar Izdebski, podtrzymał jednak swoje stanowisko, zgodnie z którym numery ksiąg wieczystych nie mogą w żaden sposób być traktowane jako dane osobowe. Sytuacja ta powtórzyła się w przypadku pisma skierowanego do GGK w styczniu 2020 r., w którym zwrócono uwagę na negatywne konsekwencje dla ochrony danych osobowych w związku z wprowadzeniem jawności i publicznej dostępności numerów ksiąg wieczystych dostępnych w usłudze WMS i za pośrednictwem portalu internetowego www.geoportal.gov.pl. W odpowiedzi na to pismo GGK nie zgodził się ze stanowiskiem organu nadzorczego, kwestionując m.in. konieczność ochrony numerów ksiąg wieczystych w rejestrach geodezyjnych.

Nie ograniczono się jedynie do kierowania pism do GGK. W lutym 2019 r. skierowano do Ministra Inwestycji i Rozwoju wystąpienie w sprawie zmiany przepisów dotyczących ewidencji gruntów i budynków mającej na celu ograniczenie dostępności numerów ksiąg wieczystych poprzez wyraźne ustawowe zawężenie kręgu podmiotów, na rzecz których mają być udostępniane, a następnie wystąpienie takie skierowano do Ministra Rozwoju w styczniu 2020 r.

Ostatecznie, w marcu 2020 r., zadecydowano o konieczności przeprowadzenia kontroli, która miała objąć udostępnianie przez GGK za pośrednictwem portalu internetowego GEOPORTAL2 danych osobowych z ewidencji gruntów i budynków (w tym numerów ksiąg wieczystych). GGK nie dopuścił jednak do przeprowadzenia czynności kontrolnych w pełnym zakresie wynikającym z przedłożonych upoważnień, jako że uznał, iż kontrola dotyczyć ma numeru księgi wieczystej, która w jego opinii nie jest daną osobową w rozumieniu przepisów prawa geodezyjnego i kartograficznego. 

W związku z tym faktem wydano decyzję z dnia 2 lipca 2020 r., w której, stwierdzając naruszenie przepisów art. 31 oraz 58 ust. 1 lit. e) i f) rozporządzenia 2016/679, nałożono na GGK administracyjną karę pieniężną w kwocie 100.000 zł. Następnie decyzją z dnia 24 sierpnia 2020 r. stwierdzono naruszenie przez GGK przepisów art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 rozporządzenia 2016/679 poprzez udostępnianie na portalu o nazwie „GEOPORTAL2” (”geoportal.gov.pl”) bez podstawy prawnej danych osobowych w zakresie numerów ksiąg wieczystych pozyskanych z ewidencji gruntów i budynków, w związku z czym nakazano GGK dostosowanie operacji przetwarzania danych osobowych do przepisów rozporządzenia 2016/679 poprzez zaprzestanie udostępniania na ww. portalu tych danych osobowych oraz nałożono na GGK administracyjną karę pieniężną w kwocie 100.000 zł. Skargi złożone przez GGK na obie powyższe decyzje zostały oddalone przez Wojewódzki Sąd Administracyjny w Warszawie.

W kwietniu 2022 r. doszło do kolejnego ujawnienia numerów ksiąg wieczystych w serwisie www.geoportal.gov.pl w wyniku incydentu informatycznego związanego z pomyłką w numerze IP, przy czym GGK nie zgłosił naruszenia ochrony danych osobowych zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia i nie zawiadomił o nim, bez zbędnej zwłoki osób, których dane dotyczą (zgodnie z art. 34 ust. 1 rozporządzenia 2016/679). W konsekwencji, w dniu 6 lipca 2022 r. wydano decyzję m.in. nakładającą na GGK administracyjną karę pieniężną w kwocie 60.000 zł.

Konieczność wydania wyżej wskazanych decyzji była konsekwencją przyjętego przez ówczesnego GGK stanowiska, iż numer księgi wieczystej nie jest daną osobową. Ze zmianą osoby sprawującej funkcję GGK należy jednak wiązać zmianę tego stanowiska - pełniąca obecnie obowiązki GGK Pani Alicja Kulka zdaje się bowiem nie podzielać opinii Pana Waldemara Izdebskiego w tym zakresie. 

Ww. decyzja z dnia 6 lipca 2022 r. nie została bowiem zaskarżona, a administracyjna kara pieniężna zapłacona. Nadto, po wykryciu przypadków naruszeń ochrony danych osobowych polegających na nieuprawnionym dostępie m.in. do numerów ksiąg wieczystych (które to naruszenia rozpoczęły się w czasie pełnienia funkcji GGK przez Pana Waldemara Izdebskiego, tj. w lipcu i w sierpniu 2018 r.), p.o. GGK Pani Alicja Kulka przystąpiła do ich usunięcia i zgłosiła je zgodnie z art. 33 ust. 1 rozporządzenia 2016/679 organowi nadzorczemu, a także podjęła działania celem zawiadomienia o nim osób fizycznych zgodnie z art. 34 rozporządzenia 2016/679. 

W związku z dwoma takimi zgłoszeniami dokonanymi w lipcu br., mając na uwadze konieczność prawidłowego zawiadomienia osób, których dotyczą dane objęte naruszeniem, skierowano do GGK na podstawie art. 52 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) oraz art. 34 ust. 4 rozporządzenia 2016/679 wystąpienia o ponowne zawiadomienie tych osób. 

Jednocześnie informuję, że sprawy prowadzone w związku z przedmiotowymi zgłoszeniami nie zostały jeszcze zakończone.

VII.501.103.2022