Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie przez Głównego Geodetę Kraju przepisów ogólnego rozporządzenia o ochronie danych (RODO), polegające na niezapewnieniu organowi nadzorczemu w trakcie kontroli dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań. Ponadto GGK nie współpracował z Prezesem UODO w trakcie tej kontroli.
Prezes UODO ma za zadanie monitorować oraz egzekwować stosowanie RODO. W ramach swoich kompetencji m.in. prowadzi postępowania w sprawie stosowania przepisów RODO. Dla umożliwienia realizacji zadań organowi nadzorczemu przysługuje szereg określonych uprawnień, w tym prawo do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich niezbędnych dla niego informacji, czy uprawnienie do uzyskania dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych.
Ponadto administrator i podmiot przetwarzający mają obowiązek współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 RODO.
Naruszenie przepisów ogólnego rozporządzenia o ochronie danych, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, skutkuje naruszeniem uprawnień organu nadzorczego określonych w art. 58 ust. 1 RODO. Dlatego też, Prezes UODO uznał za uzasadnione nałożenie administracyjnej kary pieniężnej.
Przypomnijmy, że na początku marca 2020 r. Prezes Urzędu Ochrony Danych Osobowych zdecydował o konieczności przeprowadzenia kontroli przetwarzania przez Głównego Geodetę Kraju na portalu GEOPORTAL2 danych osobowych pochodzących z powiatowych ewidencji gruntów i budynków, o czym poinformował go pismem, w którym wskazał zakres kontroli oraz termin jej przeprowadzenia. W celu przeprowadzenia czynności kontrolnych, kontrolujący upoważnieni przez Prezesa UODO, okazali Głównemu Geodecie Kraju swoje legitymacje służbowe oraz przedłożyli upoważnienia imienne zawierające informację o zakresie kontroli. GGK nie dopuścił do przeprowadzenia czynności kontrolnych w pełnym zakresie wynikającym z przedłożonych upoważnień. Uzasadniając swoje stanowisko, wskazał, że według jego oceny z zakresu wskazanego w upoważnieniach wynika, że kontrola ma dotyczyć numerów ksiąg wieczystych, które według niego nie stanowią danych osobowych w rozumieniu przepisów Prawa geodezyjnego i kartograficznego.
Ostatecznie GGK podpisał upoważnienia, na których zamieścił pisemną adnotację, z której wynika, że odmawia przeprowadzenia kontroli w zakresie ustalenia m.in.: podstawy przetwarzania (także udostępniania w GEOPRTALU2) danych osobowych, źródeł pozyskiwania tych danych, zakresu i rodzaju udostępnianych danych osobowych oraz sposobu i celu tego udostępniania. Ponadto z adnotacji wynika, że Główny Geodeta Kraju wyraził zgodę na przeprowadzenie czynności kontrolnych w zakresie ustalenia, czy zostały wdrożone odpowiednie środki techniczne i organizacyjne, aby zapewnić odpowiedni stopień bezpieczeństwa danych objętych ochroną oraz czy Główny Geodeta Kraju wyznaczył inspektora ochrony danych. Niestety, z powodu braku dostępu kontrolujących do systemów informatycznych używanych przez GGK oraz dokonania niezbędnych oględzin systemu informatycznego, w toku kontroli nie ustalono, czy wdrożył odpowiednie środki techniczne w celu zapewnienia bezpieczeństwa danych. Z uwagi na powyższe, w toku kontroli ustalono jedynie, jakie środki organizacyjne zastosował GGK dla bezpieczeństwa danych oraz czy powołany został inspektor ochrony danych.
Z dokonanych czynności kontrolnych sporządzono protokół kontroli, który został podpisany przez Głównego Geodetę Kraju.
Z uwagi na kategoryczny brak zgody GGK na przeprowadzenie czynności kontrolnych w pełnym zakresie oraz jednoznacznie wyrażony przez niego brak woli współpracy, kontrolujący nie mogli ustalić, w jaki sposób i na jakiej podstawie prawnej przy udostępnianiu informacji z ewidencji gruntów i budynków za pośrednictwem portalu internetowego GEOPORTAL2 (geoportal.gov.pl) umożliwia on dostęp do danych osobowych zawartych w księgach wieczystych oraz, czy GGK wdrożył odpowiednie środki techniczne w celu zapewnienia bezpieczeństwa danych. Podczas kontroli nie można było zbadać tego co było jej głównym przedmiotem z uwagi na uniemożliwienie przeprowadzenia wszystkich czynności. W tym zakresie bowiem kontrola została udaremniona przez Głównego Geodetę Kraju.
Ponadto przed Prezesem UODO toczy się osobne postępowanie w przedmiocie naruszenia polegającego na przetwarzaniu danych osobowych w postaci numerów ksiąg wieczystych na portalu internetowym GEOPORTAL2 bez podstawy prawnej.
Komunikat informujący o udaremnieniu kontroli przez GGK i o wydaniu postanowienia przez Prezesa UODO dostępny jest na stronie internetowej Urzędu pod linkiem: https://uodo.gov.pl/pl/138/1483.
Pełna treść decyzji dostępna pod adresem: https://uodo.gov.pl/decyzje/DKE.561.3.2020