Kontrola musi być przeprowadzona w pełnym zakresie

Prezes Urzędu Ochrony Danych Osobowych stwierdził naruszenie przez Głównego Geodetę Kraju przepisów ogólnego rozporządzenia o ochronie danych (RODO), polegające na niezapewnieniu organowi nadzorczemu w trakcie kontroli dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań. Ponadto GGK nie współpracował z Prezesem UODO w trakcie tej kontroli.

Prezes UODO ma za zadanie monitorować oraz egzekwować stosowanie RODO. W ramach swoich kompetencji m.in. prowadzi postępowania w sprawie stosowania przepisów RODO. Dla umożliwienia realizacji zadań organowi nadzorczemu przysługuje szereg określonych uprawnień, w tym prawo do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich niezbędnych dla niego informacji, czy uprawnienie do uzyskania dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych.

Ponadto administrator i podmiot przetwarzający mają obowiązek współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 RODO.

Naruszenie przepisów ogólnego rozporządzenia o ochronie danych, polegające na niezapewnieniu przez administratora lub podmiot przetwarzający dostępu do danych i informacji, skutkuje naruszeniem uprawnień organu nadzorczego określonych w art. 58 ust. 1 RODO. Dlatego też, Prezes UODO uznał za uzasadnione nałożenie administracyjnej kary pieniężnej.

Przypomnijmy, że na początku marca 2020 r. Prezes Urzędu Ochrony Danych Osobowych zdecydował o konieczności przeprowadzenia kontroli przetwarzania przez Głównego Geodetę Kraju na portalu GEOPORTAL2 danych osobowych pochodzących z powiatowych ewidencji gruntów i budynków, o czym poinformował go pismem, w którym wskazał zakres kontroli oraz termin jej przeprowadzenia. W celu przeprowadzenia czynności kontrolnych, kontrolujący upoważnieni przez Prezesa UODO, okazali Głównemu Geodecie Kraju swoje legitymacje służbowe oraz przedłożyli upoważnienia imienne zawierające informację o zakresie kontroli. GGK nie dopuścił do przeprowadzenia czynności kontrolnych w pełnym zakresie wynikającym z przedłożonych upoważnień. Uzasadniając swoje stanowisko, wskazał, że według jego oceny z zakresu wskazanego w upoważnieniach wynika, że kontrola ma dotyczyć numerów ksiąg wieczystych, które według niego nie stanowią danych osobowych w rozumieniu przepisów Prawa geodezyjnego i kartograficznego.

Ostatecznie GGK podpisał upoważnienia, na których zamieścił pisemną adnotację, z której wynika, że odmawia przeprowadzenia kontroli w zakresie ustalenia m.in.: podstawy przetwarzania (także udostępniania w GEOPRTALU2) danych osobowych, źródeł pozyskiwania tych danych, zakresu i rodzaju udostępnianych danych osobowych oraz sposobu i celu tego udostępniania. Ponadto z adnotacji wynika, że Główny Geodeta Kraju wyraził zgodę na przeprowadzenie czynności kontrolnych w zakresie ustalenia, czy zostały wdrożone odpowiednie środki techniczne i organizacyjne, aby zapewnić odpowiedni stopień bezpieczeństwa danych objętych ochroną oraz czy Główny Geodeta Kraju wyznaczył inspektora ochrony danych. Niestety, z powodu braku dostępu kontrolujących do systemów informatycznych używanych przez GGK oraz dokonania niezbędnych oględzin systemu informatycznego, w toku kontroli nie ustalono, czy wdrożył odpowiednie środki techniczne w celu zapewnienia bezpieczeństwa danych. Z uwagi na powyższe, w toku kontroli ustalono jedynie, jakie środki organizacyjne zastosował GGK dla bezpieczeństwa danych oraz czy powołany został inspektor ochrony danych.

Z dokonanych czynności kontrolnych sporządzono protokół kontroli, który został podpisany przez Głównego Geodetę Kraju.

Z uwagi na kategoryczny brak zgody GGK na przeprowadzenie czynności kontrolnych w pełnym zakresie oraz jednoznacznie wyrażony przez niego brak woli współpracy, kontrolujący nie mogli ustalić, w jaki sposób i na jakiej podstawie prawnej przy udostępnianiu informacji z ewidencji gruntów i budynków za pośrednictwem portalu internetowego GEOPORTAL2 (geoportal.gov.pl) umożliwia on dostęp do danych osobowych zawartych w księgach wieczystych oraz, czy GGK wdrożył odpowiednie środki techniczne w celu zapewnienia bezpieczeństwa danych. Podczas kontroli nie można było zbadać tego co było jej głównym przedmiotem z uwagi na uniemożliwienie przeprowadzenia wszystkich czynności. W tym zakresie bowiem kontrola została udaremniona przez Głównego Geodetę Kraju.

Ponadto przed Prezesem UODO toczy się osobne postępowanie w przedmiocie naruszenia polegającego na przetwarzaniu danych osobowych w postaci numerów ksiąg wieczystych na portalu internetowym GEOPORTAL2 bez podstawy prawnej.

Komunikat informujący o udaremnieniu kontroli przez GGK i o wydaniu postanowienia przez Prezesa UODO dostępny jest na stronie internetowej Urzędu pod linkiem: https://uodo.gov.pl/pl/138/1483.

Pełna treść decyzji dostępna pod adresem: https://uodo.gov.pl/decyzje/DKE.561.3.2020




 

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zdalnie
zbada Twoje potrzeby i uruchomi dostęp:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Zasady przetwarzania danych osobowych