Najpierw ograniczenie przetwarzania danych, potem kara pieniężna w wysokości 100 tys. zł. Tak zakończyło się wszczęte z urzędu postępowanie w sprawie GEOPORTAL 2.
Kara została wymierzona z tytułu niezapewnienia organowi nadzorczemu w trakcie kontroli dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań. Prezes UODO stwierdził również, że Główny Geodeta Kraju nie współpracował z Prezesem UODO w trakcie tej kontroli. Z tego względu organ nadzorczy uznał za zasadne wymierzenie kary 100 tys. zł.
Kontrola rozpoczęła się w marcu 2020 r. Dotyczyła przetwarzania danych osobowych przez Głównego Geodetę Kraju na portalu GEOPORTAL2, pochodzących z powiatowych ewidencji gruntów i budynków. Główny Geodeta Kraju nie dopuścił jednak do przeprowadzenia czynności kontrolnych w pełnym zakresie. Wskazał bowiem, że z zakresu wskazanego w upoważnieniach wynika, że kontrola ma dotyczyć numerów ksiąg wieczystych, które według GGK nie stanowią danych osobowych w rozumieniu przepisów Prawa geodezyjnego i kartograficznego.
Na upoważnieniach GGK zamieścił pisemną adnotację zawierającą odmowę przeprowadzenia kontroli w zakresie ustalenia m.in.: podstawy przetwarzania (także udostępniania w GEOPORTALU 2 danych osobowych, źródeł pozyskiwania tych danych, zakresu i rodzaju udostępnianych danych osobowych oraz sposobu i celu tego udostępniania. GGK wyraził natomiast wyraził zgodę na przeprowadzenie czynności kontrolnych w zakresie ustalenia, czy zostały wdrożone odpowiednie środki techniczne i organizacyjne, aby zapewnić odpowiedni stopień bezpieczeństwa danych objętych ochroną oraz czy GGK wyznaczył inspektora ochrony danych. Z uwagi na brak dostępu kontrolujących do systemów informatycznych używanych przez GGK nie można było ustalić, czy kontrolowany wdrożył odpowiednie środki techniczne w celu zapewnienia bezpieczeństwa danych. Ustalono jedynie, jakie środki organizacyjne zastosował GGK dla bezpieczeństwa danych oraz czy powołany został IOD.
Kontrolujący nie byli więc w stanie ustalić, w jaki sposób i na jakiej podstawie prawnej przy udostępnianiu informacji z ewidencji gruntów i budynków za pośrednictwem portalu internetowego GEOPORTAL2 (geoportal.gov.pl) umożliwia on dostęp do danych osobowych zawartych w księgach wieczystych oraz, czy GGK wdrożył odpowiednie środki techniczne w celu zapewnienia bezpieczeństwa danych. A to było zdaniem UODO kluczowym zagadnieniem kontroli.
Niezależnie od powyższego w sprawie GEOPORTAL2 nadal toczy się postępowanie w przedmiocie naruszenia polegającego na przetwarzaniu danych osobowych w postaci numerów ksiąg wieczystych na wspomnianym portalu internetowym bez podstawy prawnej.
Orzecznictwo:
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
