UODO (Poland) - DKE.561.3.2020: Difference between revisions

From GDPRhub
No edit summary
 
(2 intermediate revisions by one other user not shown)
Line 17: Line 17:
|Type=Investigation
|Type=Investigation
|Outcome=Violation Found
|Outcome=Violation Found
|Date_Decided=
|Date_Decided=02.07.2020
|Date_Published=
|Date_Published=02.07.2020
|Year=
|Year=2020
|Fine=None
|Fine=None
|Currency=
|Currency=
Line 73: Line 73:


<pre>
<pre>
Warszawa, dnia 02 lipca 2020 r.
Warsaw, 02 July 2020
DECYZJA
DECISION
DKE.561.3.2020
DKE.561.3.2020
Based on Article. 104 § 1 of the Act of June 14, 1960, Code of Administrative Procedure (Journal of Laws of 2020, item 256) and Art. 7 section 1 and section 2, art. 60 and art. 102 paragraph. 1 point 1 and sec. 3 of the Act of May 10, 2018 on the Protection of Personal Data (Journal of Laws of 2019, item 1781) in connection with Art. 31, art. 57 sec. 1 lit. a), art. 58 section 1 lit. e) and f) and art. 58 sec. 2 lit. i) in connection with Art. 83 sec. 1 and 2, art. 83 sec. 4 lit. a) and art. 83 sec. 5 lit. e) Regulation of the European Parliament and of the EU Council 2016/679 of 27 April 2016 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46 / EC (general regulation on data protection) (Journal of Laws UE L 119 of 04/05/2016, p. 1, as amended) (hereinafter referred to as "Regulation 2016/679"), after conducting the administrative procedure initiated ex officio regarding the imposition of the Chief Surveyor of the Country in Warsaw at ul. Wspólna 2, represented by attorneys PT and SK (Kancelaria [...]), an administrative fine, the President of the Office for Personal Data Protection, declaring an infringement by the Chief National Surveyor based in Warsaw at ul. Wspólna 2, the provisions of Art. 31 and 58 sec. 1 lit. e) and f) of Regulation 2016/679, consisting in failure to provide the President of the Office for Personal Data Protection, during the control of compliance with the provisions on the protection of personal data, ref. [...], access to premises, equipment and means for the processing of personal data and access to personal data and information necessary for the President of the Personal Data Protection Office to perform its tasks,


Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256) oraz art. 7 ust 1 i ust. 2, art. 60 i art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w związku z art. 31, art. 57 ust. 1 lit. a), art. 58 ust 1 lit. e) i f) oraz art. 58 ust. 2 lit. i) w związku z art. 83 ust. 1 i 2, art. 83 ust. 4 lit. a) oraz art. 83 ust. 5 lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) (zwanego dalej „Rozporządzeniem 2016/679”), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie nałożenia na Głównego Geodetę Kraju z siedzibą w Warszawie przy ul. Wspólnej 2, reprezentowanego przez adwokatów P. T. i S. K. (Kancelaria […]), administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych, stwierdzającnaruszenie przez Głównego Geodetę Kraju z siedzibą w Warszawie przy ul. Wspólnej 2, przepisów art. 31 oraz 58 ust. 1 lit. e) i f) Rozporządzenia 2016/679, polegające na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych, w trakcie kontroli przestrzegania przepisów o ochronie danych osobowych o sygn. […], dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań, a także na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w trakcie tej kontroli,
imposes on the Chief National Surveyor based in Warsaw at ul. Wspólna 2, an administrative fine in the amount of PLN 100,000 (in words: one hundred thousand zlotys).
 
nakłada na Głównego Geodetę Kraju z siedzibą w Warszawie przy ul. Wspólnej 2 administracyjną karę pieniężną w  kwocie 100.000 złotych (słownie: sto tysięcy złotych).


   
   


UZASADNIENIE
SUBSTANTIATION


   
   


W dniach [] lutego 2020 r. Prezes Urzędu Ochrony Danych Osobowych (zwany dalej „Prezesem UODO”) przeprowadził kontrolę przetwarzania danych osobowych w Starostwie Powiatowym w J. (sygn. akt kontroli […]). Kontrola dotyczyła udostępniania przez Starostę J., za pośrednictwem portalu internetowego GEOPORTAL2 (www.geoportal.gov.pl), danych osobowych z ewidencji gruntów i budynków prowadzonych przez starostów. W toku kontroli ustalono, że Starosta J. nie publikuje na tym portalu danych osobowych z ewidencji gruntów i budynków, lecz – na podstawie stosownego porozumienia – przekazuje je (w tym numery ksiąg wieczystych) Głównemu Geodecie Kraju, który następnie pozyskane dane udostępnia na portalu GEOPORTAL2. Z uwagi na powyższe Prezes UODO zdecydował o konieczności przeprowadzenia kontroli przetwarzania danych osobowych, w zakresie udostępniania za pośrednictwem portalu GEOPORTAL2 danych osobowych z ewidencji gruntów i budynków, u Głównego Geodety Kraju. O zaplanowanej na [] marca 2020 r. kontroli (oznaczonej sygn. akt […]), Główny Geodeta Kraju poinformowany został [] marca 2020 r. telefonicznie oraz pismem doręczonym tego dnia drogą elektroniczną (e-mail).
On [...] February 2020, the President of the Personal Data Protection Office (hereinafter referred to as the "President of the Personal Data Protection Office") inspected the processing of personal data in the Poviat Starosty in J. (reference number [...]). The inspection concerned the provision by Starost J., via the GEOPORTAL2 internet portal (www.geoportal.gov.pl), of personal data from the land and building register kept by starosts. In the course of the inspection, it was found that Starosta J. does not publish personal data from the land and building register on this portal, but - on the basis of an appropriate agreement - transfers them (including land and mortgage register numbers) to the Chief Surveyor of the Country, who then makes the obtained data available on the GEOPORTAL portal2 . Due to the above, the President of the Personal Data Protection Office (UODO) decided to carry out a personal data processing control in the scope of sharing personal data from the land and building register via the GEOPORTAL2 portal with the Chief National Surveyor. About the inspection planned for [...] March 2020 (marked with file reference [...]), the Chief National Surveyor was informed on [...] March 2020 by phone and in a letter delivered on that day by e-mail (e-mail).


W dniu [] marca 2020 r. kontrolujący (upoważnieni przez Prezesa UODO pracownicy Urzędu Ochrony Danych Osobowych) udali się do Głównego Urzędu Geodezji i Kartografii celem rozpoczęcia zaplanowanej kontroli. Kontrolujący okazali Głównemu Geodecie Kraju legitymacje służbowe oraz przedłożyli imienne upoważnienia, w których w następujący sposób określony został szczegółowy zakres kontroli: „Kontrola obejmie udostępnianie przez Głównego Geodetę Kraju za pośrednictwem portalu internetowego GEOPORTAL2, danych osobowych z ewidencji gruntów i budynków, poprzez ustalenie:
On [...] March 2020, the inspectors (employees of the Office for Personal Data Protection authorized by the President of the Personal Data Protection Office) went to the Main Office of Geodesy and Cartography to start the planned inspection. The inspectors presented the Chief National Surveyor with official ID cards and submitted personal authorizations, in which the detailed scope of the inspection was specified as follows: "The inspection will cover the provision by the Chief Surveyor of the Country via the GEOPORTAL2 website, personal data from the land and building records, by establishing:


    Podstawy prawnej przetwarzania, w tym udostępniania danych osobowych.
The legal basis for processing, including sharing personal data.
    Źródła pozyskania danych osobowych.
Sources of obtaining personal data.
    Zakresu i rodzaju udostępnianych danych osobowych.
The scope and type of personal data provided.
    Sposobu oraz celu udostępniania dennych osobowych.
The manner and purpose of sharing the bottom passenger.
    Czy przetwarzania danych osobowych odbywa się na podstawie upoważnienia nadanego przez administratora danych osobowych lub podmiot przetwarzający (art. 29 rozporządzenia 2016/679).
Is the processing of personal data carried out on the basis of an authorization granted by the personal data administrator or the processor (Article 29 of Regulation 2016/679).
    Czy Główny Geodeta Kraju wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić odpowiedni stopień bezpieczeństwa danych objętych ochroną (art. 32, art.24 ust.1 i 2 rozporządzenia 2016/679).
Has the Chief Surveyor of the Country implemented appropriate technical and organizational measures to ensure an adequate level of security of the data protected (Article 32, Article 24 (1) and (2) of Regulation 2016/679).
    Czy Główny Geodeta Kraju wyznaczył inspektora ochrony danych (art. 37 rozporządzenia 2016/679).
Has the Chief Surveyor of the country appointed a data protection officer (Article 37 of Regulation 2016/679). "
According to the inspection report drawn up on [...] March 2020 and signed by the inspectors and the Chief National Surveyor, after presenting the identity card and submitting authorizations to conduct the inspection, the Chief National Surveyor stated that he would not sign the submitted authorizations and refused to consent to the inspection. control activities in the scope resulting from the submitted authorizations. Justifying his position in this case, he pointed out that, according to his assessment, from the scope indicated in the controlling authorizations, it follows that the control is to concern the land and mortgage register number, which is not a personal data within the meaning of the provisions of the Act of May 17, 1989, Geodetic and Cartographic Law (Journal of Laws of 2020, item 276, as amended), hereinafter referred to as the "Geodetic and cartographic law". On the submitted authorizations, the Chief Surveyor of the country included a written annotation: "I refuse to consent to the inspection activities in the scope of the presented authorization (items 1 to 5) due to the irrelevance of the inspection, which I justify in the letter [...] of [...]. 03.2020 the shortest time is due to the fact that the scope of the inspection is to focus on the number of the land and mortgage register, which is not a personal data within the meaning of the Geodetic and Cartographic Law. I am asking for clarification of the scope of the control in accordance with the basis for its initiation. " The Chief Surveyor of the country then stated that he agreed to carry out control activities only to the extent specified in points 6 and 7 of personal authorizations. Only then did he sign the personal authorizations of the inspectors, placing the annotation "Signed in accordance with the declaration below" next to the signature. In accordance with the above-mentioned statement, the Chief Surveyor of the Country submitted a letter with the reference number [...] to the inspection files, in which it was indicated, inter alia, legal grounds for qualifying the number of the land and mortgage register as a given subject, that is art. 20 paragraph 1 point 1 of the Geodetic and Cartographic Law and § 73 of the Regulation of the Minister of Regional Development and Construction of March 29, 2001 on land and building records.


Jak wynika ze sporządzonego […] marca 2020 r., podpisanego przez kontrolujących oraz przez Głównego Geodetę Kraju, protokołu kontroli, po okazaniu legitymacji i przedłożeniu upoważnień do przeprowadzenia kontroli, Główny Geodeta Kraju oświadczył, że nie podpisze przedłożonych upoważnień i odmawia wyrażenia zgody na przeprowadzenie czynności kontrolnych w zakresie wynikającym z przedłożonych upoważnień. Uzasadniając swoje stanowisko w tej sprawie wskazał, że według jego oceny z zakresu wskazanego w upoważnieniach kontrolujących wynika, że kontrola ma dotyczyć numeru księgi wieczystej, który to numer nie jest daną osobową w rozumieniu przepisów ustawy z dnia 17 maja 1989 r. Prawo geodezyjne i kartograficzne (Dz. U. z 2020 r. poz. 276 ze zm.), zwanej dalej „Prawem geodezyjnym i kartograficznym”. Na przedłożonych upoważnieniach Główny Geodeta Kraju zamieścił pisemną adnotację o treści: „Odmawiam wyrażenia zgody na przeprowadzenie czynności kontrolnych w zakresie przedstawionego upoważnienia (punkt od 1 do 5) ze względu na bezprzedmiotowość kontroli, co uzasadniam w piśmie […] z dnia […].03.2020 r. najkrócej wynika to z faktu, że zakres kontroli ma się skupić na numerze księgi wieczystej co nie jest daną osobową w rozumieniu przepisów Prawo geodezyjne i kartograficzne. Wnoszę o doprecyzowanie zakresu kontroli zgodnie z podstawą jej wszczęcia.” Główny Geodeta Kraju oświadczył następnie, że wyraża zgodę na przeprowadzenie czynności kontrolnych tylko w zakresie, jaki wynika z punktów 6 i 7 upoważnień imiennych kontrolujących. Dopiero wtedy podpisał upoważnienia imienne kontrolujących umieszczając przy podpisie adnotację „Podpisane zgodnie z oświadczeniem poniżej”. Zgodnie z przytoczonym wyżej oświadczeniem Główny Geodeta Kraju przedstawił do akt kontroli pismo o sygnaturze […], w którym wskazane zostały m.in. podstawy prawne zakwalifikowania numeru księgi wieczystej jako danej przedmiotowej, to jest art. 20 ust. 1 pkt 1 Prawa geodezyjnego i kartograficznego oraz § 73 rozporządzenia Ministra Rozwoju Regionalnego i Budownictwa z dnia 29 marca 2001 r. w sprawie ewidencji gruntów i budynków.
Due to the unequivocally expressed lack of consent of the Chief Surveyor of the Country to carry out control activities in the scope specified in items 1-5 of personal authorizations, the inspectors withdrew from activities in this respect, making arrangements only in the scope referred to in items 6 and 7 of the authorization. Within the scope of control, for which the Chief National Surveyor has consented, controlling, among others:


Wobec jednoznacznie wyrażonego braku zgody Głównego Geodety Kraju na przeprowadzenie czynności kontrolnych w zakresie określonym w puntach 1-5 upoważnień imiennych, kontrolujący odstąpili od czynności w tym zakresie, dokonując ustaleń jedynie w zakresie, o którym mowa w punktach 6 i 7 upoważnień. W zakresie kontroli, na który wyraził zgodę Główny Geodeta Kraju, kontrolujący m.in.:
heard as a witness Mr. W. I. - Chief Country Surveyor,
obtained a copy of an exemplary agreement with the staroste on cooperation in the creation and maintenance of common elements of technical infrastructure regarding the publication of PZGiK data,
obtained copies of documents confirming the general organizational measures implemented by the Chief Surveyor of the Country (not particularly related to the GEOPRTAL2 portal) to ensure the security of the protected data,
obtained copies of documents confirming the appointment by the Chief Land Surveyor of Mr. [...] as the Data Protection Inspector at the Central Office of Geodesy and Cartography,
heard as a witness Mr. [...] - Chief Specialist in the Department [...] at the Head Office of Geodesy and Cartography,
obtained a printout of the Regulations of the website www.geoportal.gov.pl,
obtained copies of the Register of processing activities containing the risk analysis and impact assessment for data protection and the Register of processing activities categories with risk analysis.
During the inspection, the inspectors - due to the lack of consent of the Chief National Surveyor - did not assess the implemented technical measures to ensure the security of the protected data (including data processed via the GEOPORTAL2 portal), in particular, they did not inspect the places, objects, devices of carriers and IT systems for data processing. Moreover - due to, inter alia, against the refusal of the Chief Country Surveyor to sign the protocol of testimony made on [...] March 2020 - the inspectors did not obtain full and binding, legally effective explanations of the inspected party in the subject covered by the inspection.


    przesłuchali w charakterze świadka Pana W.  I. – Głównego Geodetę Kraju,
Due to the ineffectiveness of further inspection, due to the lack of consent of the Chief Surveyor of the Country for inspection activities regarding the scope specified in points 1-5 of personal inspection authorizations, and the lack of cooperation on his part in this regard, the inspectors decided to terminate on [...] March 2020 control. On that day, an inspection protocol was drawn up by the inspectors, and then signed by the Chief National Surveyor (without any reservations).
    uzyskali kopię przykładowego porozumienia ze starostą w sprawie współpracy przy tworzeniu i utrzymywaniu wspólnych elementów infrastruktury technicznej dotyczących publikacji danych PZGiK,
    uzyskali kopie dokumentów poświadczających wdrożone przez Głównego Geodetę Kraju ogólne (nie dotyczące szczególnie portalu GEOPRTAL2) środki organizacyjne mające na celu zapewnienie bezpieczeństwa danych objętych ochroną,
    uzyskali kopie dokumentów potwierdzających wyznaczenie przez Głównego Geodetę Kraju Pana [...] na Inspektora Ochrony Danych w Głównym Urzędzie Geodezji i Kartografii,
    przesłuchali w charakterze świadka Pana [...] – Głównego Specjalistę w Departamencie [...] w Głównym Urzędzie Geodezji i Kartografii,
    uzyskali wydruk Regulaminu serwisu www.geoportal.gov.pl,
    uzyskali kopie Rejestru czynności przetwarzania zawierającego analizę ryzyka oraz ocenę skutków dla ochrony danych oraz Rejestru kategorii czynności przetwarzania z analizą ryzyka.


W toku kontroli kontrolujący – ze względu na brak zgody Głównego Geodety Kraju – nie dokonali oceny wdrożonych środków technicznych mających na celu zapewnienie bezpieczeństwa danych objętych ochroną (w tym danych przetwarzanych za pośrednictwem portalu GEOPORTAL2), w szczególności nie dokonali oględzin miejsc, przedmiotów, urządzeń nośników oraz systemów informatycznych służących do przetwarzania danych. Ponadto – ze względu m.in. na odmowę Głównego Geodety Kraju podpisania protokołu zeznań składanych w dniu […] marca 2020 r. – kontrolujący nie uzyskali pełnych i wiążących, mających skutek prawny, wyjaśnień kontrolowanego w przedmiocie objętym zakresem kontroli.
Due to the fact that it was impossible to control the processing by the Chief Surveyor of the Country of personal data from the land and building register on the GEOPORTAL2 portal, this procedure was initiated ex officio to impose an administrative fine on the Chief Surveyor of the Country for violation of Art. 31 and art. 58 sec. 1 lit. e) and f) of Regulation 2016/679, consisting in the lack of cooperation with the President of the Personal Data Protection Office in the performance of his tasks, preventing the inspection of personal data processing, as well as failure to provide the President of the Personal Data Protection Office with access to premises, equipment and means used to process personal data , and access to personal data and information necessary for the President of the Personal Data Protection Office to perform his tasks.


Ze względu na niecelowość dalszej kontroli, spowodowaną brakiem zgody Głównego Geodety Kraju na czynności kontrolne dotyczące zakresu określonego w punktach 1-5 imiennych upoważnień kontrolujących, oraz brakiem współpracy z jego strony w tym zakresie, kontrolujący zdecydowali o zakończeniu w dniu [] marca 2020 r. kontroli. W tym dniu sporządzony został przez kontrolujących protokół kontroli, podpisany następnie przez Głównego Geodetę Kraju (bez żadnych zastrzeżeń).
The Chief National Surveyor was informed about the initiation of the procedure and the collection of evidence in the case by a letter of [...] March 2020, delivered to him electronically via the ePUAP platform.


W związku z uniemożliwieniem przeprowadzenia kontroli przetwarzania przez Głównego Geodetę Kraju danych osobowych z ewidencji gruntów i budynków w portalu GEOPORTAL2, wszczęte zostało z urzędu niniejsze postępowanie w przedmiocie nałożenia na Głównego Geodetę Kraju administracyjnej kary pieniężnej za naruszenie art. 31 oraz art. 58 ust. 1 lit. e) i f) Rozporządzenia 2016/679, polegające na braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań, uniemożliwieniu przeprowadzenia kontroli w zakresie przetwarzania danych osobowych, a także niezapewnieniu Prezesowi UODO dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych, oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań.
By letter of [...] April 2020 (delivered to the President of the Personal Data Protection Office on [...] April 2020), the representative of the Chief Surveyor of the Country requested that the representatives of the Chief Surveyor of the Country be able to inspect the case files and prepare their photocopies, or to provide copies of the entire case files by electronic means . In response to the request, copies of the entire case files were submitted to the representative of the Chief Surveyor of the Country by post, by letter of [...] May 2020, delivered to the representative on [...] May 2020.


O wszczęciu postępowania i o zgromadzeniu materiału dowodowego w sprawie, Główny Geodeta Kraju poinformowany został pismem z [] marca 2020 r., doręczonym mu drogą elektroniczną za pośrednictwem platformy ePUAP.
In a letter of [...] May 2020 (delivered to the President of UODO on [...] May 2020), the representative of the Chief Surveyor of the Country presented the position of the Chief Surveyor of the Country, indicating that "the initiation and conduct of proceedings by the President of UODO in this case is pointless and for this reason should be written off in full ”. The Plenipotentiary of the Chief Surveyor of the Country submitted in particular that


Pismem z [] kwietnia 2020 r. (doręczonym Prezesowi UODO […] kwietnia 2020 r.) pełnomocnik Głównego Geodety Kraju wniósł o umożliwienie pełnomocnikom Głównego Geodety Kraju wglądu w akta sprawy oraz sporządzenie ich fotokopii, ewentualnie o udostępnienie kopii całości akt sprawy drogą elektroniczną. W odpowiedzi na wniosek, kopie całości akt sprawy przedstawione zostały pełnomocnikowi Głównego Geodety Kraju drogą pocztową, pismem z […] maja 2020 r., doręczonym pełnomocnikowi […] maja 2020 r.
"The scope of the inspection was pointless, as it concerned the use of information that does not constitute personal data, and for which the Chief Surveyor of the Country does not decide on the purposes and methods of processing (thus, it could not have the status of a data controller). GKK did not prevent the inspection, but only questioned the scope of the inspection, which was to concern the processing of personal data in the form of a land and mortgage register number. "
"The inspection [...] was carried out not at the Head of the National Surveyor, but at the Head Office of Geodesy and Cartography, which, from the point of view of the provisions of the GDPR, is a separate administrator of personal data."
"The President of the Personal Data Protection Office groundlessly found that the Chief National Surveyor - who participated in the inspection proceedings as a representative of the inspected entity, ie the Central Office of Geodesy and Cartography - did not cooperate with the President of the Personal Inspectorate as part of his tasks".
"The President of the Personal Data Protection Office (UODO) groundlessly found that the Chief National Surveyor made it impossible to carry out an inspection in the field of personal data processing at the controlled entity, i.e. at the Central Office of Geodesy and Cartography."
"The President of the Personal Data Protection Office unjustifiably considered that the Chief National Surveyor did not provide the President of the Personal Data Protection Office with access to premises, equipment and means for processing personal data in connection with the control carried out at the Central Office of Geodesy and Cartography, and did not provide access to information necessary for the President of the Personal Data Protection Office. his tasks. "
“As a result of the above, the President of the Personal Data Protection Office unjustified that GGK could infringe Art. 31 and art. 58 sec. 1 lit. e) and f) GDPR. "
After considering all the evidence collected in the case, the President of UODO considered the following.


Pismem z […] maja 2020 r. (doręczonym Prezesowi UODO […] maja 2020 r.) pełnomocnik Głównego Geodety Kraju przedstawił stanowisko Głównego Geodety Kraju, wskazując, że „wszczęcie i prowadzenie postępowania przez Prezesa UODO w niniejszej sprawie jest bezprzedmiotowe i z tego powodu powinno zostać umorzone w całości”. Pełnomocnik Głównego Geodety Kraju podniósł w szczególności, że:
Pursuant to Art. 57 sec. 1 lit. a) Regulation 2016/679, the President of the Personal Data Protection Office - as a supervisory authority within the meaning of art. 51 of the Regulation 2016/679 - its task is to monitor and enforce the application of this regulation on its territory. As part of his competences, the President of the Personal Data Protection Office is responsible, inter alia, conduct proceedings on the application of Regulation 2016/679 (Article 57 (1) (f)). In order to enable the performance of such defined tasks, the President of the Personal Data Protection Office has a number of provisions specified in art. 58 sec. 1 of Regulation 2016/679, the rights in the scope of conducted proceedings, including the right to order the administrator and the processor to provide all information needed to perform its tasks (Article 58 (1) (a), the right to obtain from the controller and the processor access to any personal data and any information necessary for the performance of its tasks (Article 58 (1) (e) and the right to access all premises of the controller and processor, including equipment and measures for data processing, in accordance with the procedures laid down in EU law or in the law of a Member State (Article 58 (1) (f)). Violation of the provisions of Regulation 2016/679, consisting in failure to provide access to the data and information referred to above by the public authority being the controller or processor, resulting in the violation of the authority's powers specified in art. 58 sec. 1 of Regulation 2016/679 (including the right to obtain personal data and information necessary to perform its tasks and to gain access to premises, equipment and means for data processing), and may be subject - in accordance with art. 83 sec. 5 letter e) in fine of the Regulation 2016/679 in connection with art. 102 paragraph. 1 and 3 of the Act of May 10, 2018 on the Protection of Personal Data (Journal of Laws of 2019, item 1781), hereinafter referred to as "PDA" - an administrative fine of up to PLN 100,000.


    „Zakres prowadzonej kontroli był bezprzedmiotowy, ponieważ dotyczył wykorzystywania informacji, które nie stanowią danych osobowych, oraz co do których Główny Geodeta Kraju nie decyduje o celach i sposobach przetwarzania (nie mógłby więc mieć statusu administratora danych). GKK nie udaremnił przeprowadzenia kontroli, a jedynie zakwestionował zakres prowadzenia kontroli, który miał dotyczyć przetwarzania danych osobowych w postaci numeru księgi wieczystej."
It should also be pointed out that the controller and the processor are obliged to cooperate with the supervisory authority in the performance of its tasks, as provided for in Art. 31 of Regulation 2016/679. Failure to comply with this obligation is also threatened - in accordance with Art. 83 sec. 4 lit. a) Regulation 2016/679 in connection with art. 102 paragraph. 1 and 3 of the Personal Data Protection Act - an administrative fine of up to PLN 100,000.
    „Kontrola […] prowadzona była nie u Głównego Geodety Kraju, ale w Głównym Urzędzie Geodezji i Kartografii, który z punktu widzenia przepisów RODO jest odrębnym administratorem danych osobowych.”
    „Prezes UODO bezpodstawnie uznał, że Główny Geodeta Kraju – który brał udział w postępowaniu kontrolnym jako osoba reprezentująca kontrolowanego, tj. Główny Urząd Geodezji i Kartografii – nie współpracował z Prezesem UODO w ramach wykonywania przez niego zadań”.
    „Prezes UODO bezpodstawnie uznał, że Główny Geodeta Kraju uniemożliwił przeprowadzenie kontroli w zakresie przetwarzania danych osobowych u podmiotu kontrolowanego, tj. w Głównym Urzędzie Geodezji i Kartografii.
    „Prezes UODO bezpodstawnie uznał, że Główny Geodeta Kraju nie zapewnił Prezesowi UODO dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych w związku z kontrolą prowadzoną w Głównym Urzędzie Geodezji i Kartografii, a także nie zapewnił dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego zadań.”
    „W konsekwencji powyższego, Prezes UODO bezpodstawnie uznał, że GGK mógł naruszyć art. 31 oraz art. 58 ust. 1 lit. e) i f) RODO.


Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie, Prezes UODO zważył, co następuje.
Indicated in art. 58 sec. 1 lit. f) of Regulation 2016/679 "the procedure laid down in EU law or in the law of a Member State" for the exercise of the supervisory authority's right to gain access to the premises of the controller and the processor, including equipment and means for data processing, is based on Polish law, described in Chapter 9 of the Act on Personal Data Protection (Articles 78 - 91), the procedure of "monitoring compliance with the provisions on the protection of personal data". Pursuant to Art. 78 uodo, the President of the Personal Data Protection Office (UODO) controls compliance with the provisions on the protection of personal data (paragraph 1), and this control may be carried out "in accordance with the control plan approved by the President of the Office or on the basis of information obtained by the President of the Office or as part of monitoring compliance with the application of Regulation 2016 / 679 ”(section 2). Controlling persons (authorized employees of the Office for Personal Data Protection) are entitled to - as provided for in Art. 84 sec. 1 of the Personal Data Protection Act - the right to: 1. enter the land and buildings, premises or other premises between 6.00 a.m. and 10.00 p.m., 2. access documents and information directly related to the scope of the inspection, 3. carry out inspections of places, objects, devices, data carriers and IT or teleinformation systems used for data processing, 4. demand to submit written or oral explanations and to interview a person as a witness to the extent necessary to establish the facts, 5. commission the preparation of expert opinions and opinions. The inspector determines the facts on the basis of evidence collected (with the use of the above-mentioned powers) in the control procedure, in particular documents,


Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – ma za zadanie na swoim terytorium monitorować oraz egzekwować stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO ma za zadanie m.in. prowadzić postępowania w sprawie stosowania Rozporządzenia 2016/679 (art. 57 ust. 1 lit. f). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a), uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e) oraz uprawnienie do uzyskania dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego (art. 58 ust. 1 lit. f). Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez organ publiczny będący administratorem lub podmiotem przetwarzającym dostępu do danych i informacji, o których mowa powyżej, skutkującym naruszeniem uprawnień organu określonych w art. 58 ust. 1 Rozporządzenia 2016/679 (w tym uprawnień do uzyskania danych osobowych i informacji niezbędnych do realizacji jego zadań oraz do uzyskania dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych), podlegać zaś może – zgodnie z art. 83 ust. 5 lit e) in fine Rozporządzenia 2016/679 w związku z art. 102 ust. 1 i 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „u.o.d.o.” – administracyjnej karze pieniężnej w wysokości do 100 000 złotych.
Referring the above-mentioned provisions to the facts of the present case, it should be stated that the President of the Personal Data Protection Office had the right to initiate and conduct an inspection of the processing of personal data at the Chief National Surveyor; it also had a justification for making findings in this type of procedure (control procedure regulated in chapter 9 of the PDPA).


Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679. Niewywiązanie się z tego obowiązku również zagrożone jest - zgodnie z art. 83 ust. 4 lit. a)Rozporządzenia 2016/679 w związku  z art. 102 ust. 1 i 3 u.o.d.o. – administracyjną karą pieniężną w wysokości do 100 000 złotych.
The control powers of the President of the Personal Data Protection Office (UODO) have been formulated - in the above-mentioned provisions of the Regulation 2016/679 and the Personal Data Protection Act - broadly; their use is limited only to the purpose - checking whether the provisions on the protection of personal data are complied with. It is worth noting that the condition for carrying out such an inspection is not even a justified suspicion that a violation has been found. The legislator expressly allows in Art. 78 sec. 2 uodo, the possibility of carrying out inspections "in accordance with [...] the inspection plan", i.e. without prior information indicating irregularities in the processing of personal data taking place in a specific entity, and even without information indicating whether a given entity processes personal data at all (control of such an entity would, however, first have to establish such a circumstance - before making further determinations regarding, for example, the legality and lawfulness of processing). General and broad definition of the task to be performed by the President of the Personal Data Protection Office ("monitoring and enforcement of the application of the regulation" referred to in Article 57 (1) (a) of Regulation 2016/679, "control of compliance with the provisions on the protection of personal data" referred to in Art. 78 sec. 1 UODO) leaves the President of UODO the freedom to define both the group of controlled entities and the scope of the inspections carried out. This task should be understood broadly - not only as checking whether a specific entity in a specific case violates the provisions on the protection of personal data in a specific way, but also as a task undertaken to identify the types, areas and scale of problems related to the application of the provisions on the protection of personal data. (in particular, Regulation 2016/679), their elimination and prevention in the future. In the context of the freedom left to the President of the Personal Data Protection Office in determining the entity subject to control and the scope of this control, it should be stated that in this case the President of the Personal Data Protection Office had a particularly justified basis to initiate and conduct an inspection at the Chief Surveyor of the country in the scope that he considered necessary for the implementation of the task of monitoring the application of the Regulation. 2016/679. As a result of the inspection carried out on [...] February 2020 in the Poviat Starosty in J. (reference number [...]), he obtained information about the provision of personal data to the Chief Surveyor of the Country by Starost J. land and mortgage registers) and their further processing (sharing) via the GEOPORTAL2 portal. The mere fact of having these data by the Chief Surveyor of the Country is a sufficient basis for conducting an inspection aimed at - as stated in Art. 87 of the PPA - only collecting evidence allowing to establish the facts of the case (and not the legal assessment of this status, which - in the case of suspected violations - takes place in a separate administrative procedure). From the essence of control understood in this way, it follows that that the inspected entity cannot question - at the stage of initiating and conducting the inspection - its legitimacy and its scope. As rightly pointed out by the Supreme Administrative Court in the judgment of March 3, 2016 in the case file no. II OSK 1667/14 (regarding the imposition by the Chief Sanitary Inspector, on the basis of the Act of August 25, 2006 on Food and Nutrition Safety (Journal of Laws of 2019, item 1252, as amended), a fine in connection with preventing official food control): "The court of first instance and the authorities inspected in administrative court proceedings are right that the plant under examination is not entitled to decide on the scope of the control. It is the exclusive domain of the controlling units. " (Lex No. 2113109). This statement - in the opinion of the President of the Personal Data Protection Office - has a general meaning and also applies to the control of compliance with the provisions on the protection of personal data. The place for questioning the legal assessment of the facts of the case (and in this case it is essentially the questioning by the Chief National Surveyor of the scope of the inspection, related to the statement that the land and mortgage register number does not constitute a personal o evidence collected during the control procedure.


Wskazaną w art. 58 ust. 1 lit. f) Rozporządzenia 2016/679 „procedurą określoną w prawie unijnym lub w prawie państwa członkowskiego” służącą realizacji uprawnienia organu nadzorczego do uzyskania dostępu do pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, jest na gruncie prawa polskiego, opisana w Rozdziale 9 u.o.d.o. (art. 78 - 91), procedura „kontroli przestrzegania przepisów o ochronie danych osobowych”. Zgodnie z art. 78 u.o.d.o. Prezes UODO przeprowadza kontrolę przestrzegania przepisów o ochronie danych osobowych (ust. 1), a kontrola ta prowadzona być może „zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli lub na podstawie uzyskanych przez Prezesa Urzędu informacji lub w ramach monitorowania przestrzegania stosowania rozporządzenia 2016/679” (ust. 2). Kontrolującym (upoważnionym pracownikom Urzędu Ochrony Danych Osobowych) przysługuje – o czym stanowi art. 84 ust. 1 u.o.d.o. – prawo: 1. wstępu w godzinach od 6.00 do 22.00 na grunt oraz do budynków, lokali lub innych pomieszczeń, 2. wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli, 3. przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych, 4. żądania złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchania w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego, 5. zlecania sporządzania ekspertyz i opinii. Kontrolujący ustala stan faktyczny na podstawie dowodów zebranych (z wykorzystaniem wskazanych powyżej uprawnień) w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń (art. 87 u.o.d.o.).
As shown above, the inspection powers of the President of the Personal Data Protection Office are limited to the purpose of the inspection, which is to verify compliance with the provisions on the protection of personal data. The position of the Chief National Surveyor expressed during the inspection, and developed in his representative's letter of [...] May 2020, that the data in the form of land and mortgage register numbers do not constitute personal data, is in fact a statement that the inspection (to the extent specified in items 1 -5 personal controlling authorizations) did not fit this purpose. Such a claim should definitely be considered incorrect. Without prejudging the qualification of such data as personal data in the case at hand, it should be pointed out that at the time of initiating the inspection, the President of the Personal Data Protection Office had at least reasonable grounds to accept such a classification. This justification resulted from the consistent position of the President of the Personal Data Protection Office, and previously the Inspector General for Personal Data Protection, as well as the position of the doctrine and jurisprudence of administrative courts (see the judgment of the Supreme Administrative Court of 18 February 2014, ref. I OSK 1839/12 - LEX No. 1449867, judgment of the Supreme Administrative Court of 26 September 2018, reference number I OSK 276/17 - LEX no. 2737936, judgment of the Supreme Administrative Court of 26 September 2018, reference number I OSK 11/17 - LEX no. 2573629). In view of the above, the actions of the Chief National Surveyor aimed at thwarting or hindering the inspection should be considered unacceptable, in particular when these actions are based solely on the subjective legal assessment of the controlled entity (even if they are supported by selected, unrepresentative voices of the doctrine and court decisions). Doing so would lead to an unacceptable situation where


Odnosząc wyżej przytoczone przepisy do stanu faktycznego niniejszej sprawy, stwierdzić należy, że Prezes UODO miał uprawnienie do wszczęcia i przeprowadzenia u Głównego Geodety Kraju kontroli przetwarzania danych osobowych; miał również uzasadnienie dla dokonania ustaleń w tego rodzaju postępowaniu (postępowaniu kontrolnym uregulowanym w rozdziale 9 u.o.d.o.).
Similar to the above argumentation of the Chief Surveyor of the Country, the position presented by his attorney in the letter of [...] May 2020 should be assessed that "the scope of the inspection is pointless because it concerned the use of information [...] for which the Chief Surveyor of the Country does not decide on the goals and methods of processing (therefore, he could not have the status of a data controller) ”. The assessment of whether the Chief National Surveyor performs the role of the administrator in the data processing on the GEOPRTAL2 portal (or maybe a co-administrator, or a processor) is an element of the facts that was to be determined in the course of the inspection. At the time of the inspection, the President of the Personal Data Protection Office had information that on the GEOPORTAL2 portal, whose administrator is the Chief Country Surveyor, the information that constitutes (or may constitute) personal data is processed, in particular the land and mortgage register numbers assigned to the real estate presented on the portal. The above was confirmed by the results of the inspection carried out in the Poviat Starosty in J. (reference number [...]), which showed that the Chief Surveyor of the Country obtained data (including the numbers of land and mortgage registers from the land and building records kept by Starost J. ) for further processing via the GEOPORTAL2 portal. Additionally, it is worth mentioning that in the Regulations of the website which showed that the Chief Surveyor of the Country obtained from the land and building records kept by Starost J., data (including land and mortgage register numbers) for further processing via the GEOPORTAL2 portal. In addition, it is worth mentioning that in the Regulations of the website which showed that the Chief Surveyor of the Country obtained from the land and building records kept by Starost J., data (including land and mortgage register numbers) for further processing via the GEOPORTAL2 portal. In addition, it is worth mentioning that in the Regulations of the websitewww.geoportal.gov.pl (posted on the website www.geoportal.gov.pl.) there is information directly indicating that the administrator of personal data processed on the GEOPORTAL2 portal is the Chief National Surveyor ("The administrator of your personal data is the Chief National Surveyor with its seat in Warsaw, ul. Wspólna 2, 00-926 Warsaw"). Such information justifies the need to carry out an audit of compliance with the provisions on the protection of personal data in order to determine the role of the Chief National Surveyor in this data processing process. The position of the Chief National Surveyor, presented in the letter of his representative of [...] May 2020, also erroneously assumes that the entity subject to the control of the President of the Personal Data Protection Office may only be the entity deciding on the purposes and methods of processing, i.e. the controller (which he - in his own opinion - in the case under consideration is not). The Chief Surveyor of the Country does not seem to notice that the obligation to provide access to personal data and information necessary to perform the tasks of the President of the Personal Data Protection Office and access to premises, equipment and means for data processing, referred to in Art. 58 section 1 lit. e) and f), rests not only on the controller, but also on the co-controller and the entity processing personal data. By denying his role as administrator, the Chief National Surveyor seems not to exclude that he processes personal data from the land and building register as a processor - on behalf of administrators (starosts), on the basis of contracts that could in fact be assessed as in art. 28 sec. 3 of the Regulation 2016/679). The above uncertainty as to the role played in the processing of data obtained from the land and building register in the GEOPORTAL2 portal, which could be removed in the course of the inspection, proves the legitimacy of carrying out the inspection at the Chief National Surveyor in the full scope - specified in the personal authorizations for inspecting - to the extent. Similarly, with regard to the provisions of Art. 31 of Regulation 2016/679, the obligation to cooperate with the supervisory authority, it is addressed not only to the controller, but also to the processor.


Uprawnienia kontrolne Prezesa UODO sformułowane zostały - w przytoczonych powyżej przepisach Rozporządzenia 2016/679 oraz u.o.d.o. – szeroko; ich stosowanie ograniczone jest jedynie celem – sprawdzeniem czy przestrzegane są przepisy o ochronie danych osobowych. Warto zwrócić uwagę, że warunkiem przeprowadzenia takiej kontroli nie jest nawet uzasadnione podejrzenie stwierdzenia naruszenia. Ustawodawca wyraźnie dopuszcza w art. 78 ust. 2 u.o.d.o. możliwość przeprowadzania kontroli „zgodnie z […] planem kontroli”, a więc bez wcześniejszych informacji wskazujących na nieprawidłowości w zakresie przetwarzania danych osobowych mających miejsce w konkretnym podmiocie, a nawet bez informacji wskazujących na to czy dany podmiot w ogóle przetwarza dane osobowe (kontrola takiego podmiotu w pierwszej kolejności musiałaby jednak ustalić taką okoliczność – przed podjęciem dalszych ustaleń dotyczących np. legalności i zgodności z prawem przetwarzania). Ogólne i szerokie określenie zadania, do realizacji którego zobowiązany jest Prezes UODO („monitorowanie i egzekwowanie stosowania rozporządzenia”, o którym mowa w art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, „kontrola przestrzegania przepisów o ochronie danych osobowych”, o której mowa w art. 78 ust. 1 u.o.d.o.) pozostawia Prezesowi UODO swobodę określania zarówno kręgu podmiotów kontrolowanych, jak i zakresu przeprowadzanych kontroli. Zadanie to należy bowiem rozumieć szeroko – nie tylko jako sprawdzenie czy konkretny podmiot w konkretnej sprawie narusza w konkretny sposób przepisy o ochronie danych osobowych, ale także jako zadanie podejmowane w celu zidentyfikowania rodzajów, obszarów występowania i skali problemów związanych ze stosowaniem przepisów o ochronie danych osobowych (w szczególności Rozporządzenia 2016/679), ich eliminowania oraz zapobiegania im na przyszłość. W kontekście swobody pozostawionej Prezesowi UODO w określeniu podmiotu poddanego kontroli i zakresu tej kontroli stwierdzić należy, że w niniejszej sprawie Prezes UODO miał szczególnie uzasadnioną podstawę do wszczęcia i przeprowadzenia u Głównego Geodety Kraju kontroli w zakresie, który uznał za niezbędny dla realizacji zadania monitorowania stosowania Rozporządzenia 2016/679. Wskutek kontroli przeprowadzonej w dniach […] lutego 2020 r. w Starostwie Powiatowym w J. (sygn. akt kontroli […]) pozyskał bowiem informację o przekazywaniu Głównemu Geodecie Kraju przez Starostę J. danych osobowych z ewidencji gruntów i budynków (w tym numerów ksiąg wieczystych) i dalszym przetwarzaniu ich (udostępnianiu) za pośrednictwem portalu GEOPORTAL2. Sam fakt dysponowania tymi danymi przez Głównego Geodetę Kraju stanowi wystarczającą podstawę przeprowadzenia u niego kontroli mającej na celu – o czym mówi art. 87 u.o.d.o. – jedynie zebranie dowodów pozwalających ustalić stan faktyczny sprawy (a nie ocenę prawną tego stanu, która – w przypadku podejrzenia zaistnienia naruszenia – następuje w odrębnym postępowaniu administracyjnym). Z tak rozumianej istoty kontroli wynika, że podmiot kontrolowany nie może kwestionować – na etapie wszczęcia i prowadzenia kontroli – jej zasadności oraz jej zakresu. Jak słusznie zauważył Naczelny Sąd Administracyjny w wyroku z dnia 3 marca 2016 r. w sprawie o sygn. II OSK 1667/14 (dotyczącym wymierzenia przez Głównego Inspektora Sanitarnego, na gruncie ustawy z dnia 25 sierpnia 2006 r. o bezpieczeństwie żywności i żywienia (Dz. U. z 2019 r. poz. 1252 ze zm.), kary pieniężnej w związku z uniemożliwieniem przeprowadzenia urzędowej kontroli żywności): „Ma rację sąd I instancji oraz kontrolowane w postępowaniu sądowoadministracyjnym organy iż poddany badaniu zakład nie jest uprawniony do decydowania o zakresie kontroli. Jest to wyłączna domena jednostek kontrolujących.(Lex nr 2113109). Stwierdzenie to – w ocenie Prezesa UODO – ma znaczenie ogólne i znajduje zastosowanie również w odniesieniu do kontroli przestrzegania przepisów o ochronie danych osobowych. Miejscem na kwestionowanie oceny prawnej stanu faktycznego sprawy (a do tego w niniejszej sprawie sprowadza się w istocie kwestionowanie przez Głównego Geodetę Kraju zakresu kontroli, związane z twierdzeniem, że numer księgi wieczystej nie stanowi danej osobowej) jest ewentualne postępowanie w przedmiocie naruszenia, wszczęte w oparciu o dowody zebrane w trakcie postępowania kontrolnego.
that it is in the Head Office of Geodesy and Cartography as an organizational unit with which the Chief Surveyor of the country carries out his tasks, personal data and sources of information, premises, equipment and means for the processing of personal data, access to which was necessary for the President of the Personal Data Protection Office in order to collect evidence regarding. The analysis of the entire content of the documents relating to the inspection (in particular those preparing the inspection - the inspection notice of [...] March 2020 and the personal authorizations of the inspectors of [...] March 2020) shows unequivocally that the purpose of the inspection was related to the implementation of the statutory main task Country Surveyors, which is the creation and maintenance of the GEOPORTAL2 portal. This is evidenced by such phrases as: "the scope of the inspection will cover disclosure by the Chief Surveyor of the Country ...", "I am asking for the preparation of documentation regarding the processing of personal data by the Chief National Surveyor." (both from the notification of inspection), "the inspection will cover the disclosure by the Chief Surveyor of the Country ...", "whether the Chief Surveyor of the Country has implemented appropriate technical and organizational measures ...", "whether the Chief Surveyor of the Country has appointed a data protection officer ..." (the last three of the personal authorizations controlling). As the representative of the Chief National Surveyor himself pointed out in a letter of [...] May 2020, the task of creating and maintaining the GEOPORTAL2 portal was formulated in the provisions of Art. 5 of the Act of May 17, 1989, Geodetic and Cartographic Law (Journal of Laws of 2020, item 276, as amended) and Art. 13 sec. 1 of the Act of March 4, 2010 on spatial information infrastructure (Journal of Laws of 2020, item 177, as amended). The latter provision states that the Chief National Surveyor creates and maintains a geo-portal of the spatial information infrastructure as a central access point to spatial data sets and services; however, it does not provide for any participation in this task for the Head Office of Geodesy and Cartography. The above provision specifying the competences and responsibilities in the field of the GEOPORTAL2 portal operation, in conjunction with the subject and scope of control indicated by the President of the Personal Data Protection Office, should not leave (especially to the central authority competent in matters of geodesy and cartography) any doubts as to the determination of the entity subject to control. It should also be emphasized that the Chief National Surveyor, both at the start of the inspection and during the inspection, did not raise any objections as to the indication of the inspected entity, although he had such a possibility (by submitting a declaration of disagreement to the inspection on personal authorizations of the inspectors, submitting such objections to the report of the hearing as a witness or in the form of an objection to the inspection report). In the opinion of the President of the Personal Data Protection Office, the objection to the indication of the controlled entity was formulated by the Chief Surveyor of the Country post factum - solely for the purpose of justifying his infringement of the provisions on the protection of personal data.  


Jak zostało wykazane wyżej, uprawnienia kontrolne Prezesa UODO ograniczone są celem kontroli, którym jest sprawdzenie przestrzegania przepisów o ochronie danych osobowych. Stanowisko Głównego Geodety Kraju wyrażone w trakcie kontroli, a rozwinięte w piśmie jego pełnomocnika z [] maja 2020 r., jakoby dane w postaci numerów ksiąg wieczystych nie stanowiły danych osobowych, jest w istocie twierdzeniem, że kontrola (w zakresie określonym w punktach 1-5 imiennych upoważnień kontrolujących) nie mieściła się w tym celu. Takie twierdzenie stanowczo należy uznać za błędne. Nie przesądzając w niniejszej decyzji o kwalifikacji tych danych jako danych osobowych w rozpatrywanym przypadku, wskazać należy, że w momencie wszczęcia kontroli Prezes UODO miał co najmniej uzasadnione podstawy do przyjęcia takiej kwalifikacji. Uzasadnienie to wynikało z konsekwentnie zajmowanego stanowiska Prezesa UODO, a wcześniej Generalnego Inspektora Ochrony Danych Osobowych, a także stanowiska doktryny oraz orzecznictwa sądów administracyjnych (vide  wyrok NSA z 18 lutego 2014 r. sygn. I OSK 1839/12 – LEX nr 1449867, wyrok NSA z 26 września 2018 r. sygn. I OSK 276/17 – LEX nr 2737936, wyrok NSA z 26 września 2018 r. sygn. I OSK 11/17 – LEX nr 2573629). Za niedopuszczalne w związku z powyższym należy uznać działania Głównego Geodety Kraju mające na celu udaremnienie lub utrudnienie kontroli, w szczególności gdy działania te oparte są wyłącznie na subiektywnej ocenie prawnej kontrolowanego (nawet jeśli są one wsparte wybranymi, niereprezentatywnymi głosami doktryny i orzeczeniami sądowymi). Takie działanie prowadziłoby do nieakceptowalnej sytuacji, polegającej na tym, że uniemożliwiając ustalenia stanu faktycznego sprawy, kontrolowany odbiera niezależnemu organowi kontrolującemu możliwość dokonania własnej, rzetelnej i wszechstronnej oceny prawnej sytuacji, która to ocena mogłaby być poddana w razie konieczności późniejszej weryfikacji przez właściwe organy sądowoadministracyjne.
Summarizing the above considerations, it should be stated that presented by the Chief Surveyor of the Country during the inspection, and developed by his attorney in the position presented to the President of the Personal Data Protection Office in a letter of [...] May 2020, the justification for refusing to consent to the inspection of personal data processing by him, it does not deserve approval at any point. The President of the Personal Data Protection Office had the right and justification to carry out an inspection at the Chief National Surveyor. The scope of this control fell within the objectives set out in Art. 57 sec. 1 lit. a) Regulation 2016/679 ("monitoring and enforcement of the application of the regulation") and in art. 78 sec. 1 uodo ("control of compliance with the provisions on the protection of personal data"). The operation of the Chief Surveyor of the country as the inspected person, consisting in refusing to consent to the inspection in the scope specified in points 1-5 of personal authorizations of the inspected persons, made it impossible to fully perform inspection activities in this area (in particular, inspection of IT and teleinformation systems in which the Chief Surveyor The country has personal data, collecting the explanations of the Chief National Surveyor in this regard, receiving explanations and testimonies from employees of the Chief Surveyor of the Country, obtaining access to documents constituting the basis for obtaining personal data processed on the GEOPORTAL2 portal - e.g. contracts linking the Chief Surveyor of the Country with the starosts). Refusal of the Chief National Surveyor to carry out an inspection in the scope specified in points 1-5 of personal authorizations for the inspected, denoting a declaration of the lack of any cooperation with the inspectors in this scope, caused the inspectors to withdraw from activities in this regard. The Supreme Administrative Court in the above-mentioned judgment of March 3, 2016 in case no. II OSK 1667/14 rightly pointed out that: “one should agree with the position that in order for the control to achieve its goal, it requires at least a minimum degree of cooperation on the part of the controlled entity. At the same time, the cooperation should concern the full scope of powers vested in the authorities. " In the present case, there was no cooperation whatsoever on the part of the Chief Surveyor of the Country in the field of control, which he himself arbitrarily considered groundless. caused the controllers to withdraw from activities in this regard. The Supreme Administrative Court in the above-mentioned judgment of March 3, 2016 in case no. II OSK 1667/14 rightly pointed out that: “one should agree with the position that in order for the control to achieve its goal, it requires at least a minimum degree of cooperation on the part of the controlled entity. At the same time, the cooperation should concern the full scope of powers vested in the authorities. " In the present case, there was no cooperation whatsoever on the part of the Chief Surveyor of the Country in the field of control, which he himself arbitrarily considered groundless. caused the controllers to withdraw from activities in this regard. The Supreme Administrative Court in the above-mentioned judgment of March 3, 2016 in case no. II OSK 1667/14 rightly pointed out that: “one should agree with the position that in order for the control to achieve its goal, it requires at least a minimum degree of cooperation on the part of the controlled entity. At the same time, the cooperation should concern the full scope of powers vested in the authorities. " In the present case, there was no cooperation whatsoever on the part of the Chief Surveyor of the Country in the field of control, which he himself arbitrarily considered groundless. that in order for the control to achieve its goal, it requires at least a minimum degree of cooperation on the part of the controlled entity. At the same time, the cooperation should concern the full scope of powers vested in the authorities. " In the present case, there was no cooperation whatsoever on the part of the Chief National Surveyor in the field of control, which he himself arbitrarily considered to be groundless. that in order for the control to achieve its goal, it requires at least a minimum degree of cooperation on the part of the controlled entity. At the same time, the cooperation should concern the full scope of powers vested in the authorities. " In the present case, there was no cooperation whatsoever on the part of the Chief National Surveyor in the field of control, which he himself arbitrarily considered to be groundless.


Podobnie do powyższej argumentacji Głównego Geodety Kraju należy ocenić przedstawione przez jego pełnomocnika w piśmie z […] maja 2020 r. stanowisko, jakoby „zakres prowadzonej kontroli był bezprzedmiotowy, ponieważ dotyczył wykorzystywania informacji […] co do których Główny Geodeta Kraju nie decyduje o celach i sposobach przetwarzania (nie mógłby więc mieć statusu administratora danych)”. Ocena czy Główny Geodeta Kraju pełni w procesie przetwarzania danych w portalu GEOPRTAL2 rolę administratora (czy też może współadministratora, ewentualnie podmiotu przetwarzającego) stanowi element stanu faktycznego, który miał zostać ustalony w toku kontroli. W momencie wszczęcia kontroli Prezes UODO dysponował informacjami, że w portalu GEOPORTAL2, którego administratorem jest Główny Geodeta Kraju przetwarzane są informacje stanowiące (lub mogące stanowić) dane osobowe, w szczególności numery ksiąg wieczystych przypisane do prezentowanych w portalu nieruchomości. Powyższe potwierdzone zostało wynikami kontroli przeprowadzonej w Starostwie Powiatowym w J. (sygn. akt kontroli […]), z których wynikało, że Główny Geodeta Kraju pozyskiwał z ewidencji gruntów i budynków, prowadzonej przez Starostę J., dane (w tym numery ksiąg wieczystych) celem ich dalszego przetwarzania za pośrednictwem portalu GEOPORTAL2. Dodatkowo jeszcze wskazać warto, że w Regulaminie serwisu www.geoportal.gov.pl (zamieszczonego na stronie internetowej www.geoportal.gov.pl.) znajduje się informacja wprost wskazująca, że administratorem danych osobowych przetwarzanych w portalu GEOPORTAL2 jest Główny Geodeta Kraju („Administratorem Pani/Pana danych osobowych jest Główny Geodeta Kraju z siedzibą w Warszawie, ul. Wspólna 2, 00-926 Warszawa”). Takie informacje uzasadniały właśnie potrzebę przeprowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych, m.in. w celu ustalenia roli Głównego Geodety Kraju w tym procesie przetwarzania danych. Stanowisko Głównego Geodety Kraju, przedstawione w piśmie jego pełnomocnika z […] maja 2020 r., zakłada ponadto błędnie, że podmiotem podlegającym kontroli Prezesa UODO może być jedynie podmiot decydujący o celach i sposobach przetwarzania czyli administrator (którym on – we własnej ocenie – w rozpatrywanej sprawie nie jest). Główny Geodeta Kraju wydaje się nie zauważać, że obowiązek zapewnienia dostępu do danych osobowych i informacji niezbędnych do realizacji zadań Prezesa UODO oraz dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych, o którym to obowiązku mowa jest w art. 58 ust 1 lit. e) i f), spoczywa nie tylko na administratorze, ale i na współadministratorze oraz na podmiocie przetwarzającym dane osobowe. Zaprzeczając swojej roli administratora, Główny Geodeta Kraju zdaje się nie wykluczać, że przetwarza dane osobowe pochodzące z ewidencji gruntów i budynków jako podmiot przetwarzający - w imieniu administratorów (starostów), na podstawie umów, które w istocie można by ocenić jako umowy, o których mowa w art. 28 ust. 3 Rozporządzenia 2016/679). Powyższy brak pewności co do roli pełnionej w procesie przetwarzania w portalu GEOPORTAL2 danych pozyskanych z ewidencji gruntów i budynków, który mógłby zostać usunięty w toku przeprowadzonej kontroli, świadczy o zasadności przeprowadzenia u Głównego Geodety Kraju kontroli w pełnym – określonym w upoważnieniach imiennych kontrolujących – zakresie. Podobnie, jeśli chodzi o określony w art. 31 Rozporządzenia 2016/679 obowiązek współpracy z organem nadzorczym, to skierowany on jest nie tylko do administratora, ale i do podmiotu przetwarzającego.
Referring the above findings to the obligations imposed by the provisions of Regulation 2016/679 on the administrator and processor, and regarding their relationship to the supervisory body, it should be stated that the Chief National Surveyor, during the control procedure with reference number [...], by his actions he violated:


Odnosząc się do ostatniego, przedstawionego przez pełnomocnika Głównego Geodety Kraju w piśmie z […] maja 2020 r., aspektu uzasadniającego – w jego ocenie – odmowę wyrażenia zgody na przeprowadzenie przez Prezesa UODO kontroli, to jest do stwierdzenia, że „kontrola […] prowadzona była nie u Głównego Geodety Kraju, ale w Głównym Urzędzie Geodezji i Kartografii, który z punktu widzenia przepisów RODO jest odrębnym administratorem danych osobowych”, zauważyć należy, że opiera się on jedynie na okoliczności, że w kilku miejscach w dokumentach dotyczących kontroli (w upoważnieniach imiennych kontrolujących, protokole kontroli oraz wnioskach z kontroli) Prezes UODO wskazał Główny Urząd Geodezji i Kartografii jak miejsce, w których miały być (były) przeprowadzone czynności kontrolne w związku z tym, że to w Głównym Urzędzie Geodezji i Kartografii jako jednostce organizacyjnej, przy pomocy której Główny Geodeta Kraju realizuje swoje zadania, znajdują się dane osobowe oraz źródła informacji, pomieszczenia, sprzęt i środki służące przetwarzaniu danych osobowych, do których dostęp niezbędny był Prezesowi UODO celem zebrania dowodów w sprawie. Analiza całości treści dokumentów dotyczących kontroli (w szczególności tych przygotowujących kontrolę – zawiadomienia o kontroli z […] marca 2020 r. oraz upoważnień imiennych kontrolujących z […] marca 2020 r.) wskazuje jednoznacznie, że cel kontroli związany był z realizacją ustawowego zadania Głównego Geodety Kraju jakim jest stworzenie i utrzymywanie portalu GEOPORTAL2. Świadczą o tym takie sformułowania jak: „zakresem kontroli objęte zostanie udostępnianie przez Głównego Geodetę Kraju…”, „proszę o przygotowanie dokumentacji dotyczącej przetwarzania danych osobowych przez Głównego Geodetę Kraju.” (oba z zawiadomienia o kontroli), „kontrola obejmie udostępnianie przez Głównego Geodetę Kraju…”, „czy Główny Geodeta Kraju wdrożył odpowiednie środki techniczne i organizacyjne…”, „czy Główny Geodeta Kraju wyznaczył inspektora ochrony danych…” (trzy ostatnie z upoważnień imiennych kontrolujących). Jak wskazał sam pełnomocnik Głównego Geodety Kraju w piśmie z […] maja 2020 r. zadanie stworzenia i utrzymywania portalu GEOPORTAL2 sformułowane zostało w przepisach art. 5 ustawy z dnia 17 maja 1989 r. Prawo geodezyjne i kartograficzne (Dz. U. z 2020 r. poz. 276 ze zm.) oraz art. 13 ust. 1 ustawy z dnia 4 marca 2010 r. o infrastrukturze informacji przestrzennej (Dz. U. z 2020 r. poz. 177 ze zm.). Ten ostatni przepis stanowi, że Główny Geodeta Kraju tworzy i utrzymuje geoportal infrastruktury informacji przestrzennej jako centralny punkt dostępu do usług dotyczących zbiorów i usług danych przestrzennych; nie przewiduje natomiast żadnego udziału w tym zadaniu dla Głównego Urzędu Geodezji i Kartografii. Powyższy zapis określający kompetencje i odpowiedzialność w zakresie funkcjonowania portalu GEOPORTAL2, w połączeniu ze wskazywanym przez Prezesa UODO przedmiotem i zakresem kontroli, nie powinien pozostawiać (szczególnie centralnemu organowi właściwemu w sprawach geodezji i kartografii) żadnych wątpliwości co do określenia podmiotu podlegającego kontroli. Podkreślić należy dodatkowo, że Główny Geodeta Kraju, zarówno w momencie rozpoczęcia kontroli, jak i w jej trakcie nie podnosił żadnych zastrzeżeń co do wskazania podmiotu kontrolowanego, chociaż miał taką możliwość (składając na upoważnienia imiennych kontrolujących oświadczenie o braku zgody na przeprowadzenie kontroli, składając takie zastrzeżenia do protokołu przesłuchania w charakterze świadka czy też w formie zastrzeżenia do protokołu kontroli). W ocenie Prezesa UODO zastrzeżenie co do wskazania podmiotu kontrolowanego sformułowane zostało przez Głównego Geodetę Kraju post factum – wyłącznie na potrzeby uzasadnienia dokonanego przez siebie naruszenia przepisów o ochronie danych osobowych.  
art. 58 sec. 1 lit. e) Regulation 2016/679, imposing an obligation on him to provide the President of the Personal Data Protection Office with access to all personal data and all information necessary for the supervisory body to perform its tasks,
art. 58 sec. 1 lit. f) Regulation 2016/679, imposing an obligation on him to provide the President with access to all premises of the controller and the processor, including equipment and means for data processing, in accordance with the procedures set out in EU law or in the law of a Member State,
art. 31 of Regulation 2016/679, imposing on him the obligation to cooperate with the President of the Personal Data Protection Office, at his request, as part of his tasks.
In connection with the above violations of the provisions of Regulation 2016/679, the President of the Personal Data Protection Office states that in the present case there are grounds justifying the imposition of the Chief Surveyor of the Country - pursuant to Art. 83 sec. 4 lit. a) and art. 83 sec. 5 lit. e) in fine of Regulation 2016/679 - an administrative fine in connection with the failure by the Chief Surveyor of the Country to provide access to premises, equipment and means for the processing of personal data as well as access to personal data and information necessary for the President of the Personal Data Protection Office to perform his tasks, as well as lack of cooperation with the President of the Personal Data Protection Office during this inspection.


Podsumowując powyższe rozważania stwierdzić należy, że przedstawione przez Głównego Geodetę Kraju w trakcie kontroli, a rozwinięte przez jego pełnomocnika w stanowisku przedstawionym Prezesowi UODO w piśmie z […] maja 2020 r., uzasadnienie odmowy wyrażenia zgody na przeprowadzenie kontroli przetwarzania przez niego danych osobowych, nie zasługuje w żadnym punkcie na akceptację. Prezes UODO miał prawo i uzasadnienie dla przeprowadzenia kontroli u Głównego Geodety Kraju. Zakres tej kontroli mieścił się w celach określonych w art. 57 ust. 1 lit. a) Rozporządzenia 2016/679 („monitorowanie i egzekwowanie stosowania rozporządzenia”) oraz w art. 78 ust. 1 u.o.d.o. („kontrola przestrzegania przepisów o ochronie danych osobowych”). Działanie Głównego Geodety Kraju jako kontrolowanego polegające na odmowie wyrażenia zgody na przeprowadzenie kontroli w zakresie określonym w punktach 1-5 upoważnień imiennych kontrolowanych uniemożliwiło w pełnym zakresie przeprowadzenie czynności kontrolnych w tym obszarze (w szczególności oględzin systemów informatycznych i teleinformatycznych, w których przetwarzane przez Głównego Geodetę Kraju są dane osobowe, odebrania w tym zakresie wyjaśnień Głównego Geodety Kraju, odebrania wyjaśnień i zeznań pracowników Głównego Geodety Kraju, uzyskania wglądu w dokumenty stanowiące podstawę pozyskiwania danych osobowych przetwarzanych w portalu GEOPORTAL2 – np. umów łączących Głównego Geodetę Kraju ze starostami). Odmowa Głównego Geodety Kraju na przeprowadzenie kontroli w zakresie określonym w punktach 1-5 upoważnień imiennych kontrolowanych, oznaczająca deklarację braku jakiejkolwiek współpracy z kontrolującymi w tym zakresie, spowodowała odstąpienie przez kontrolujących od czynności w tym zakresie. Naczelny Sąd Administracyjny w przywołanym już powyżej wyroku z dnia 3 marca 2016 r. w sprawie o sygn. II OSK 1667/14 słusznie wskazał, że: „zgodzić za to należy się ze stanowiskiem, iż aby kontrola mogła osiągnąć swój cel wymaga to przynajmniej minimalnego stopnia współdziałania ze strony kontrolowanego. Przy czym współdziałanie winno dotyczyć pełnego zakresu uprawnień przysługujących organom.” W niniejszej sprawie brak było jakiejkolwiek współpracy ze strony Głównego Geodety Kraju w zakresie kontroli, który sam, w sposób arbitralny, uznał za bezpodstawny.
Pursuant to art. 83 sec. 2 of Regulation 2016/679, administrative fines are imposed depending on the circumstances of each individual case. In each case, it refers to a number of circumstances listed in points a) to k) of the above-mentioned provision. When deciding to impose an administrative fine on the Chief Surveyor of the country and determining its amount, the President of the Personal Data Protection Office (UODO) took into account the following circumstances aggravating the assessment of the infringement:


Odnosząc powyższe ustalenia do obowiązków nałożonych przepisami Rozporządzenia 2016/679 na administratora i podmiot przetwarzający, a dotyczących ich stosunku do organu nadzorczego, należy stwierdzić, że Główny Geodeta Kraju, w trakcie postępowania kontrolnego o sygn. [], swoim działaniem naruszył:
Nature, gravity and duration of the infringement (Article 83 (2) (a) of Regulation 2016/679).
The breach subject to administrative pecuniary penalty in the present case undermines the system aimed at protecting one of the fundamental rights of a natural person, which is the right to the protection of his personal data, or more broadly, to the protection of his privacy. An important element of this system, the framework of which is set out in Regulation 2016/679, are supervisory authorities with tasks related to the protection and enforcement of the rights of natural persons in this respect. In order to enable the performance of these tasks, supervisory authorities have been equipped with a number of control powers, powers to conduct administrative proceedings and remedial powers. On the other hand, controllers and processors have been imposed specific obligations, correlated with the powers of supervisory authorities, including the obligation to cooperate with supervisory authorities and the obligation to provide these authorities with access to personal data and other information necessary for the performance of their tasks, as well as access to premises, equipment and means used to process personal data. Activities of the Chief National Surveyor during the control with reference number [...], in order to prevent its implementation in the scope indicated in points 1-5 and in point 6 (with regard to technical measures implemented to ensure an adequate level of security) personal authorizations to inspect, and resulting in the lack of access to evidence indicating the legality and the lawfulness of the processing by the Chief Surveyor of the Country of personal data from the land and building register, therefore should be considered as harmful to the entire personal data protection system and therefore of great importance and reprehensible character. The gravity of the violation is additionally increased by the fact that the violation by the Chief National Surveyor, although a one-off (it took place on [...] March 2020), caused effects that have lasted until now. The lack of cooperation of the Chief Surveyor of the Country, expressed in the refusal to recognize the right of the President of the Personal Data Protection Office to control compliance with the provisions of the processing of personal data from the land and building records on the GEOPRTAL2 portal, is up-to-date, which is confirmed by the position of the Chief Surveyor of the Country expressed in the letter of his representative with on [...] May 2020. As aggravating, it should also be pointed out that the violation of the rights of the public authority, which is the President of the Personal Data Protection Office, was committed by another public authority - the Chief Surveyor of the Country. From a public authority,


    art. 58 ust. 1 lit. e) Rozporządzenia 2016/679 nakładający na niego obowiązek zapewnienia Prezesowi UODO dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji jego zadań,
Intentional nature of the breach (Article 83 (2) (b) of Regulation 2016/679).
    art. 58 ust. 1 lit. f) Rozporządzenia 2016/679 nakładający na niego obowiązek zapewnienia Prezesowi dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego,
In the opinion of the President of the Personal Data Protection Office, the Chief National Surveyor has an intentional lack of will to cooperate in providing the authority with all information (evidence) necessary to determine whether the data processing processes subject to control have a legal basis and are processed in accordance with the law. Lack of consent of the Chief Surveyor of the country to carry out the inspection and his declaration of non-cooperation in this regard were expressed in an unambiguous and firm manner. The argumentation presented to justify this position of the Chief National Surveyor is, as it was shown above, completely unfounded and - in the opinion of the President of the Personal Data Protection Office - to a large extent was created post factum in order to justify the unwillingness to submit to a justified and lawful examination by an independent control body. . Considering
    art. 31 Rozporządzenia 2016/679 nakładający na niego obowiązek współpracy z Prezesem UODO, na jego żądanie, w ramach wykonywania przez niego jego zadań.


W związku z powyższymi naruszeniami przepisów Rozporządzenia 2016/679, Prezes UODO stwierdza, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Głównego Geodetę Kraju – na mocy art. 83 ust. 4 lit. a) oraz art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej kary pieniężnej w związku z niezapewnieniem przez Głównego Geodetę Kraju dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, a także z brakiem współpracy z Prezesem UODO w trakcie tej kontroli.
Lack of cooperation with the supervisory authority to remove the breach and mitigate its possible negative effects (Article 83 (2) (f) of Regulation 2016/679).
In the course of this proceeding concerning the imposition of an administrative fine, the Chief Surveyor of the Country maintained his refusal to carry out the inspection in the questioned scope (based on the position that the President of the Personal Data Protection Office refused the right to examine the processing of personal data from the land and building register on the GEOPORTAL portal2). He also did not express any willingness to cooperate with the President of the Personal Data Protection Office in order to remove the infringement, which could include, in particular, providing full and exhaustive explanations to the extent to which the inspection was frustrated.


Stosownie do treści art. 83 ust. 2 Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym w każdym przypadku na szereg okoliczności wymienionych w punktach od a) do k) wskazanego wyżej przepisu. Decydując o nałożeniu w niniejszej sprawie na Głównego Geodetę Kraju administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął – spośród nich – pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia:
The remaining conditions for the assessment of an administrative fine specified in Art. 83 sec. 2 of Regulation 2016/679 did not affect (aggravating or mitigating) the assessment of the infringement made by the President of the Personal Data Protection Office (including: any relevant prior infringements by the controller or processor, the manner in which the supervisory authority learned about the infringement, compliance with the previously applied the measures itself, the use of approved codes of conduct or approved certification mechanisms) or, due to the specific nature of the breach (relating to the controller's or processor's relationship with the supervisory authority, and not the controller's or processor's relationship with the data subject), they could not be taken into account in the present case (including:


    Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679).
Pursuant to the wording of Art. 83 sec. 1 of Regulation 2016/679, the administrative fine imposed by the supervisory authority should be effective, proportionate and dissuasive in each individual case. In the opinion of the President of UODO, the penalty imposed on the Chief National Surveyor in this proceeding meets these criteria. It will discipline the Chief National Surveyor to properly cooperate with the President of the Personal Data Protection Office in proceedings conducted in the future by the President of the Personal Data Protection Office with his participation. The penalty imposed by this decision, up to the maximum specified in Art. 102 paragraph. 1 UODO, the amount is - in the opinion of the President of the Personal Data Protection Office - justified and proportional to the seriousness of the infringement found. This penalty will also have a deterrent function;


Naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały Rozporządzeniem 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek współpracy z organami nadzorczymi oraz obowiązek zapewnienia tym organom dostępu do danych osobowych oraz innych informacji niezbędnych do realizacji ich zadań, a także dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych. Działania Głównego Geodety Kraju w trakcie kontroli o sygn. […], mające na celu udaremnienie jej przeprowadzenia w zakresie wskazanym w punktach 1-5 oraz w pkt 6 (w odniesieniu do środków technicznych wdrożonych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa) upoważnień imiennych kontrolujących, a skutkujące brakiem dostępu do dowodów wskazujących na legalność i zgodność z prawem przetwarzania przez Głównego Geodetę Kraju danych osobowych pochodzących z ewidencji gruntów i budynków, należy więc uznać za godzące w cały system ochrony danych osobowych, i z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez Głównego Geodetę Kraju naruszenie, jakkolwiek jednorazowe (miało miejsce w dniach […] marca 2020 r.), wywołało skutki trwające do chwili obecnej. Brak współpracy Głównego Geodety Kraju, wyrażający się w odmowie uznania prawa Prezesa UODO do dokonania kontroli zgodności z przepisami przetwarzania przez niego danych osobowych pochodzących z ewidencji gruntów i budynków w portalu GEOPRTAL2, jest aktualny, co potwierdza stanowisko Głównego Geodety Kraju wyrażone w piśmie jego pełnomocnika z dnia […] maja 2020 r. Jako obciążającą wskazać należy ponadto okoliczność, że naruszenia godzącego w uprawnienia organu publicznego jakim jest Prezes UODO dopuścił się inny organ publiczny – Główny Geodeta Kraju. Od organu publicznego, w ocenie Prezesa UODO, należy oczekiwać szczególnego, większego niż w przypadku podmiotów prywatnych, zrozumienia i szacunku dla działań podejmowanych przez inne organy w ramach ich ustawowo określonych zadań, oraz większego stopnia współpracy w realizacji tych zadań.
In this case, the provisions of Art. 102 paragraph. 1 and 3 of the PDPA, according to which the amount of the administrative fine imposed - on the basis and under the conditions specified in art. 83 of Regulation 2016/679 - per unit of the public finance sector within the meaning of the Act of 27 August 2009 on Public Finance (Journal of Laws of 2019, item 869, as amended), is limited to the amount of PLN 100,000.


    Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) Rozporządzenia 2016/679).
Considering the above, the President of UODO ruled as in the conclusion of this decision.  


W ocenie Prezesa UODO po stronie Głównego Geodety Kraju istnieje intencjonalny brak woli współpracy w zapewnieniu organowi wszelkich informacji (dowodów) niezbędnych do ustalenia czy  stanowiące przedmiot kontroli procesy przetwarzania danych mają podstawę prawną i przetwarzane są zgodnie z prawem. Brak zgody Głównego Geodety Kraju na przeprowadzenie kontroli i jego deklaracja braku współpracy w tym zakresie wyrażone zostały w sposób jednoznaczny i stanowczy. Argumentacja przedstawiona na uzasadnienie tego stanowiska Głównego Geodety Kraju jest zaś, jak zostało to wykazane powyżej, całkowicie niezasadna i – w ocenie Prezesa UODO – w dużym stopniu stworzona została post factum w celu usprawiedliwienia braku woli poddania się uzasadnionemu i zgodnemu z prawem badaniu niezależnego organu kontrolnego. Zważywszy, że Główny Geodeta Kraju jest podmiotem publicznym (a dodatkowo organem centralnym w strukturze służb geodezyjno-kartograficznych), podmiotem na dużą skalę przetwarzającym w ramach swoich kompetencji dane osobowe obywateli, przyjąć należy ponadto, że miał on (i ma do chwili obecnej) świadomość, że jego postępowanie może stanowić naruszenie przepisów Rozporządzenia 2016/679, i godzi się z tym stanem.
The decision is final. The party has the right to lodge a complaint against the decision with the Provincial Administrative Court in Warsaw, within 30 days from the date of its delivery, via the President of the Personal Data Protection Office (address: ul. Stawki 2, 00-193 Warsaw). A proportionate fee should be filed against the complaint, pursuant to Art. 231 in connection with Art. 233 of the Act of August 30, 2002, Law on proceedings before administrative courts (Journal of Laws of 2019, item 2325). Pursuant to Art. 74 of the Act of 10 May 2018 on the Protection of Personal Data (Journal of Laws of 2019, item 1781), the submission of a complaint by a party to the administrative court suspends the execution of the decision on the administrative fine.


    Brak współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679).
Pursuant to Art. 105 paragraph. 1 of the Act of May 10, 2018 on the Protection of Personal Data (Journal of Laws of 2019, item 1781), the administrative fine must be paid within 14 days from the date of expiry of the deadline for lodging a complaint to the Provincial Administrative Court, or from the date the ruling of the administrative court becomes legally binding, to the bank account of the Personal Data Protection Office at NBP O / O Warsaw No. 28 1010 1010 0028 8622 3100 0000. Moreover, pursuant to Art. 105 paragraph. 2 of the above-mentioned Act, the President of the Personal Data Protection Office may, at a justified request of the punished entity, postpone the payment of the administrative fine or divide it into installments. In the event of postponing the payment of the administrative fine or dividing it into installments, the President of UODO shall charge interest on the unpaid amount annually, using a reduced rate of interest for late payment, announced pursuant to Art. 56d of the Act of August 29, 1997 - Tax Ordinance (Journal of Laws of 2019, item 900, as amended), from the day following the date of submitting the application.


W toku niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej Główny Geodeta Kraju podtrzymał swój brak zgody na przeprowadzenie kontroli w kwestionowanym zakresie (oparty na stanowisku odmawiającym Prezesowi UODO prawa do zbadania procesów przetwarzania danych osobowych pochodzących z ewidencji gruntów i budynków w portalu GEOPORTAL2). Nie wyraził również w żadnym stopniu chęci współpracy z Prezesem UODO w celu usunięcia naruszenia, mogącej polegać w szczególności na udzieleniu pełnych i wyczerpujących wyjaśnień w zakresie, w którym doszło do udaremnienia kontroli.
   
 
Pozostałe przesłanki wymiaru administracyjnej kary pieniężnej wskazane w art. 83. ust. 2 Rozporządzenia 2016/679 nie miały wpływu (obciążającego lub łagodzącego) na dokonaną przez Prezesa UODO ocenę naruszenia (w tym: wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego, sposób w jaki organ nadzorczy dowiedział się o naruszeniu, przestrzeganie wcześniej zastosowanych w tej samem sprawie środków, stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji) lub też, ze względu na specyficzny charakter naruszenia (dotyczącego stosunku administratora lub podmiotu przetwarzającego z organem nadzorczym, a nie stosunku administratora lub podmiotu przetwarzającego z osobą, której dane dotyczą), nie mogły być wzięte pod uwagą w niniejszej sprawie (w tym: liczba poszkodowanych osób oraz rozmiar poniesionej przez nie szkody, działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez podmioty danych, stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych przez niego środków technicznych i organizacyjnych, kategorie danych osobowych, których dotyczy naruszenie).
 
Stosownie do brzmienia art. 83 ust. 1 Rozporządzenia 2016/679 nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. W ocenie Prezesa UODO kara nałożona na Głównego Geodetę Kraju w niniejszym postępowaniu spełnia te kryteria. Zdyscyplinuje Głównego Geodetę Kraju do prawidłowej współpracy z Prezesem UODO w postępowaniach prowadzonych w przyszłości przez Prezesa UODO z jego udziałem. Nałożona niniejszą decyzją kara w maksymalnej, określonej w art. 102 ust. 1 u.o.d.o., wysokości jest – w ocenie Prezesa UODO – uzasadniona i proporcjonalna do wagi stwierdzonego naruszenia. Kara ta spełni ponadto funkcję odstraszającą; będzie jasnym sygnałem zarówno dla Głównego Geodety Kraju jak i dla innych podmiotów zobowiązanych na mocy przepisów Rozporządzenia 2016/679 do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych ze współpracą z nim (w szczególności utrudnianie kontroli przestrzegania przepisów o ochronie danych osobowych) stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym.
 
W niniejszej sprawie zastosowanie znajdują przepisy art. 102 ust. 1 i 3 u.o.d.o. zgodnie z którymi wysokość administracyjnej kary pieniężnej nakładanej – na podstawie i na warunkach określonych w art. 83 Rozporządzenia 2016/679 – na jednostkę sektora finansów publicznych w rozumieniu ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2019 r. poz. 869 ze zm.), ograniczona jest do kwoty 100 000 złotych.
 
Mając powyższe na uwadze Prezes UODO orzekł jak w  sentencji niniejszej decyzji.
 
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325). Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.
 
Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych  (Dz. U. z 2019 r., poz. 1781), administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000. Ponadto, zgodnie z art. 105 ust. 2 wskazanej wyżej ustawy Prezes UODO może, na uzasadniony wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes UODO nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2019 r. poz. 900, z późn. zm.), od dnia następującego po dniu złożenia wniosku.
</pre>
</pre>

Latest revision as of 09:51, 17 November 2023

UODO - DKE.561.3.2020
LogoPL.png
Authority: UODO (Poland)
Jurisdiction: Poland
Relevant Law: Article 31 GDPR
Article 58(1) GDPR
Type: Investigation
Outcome: Violation Found
Started:
Decided: 02.07.2020
Published: 02.07.2020
Fine: None
Parties: n/a
National Case Number/Name: DKE.561.3.2020
European Case Law Identifier: n/a
Appeal: n/a
Original Language(s): Polish
Original Source: Urzędu Ochrony Danych Osobowych - UODO (in PL)
Initial Contributor: n/a

The Surveyor General of Poland violated the provisions of the GDPR by failing to provide the supervisory authority during the conducted inspection with access to premises, data processing equipment and means, and access to personal data and information necessary for the President of the Office for the performance of its tasks.

English Summary

Facts

beginning of March 2020, the President of the Personal Data Protection Office decided on the necessity to perform an inspection of the processing by the Surveyor General of Poland on the portal GEOPORTAL2 of personal data from the poviat land and property registers, about which it informed GGK in the letter indicating the scope and the date of the inspection. In order to perform the inspection activities, the inspectors authorised by the President of the UODO presented their official identity cards and submitted personal authorisations containing information on the scope of the inspection to GGK. The Surveyor General of Poland did not allow for performing full inspection activities resulting from the submitted authorisations.

Dispute

GGK indicated that, according to its assessment, it was apparent from the scope of the inspection indicated in the authorisations that the inspection was to cover the numbers of land and property registers which, in its opinion, do not constitute personal data within the meaning of the provisions of the Geodetic (Surveying) and Cartographic Law.

Holding

THe UODO imposed an administrative fine in the amount of PLN 100 000 on the Surveyor General of Poland (Główny Geodeta Kraju, GGK), because due to the categorical lack of consent of GGK to carry out full inspection activities and the unambiguously expressed lack of will to cooperate, the inspectors could not determine how and on what legal ground the GEOPORTAL2 online portal (geoportal.gov.pl) enables access to personal data contained in land and property registers and whether GGK has implemented appropriate technical measures to ensure data security.

Comment

This summary is based on the English summary of the Polish Data Protection Authority, which can be found here: https://uodo.gov.pl/en/553/1146

Further Resources

Share blogs or news articles here!

English Machine Translation of the Decision

The decision below is a machine translation of the Polish original. Please refer to the Polish original for more details.

Warsaw, 02 July 2020
DECISION
DKE.561.3.2020
Based on Article. 104 § 1 of the Act of June 14, 1960, Code of Administrative Procedure (Journal of Laws of 2020, item 256) and Art. 7 section 1 and section 2, art. 60 and art. 102 paragraph. 1 point 1 and sec. 3 of the Act of May 10, 2018 on the Protection of Personal Data (Journal of Laws of 2019, item 1781) in connection with Art. 31, art. 57 sec. 1 lit. a), art. 58 section 1 lit. e) and f) and art. 58 sec. 2 lit. i) in connection with Art. 83 sec. 1 and 2, art. 83 sec. 4 lit. a) and art. 83 sec. 5 lit. e) Regulation of the European Parliament and of the EU Council 2016/679 of 27 April 2016 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46 / EC (general regulation on data protection) (Journal of Laws UE L 119 of 04/05/2016, p. 1, as amended) (hereinafter referred to as "Regulation 2016/679"), after conducting the administrative procedure initiated ex officio regarding the imposition of the Chief Surveyor of the Country in Warsaw at ul. Wspólna 2, represented by attorneys PT and SK (Kancelaria [...]), an administrative fine, the President of the Office for Personal Data Protection, declaring an infringement by the Chief National Surveyor based in Warsaw at ul. Wspólna 2, the provisions of Art. 31 and 58 sec. 1 lit. e) and f) of Regulation 2016/679, consisting in failure to provide the President of the Office for Personal Data Protection, during the control of compliance with the provisions on the protection of personal data, ref. [...], access to premises, equipment and means for the processing of personal data and access to personal data and information necessary for the President of the Personal Data Protection Office to perform its tasks,

imposes on the Chief National Surveyor based in Warsaw at ul. Wspólna 2, an administrative fine in the amount of PLN 100,000 (in words: one hundred thousand zlotys).

 

SUBSTANTIATION

 

On [...] February 2020, the President of the Personal Data Protection Office (hereinafter referred to as the "President of the Personal Data Protection Office") inspected the processing of personal data in the Poviat Starosty in J. (reference number [...]). The inspection concerned the provision by Starost J., via the GEOPORTAL2 internet portal (www.geoportal.gov.pl), of personal data from the land and building register kept by starosts. In the course of the inspection, it was found that Starosta J. does not publish personal data from the land and building register on this portal, but - on the basis of an appropriate agreement - transfers them (including land and mortgage register numbers) to the Chief Surveyor of the Country, who then makes the obtained data available on the GEOPORTAL portal2 . Due to the above, the President of the Personal Data Protection Office (UODO) decided to carry out a personal data processing control in the scope of sharing personal data from the land and building register via the GEOPORTAL2 portal with the Chief National Surveyor. About the inspection planned for [...] March 2020 (marked with file reference [...]), the Chief National Surveyor was informed on [...] March 2020 by phone and in a letter delivered on that day by e-mail (e-mail).

On [...] March 2020, the inspectors (employees of the Office for Personal Data Protection authorized by the President of the Personal Data Protection Office) went to the Main Office of Geodesy and Cartography to start the planned inspection. The inspectors presented the Chief National Surveyor with official ID cards and submitted personal authorizations, in which the detailed scope of the inspection was specified as follows: "The inspection will cover the provision by the Chief Surveyor of the Country via the GEOPORTAL2 website, personal data from the land and building records, by establishing:

The legal basis for processing, including sharing personal data.
Sources of obtaining personal data.
The scope and type of personal data provided.
The manner and purpose of sharing the bottom passenger.
Is the processing of personal data carried out on the basis of an authorization granted by the personal data administrator or the processor (Article 29 of Regulation 2016/679).
Has the Chief Surveyor of the Country implemented appropriate technical and organizational measures to ensure an adequate level of security of the data protected (Article 32, Article 24 (1) and (2) of Regulation 2016/679).
Has the Chief Surveyor of the country appointed a data protection officer (Article 37 of Regulation 2016/679). "
According to the inspection report drawn up on [...] March 2020 and signed by the inspectors and the Chief National Surveyor, after presenting the identity card and submitting authorizations to conduct the inspection, the Chief National Surveyor stated that he would not sign the submitted authorizations and refused to consent to the inspection. control activities in the scope resulting from the submitted authorizations. Justifying his position in this case, he pointed out that, according to his assessment, from the scope indicated in the controlling authorizations, it follows that the control is to concern the land and mortgage register number, which is not a personal data within the meaning of the provisions of the Act of May 17, 1989, Geodetic and Cartographic Law (Journal of Laws of 2020, item 276, as amended), hereinafter referred to as the "Geodetic and cartographic law". On the submitted authorizations, the Chief Surveyor of the country included a written annotation: "I refuse to consent to the inspection activities in the scope of the presented authorization (items 1 to 5) due to the irrelevance of the inspection, which I justify in the letter [...] of [...]. 03.2020 the shortest time is due to the fact that the scope of the inspection is to focus on the number of the land and mortgage register, which is not a personal data within the meaning of the Geodetic and Cartographic Law. I am asking for clarification of the scope of the control in accordance with the basis for its initiation. " The Chief Surveyor of the country then stated that he agreed to carry out control activities only to the extent specified in points 6 and 7 of personal authorizations. Only then did he sign the personal authorizations of the inspectors, placing the annotation "Signed in accordance with the declaration below" next to the signature. In accordance with the above-mentioned statement, the Chief Surveyor of the Country submitted a letter with the reference number [...] to the inspection files, in which it was indicated, inter alia, legal grounds for qualifying the number of the land and mortgage register as a given subject, that is art. 20 paragraph 1 point 1 of the Geodetic and Cartographic Law and § 73 of the Regulation of the Minister of Regional Development and Construction of March 29, 2001 on land and building records.

Due to the unequivocally expressed lack of consent of the Chief Surveyor of the Country to carry out control activities in the scope specified in items 1-5 of personal authorizations, the inspectors withdrew from activities in this respect, making arrangements only in the scope referred to in items 6 and 7 of the authorization. Within the scope of control, for which the Chief National Surveyor has consented, controlling, among others:

heard as a witness Mr. W. I. - Chief Country Surveyor,
obtained a copy of an exemplary agreement with the staroste on cooperation in the creation and maintenance of common elements of technical infrastructure regarding the publication of PZGiK data,
obtained copies of documents confirming the general organizational measures implemented by the Chief Surveyor of the Country (not particularly related to the GEOPRTAL2 portal) to ensure the security of the protected data,
obtained copies of documents confirming the appointment by the Chief Land Surveyor of Mr. [...] as the Data Protection Inspector at the Central Office of Geodesy and Cartography,
heard as a witness Mr. [...] - Chief Specialist in the Department [...] at the Head Office of Geodesy and Cartography,
obtained a printout of the Regulations of the website www.geoportal.gov.pl,
obtained copies of the Register of processing activities containing the risk analysis and impact assessment for data protection and the Register of processing activities categories with risk analysis.
During the inspection, the inspectors - due to the lack of consent of the Chief National Surveyor - did not assess the implemented technical measures to ensure the security of the protected data (including data processed via the GEOPORTAL2 portal), in particular, they did not inspect the places, objects, devices of carriers and IT systems for data processing. Moreover - due to, inter alia, against the refusal of the Chief Country Surveyor to sign the protocol of testimony made on [...] March 2020 - the inspectors did not obtain full and binding, legally effective explanations of the inspected party in the subject covered by the inspection.

Due to the ineffectiveness of further inspection, due to the lack of consent of the Chief Surveyor of the Country for inspection activities regarding the scope specified in points 1-5 of personal inspection authorizations, and the lack of cooperation on his part in this regard, the inspectors decided to terminate on [...] March 2020 control. On that day, an inspection protocol was drawn up by the inspectors, and then signed by the Chief National Surveyor (without any reservations).

Due to the fact that it was impossible to control the processing by the Chief Surveyor of the Country of personal data from the land and building register on the GEOPORTAL2 portal, this procedure was initiated ex officio to impose an administrative fine on the Chief Surveyor of the Country for violation of Art. 31 and art. 58 sec. 1 lit. e) and f) of Regulation 2016/679, consisting in the lack of cooperation with the President of the Personal Data Protection Office in the performance of his tasks, preventing the inspection of personal data processing, as well as failure to provide the President of the Personal Data Protection Office with access to premises, equipment and means used to process personal data , and access to personal data and information necessary for the President of the Personal Data Protection Office to perform his tasks.

The Chief National Surveyor was informed about the initiation of the procedure and the collection of evidence in the case by a letter of [...] March 2020, delivered to him electronically via the ePUAP platform.

By letter of [...] April 2020 (delivered to the President of the Personal Data Protection Office on [...] April 2020), the representative of the Chief Surveyor of the Country requested that the representatives of the Chief Surveyor of the Country be able to inspect the case files and prepare their photocopies, or to provide copies of the entire case files by electronic means . In response to the request, copies of the entire case files were submitted to the representative of the Chief Surveyor of the Country by post, by letter of [...] May 2020, delivered to the representative on [...] May 2020.

In a letter of [...] May 2020 (delivered to the President of UODO on [...] May 2020), the representative of the Chief Surveyor of the Country presented the position of the Chief Surveyor of the Country, indicating that "the initiation and conduct of proceedings by the President of UODO in this case is pointless and for this reason should be written off in full ”. The Plenipotentiary of the Chief Surveyor of the Country submitted in particular that

"The scope of the inspection was pointless, as it concerned the use of information that does not constitute personal data, and for which the Chief Surveyor of the Country does not decide on the purposes and methods of processing (thus, it could not have the status of a data controller). GKK did not prevent the inspection, but only questioned the scope of the inspection, which was to concern the processing of personal data in the form of a land and mortgage register number. "
"The inspection [...] was carried out not at the Head of the National Surveyor, but at the Head Office of Geodesy and Cartography, which, from the point of view of the provisions of the GDPR, is a separate administrator of personal data."
"The President of the Personal Data Protection Office groundlessly found that the Chief National Surveyor - who participated in the inspection proceedings as a representative of the inspected entity, ie the Central Office of Geodesy and Cartography - did not cooperate with the President of the Personal Inspectorate as part of his tasks".
"The President of the Personal Data Protection Office (UODO) groundlessly found that the Chief National Surveyor made it impossible to carry out an inspection in the field of personal data processing at the controlled entity, i.e. at the Central Office of Geodesy and Cartography."
"The President of the Personal Data Protection Office unjustifiably considered that the Chief National Surveyor did not provide the President of the Personal Data Protection Office with access to premises, equipment and means for processing personal data in connection with the control carried out at the Central Office of Geodesy and Cartography, and did not provide access to information necessary for the President of the Personal Data Protection Office. his tasks. "
“As a result of the above, the President of the Personal Data Protection Office unjustified that GGK could infringe Art. 31 and art. 58 sec. 1 lit. e) and f) GDPR. "
After considering all the evidence collected in the case, the President of UODO considered the following.

Pursuant to Art. 57 sec. 1 lit. a) Regulation 2016/679, the President of the Personal Data Protection Office - as a supervisory authority within the meaning of art. 51 of the Regulation 2016/679 - its task is to monitor and enforce the application of this regulation on its territory. As part of his competences, the President of the Personal Data Protection Office is responsible, inter alia, conduct proceedings on the application of Regulation 2016/679 (Article 57 (1) (f)). In order to enable the performance of such defined tasks, the President of the Personal Data Protection Office has a number of provisions specified in art. 58 sec. 1 of Regulation 2016/679, the rights in the scope of conducted proceedings, including the right to order the administrator and the processor to provide all information needed to perform its tasks (Article 58 (1) (a), the right to obtain from the controller and the processor access to any personal data and any information necessary for the performance of its tasks (Article 58 (1) (e) and the right to access all premises of the controller and processor, including equipment and measures for data processing, in accordance with the procedures laid down in EU law or in the law of a Member State (Article 58 (1) (f)). Violation of the provisions of Regulation 2016/679, consisting in failure to provide access to the data and information referred to above by the public authority being the controller or processor, resulting in the violation of the authority's powers specified in art. 58 sec. 1 of Regulation 2016/679 (including the right to obtain personal data and information necessary to perform its tasks and to gain access to premises, equipment and means for data processing), and may be subject - in accordance with art. 83 sec. 5 letter e) in fine of the Regulation 2016/679 in connection with art. 102 paragraph. 1 and 3 of the Act of May 10, 2018 on the Protection of Personal Data (Journal of Laws of 2019, item 1781), hereinafter referred to as "PDA" - an administrative fine of up to PLN 100,000.

It should also be pointed out that the controller and the processor are obliged to cooperate with the supervisory authority in the performance of its tasks, as provided for in Art. 31 of Regulation 2016/679. Failure to comply with this obligation is also threatened - in accordance with Art. 83 sec. 4 lit. a) Regulation 2016/679 in connection with art. 102 paragraph. 1 and 3 of the Personal Data Protection Act - an administrative fine of up to PLN 100,000.

Indicated in art. 58 sec. 1 lit. f) of Regulation 2016/679 "the procedure laid down in EU law or in the law of a Member State" for the exercise of the supervisory authority's right to gain access to the premises of the controller and the processor, including equipment and means for data processing, is based on Polish law, described in Chapter 9 of the Act on Personal Data Protection (Articles 78 - 91), the procedure of "monitoring compliance with the provisions on the protection of personal data". Pursuant to Art. 78 uodo, the President of the Personal Data Protection Office (UODO) controls compliance with the provisions on the protection of personal data (paragraph 1), and this control may be carried out "in accordance with the control plan approved by the President of the Office or on the basis of information obtained by the President of the Office or as part of monitoring compliance with the application of Regulation 2016 / 679 ”(section 2). Controlling persons (authorized employees of the Office for Personal Data Protection) are entitled to - as provided for in Art. 84 sec. 1 of the Personal Data Protection Act - the right to: 1. enter the land and buildings, premises or other premises between 6.00 a.m. and 10.00 p.m., 2. access documents and information directly related to the scope of the inspection, 3. carry out inspections of places, objects, devices, data carriers and IT or teleinformation systems used for data processing, 4. demand to submit written or oral explanations and to interview a person as a witness to the extent necessary to establish the facts, 5. commission the preparation of expert opinions and opinions. The inspector determines the facts on the basis of evidence collected (with the use of the above-mentioned powers) in the control procedure, in particular documents,

Referring the above-mentioned provisions to the facts of the present case, it should be stated that the President of the Personal Data Protection Office had the right to initiate and conduct an inspection of the processing of personal data at the Chief National Surveyor; it also had a justification for making findings in this type of procedure (control procedure regulated in chapter 9 of the PDPA).

The control powers of the President of the Personal Data Protection Office (UODO) have been formulated - in the above-mentioned provisions of the Regulation 2016/679 and the Personal Data Protection Act - broadly; their use is limited only to the purpose - checking whether the provisions on the protection of personal data are complied with. It is worth noting that the condition for carrying out such an inspection is not even a justified suspicion that a violation has been found. The legislator expressly allows in Art. 78 sec. 2 uodo, the possibility of carrying out inspections "in accordance with [...] the inspection plan", i.e. without prior information indicating irregularities in the processing of personal data taking place in a specific entity, and even without information indicating whether a given entity processes personal data at all (control of such an entity would, however, first have to establish such a circumstance - before making further determinations regarding, for example, the legality and lawfulness of processing). General and broad definition of the task to be performed by the President of the Personal Data Protection Office ("monitoring and enforcement of the application of the regulation" referred to in Article 57 (1) (a) of Regulation 2016/679, "control of compliance with the provisions on the protection of personal data" referred to in Art. 78 sec. 1 UODO) leaves the President of UODO the freedom to define both the group of controlled entities and the scope of the inspections carried out. This task should be understood broadly - not only as checking whether a specific entity in a specific case violates the provisions on the protection of personal data in a specific way, but also as a task undertaken to identify the types, areas and scale of problems related to the application of the provisions on the protection of personal data. (in particular, Regulation 2016/679), their elimination and prevention in the future. In the context of the freedom left to the President of the Personal Data Protection Office in determining the entity subject to control and the scope of this control, it should be stated that in this case the President of the Personal Data Protection Office had a particularly justified basis to initiate and conduct an inspection at the Chief Surveyor of the country in the scope that he considered necessary for the implementation of the task of monitoring the application of the Regulation. 2016/679. As a result of the inspection carried out on [...] February 2020 in the Poviat Starosty in J. (reference number [...]), he obtained information about the provision of personal data to the Chief Surveyor of the Country by Starost J. land and mortgage registers) and their further processing (sharing) via the GEOPORTAL2 portal. The mere fact of having these data by the Chief Surveyor of the Country is a sufficient basis for conducting an inspection aimed at - as stated in Art. 87 of the PPA - only collecting evidence allowing to establish the facts of the case (and not the legal assessment of this status, which - in the case of suspected violations - takes place in a separate administrative procedure). From the essence of control understood in this way, it follows that that the inspected entity cannot question - at the stage of initiating and conducting the inspection - its legitimacy and its scope. As rightly pointed out by the Supreme Administrative Court in the judgment of March 3, 2016 in the case file no. II OSK 1667/14 (regarding the imposition by the Chief Sanitary Inspector, on the basis of the Act of August 25, 2006 on Food and Nutrition Safety (Journal of Laws of 2019, item 1252, as amended), a fine in connection with preventing official food control): "The court of first instance and the authorities inspected in administrative court proceedings are right that the plant under examination is not entitled to decide on the scope of the control. It is the exclusive domain of the controlling units. " (Lex No. 2113109). This statement - in the opinion of the President of the Personal Data Protection Office - has a general meaning and also applies to the control of compliance with the provisions on the protection of personal data. The place for questioning the legal assessment of the facts of the case (and in this case it is essentially the questioning by the Chief National Surveyor of the scope of the inspection, related to the statement that the land and mortgage register number does not constitute a personal o evidence collected during the control procedure.

As shown above, the inspection powers of the President of the Personal Data Protection Office are limited to the purpose of the inspection, which is to verify compliance with the provisions on the protection of personal data. The position of the Chief National Surveyor expressed during the inspection, and developed in his representative's letter of [...] May 2020, that the data in the form of land and mortgage register numbers do not constitute personal data, is in fact a statement that the inspection (to the extent specified in items 1 -5 personal controlling authorizations) did not fit this purpose. Such a claim should definitely be considered incorrect. Without prejudging the qualification of such data as personal data in the case at hand, it should be pointed out that at the time of initiating the inspection, the President of the Personal Data Protection Office had at least reasonable grounds to accept such a classification. This justification resulted from the consistent position of the President of the Personal Data Protection Office, and previously the Inspector General for Personal Data Protection, as well as the position of the doctrine and jurisprudence of administrative courts (see the judgment of the Supreme Administrative Court of 18 February 2014, ref. I OSK 1839/12 - LEX No. 1449867, judgment of the Supreme Administrative Court of 26 September 2018, reference number I OSK 276/17 - LEX no. 2737936, judgment of the Supreme Administrative Court of 26 September 2018, reference number I OSK 11/17 - LEX no. 2573629). In view of the above, the actions of the Chief National Surveyor aimed at thwarting or hindering the inspection should be considered unacceptable, in particular when these actions are based solely on the subjective legal assessment of the controlled entity (even if they are supported by selected, unrepresentative voices of the doctrine and court decisions). Doing so would lead to an unacceptable situation where

Similar to the above argumentation of the Chief Surveyor of the Country, the position presented by his attorney in the letter of [...] May 2020 should be assessed that "the scope of the inspection is pointless because it concerned the use of information [...] for which the Chief Surveyor of the Country does not decide on the goals and methods of processing (therefore, he could not have the status of a data controller) ”. The assessment of whether the Chief National Surveyor performs the role of the administrator in the data processing on the GEOPRTAL2 portal (or maybe a co-administrator, or a processor) is an element of the facts that was to be determined in the course of the inspection. At the time of the inspection, the President of the Personal Data Protection Office had information that on the GEOPORTAL2 portal, whose administrator is the Chief Country Surveyor, the information that constitutes (or may constitute) personal data is processed, in particular the land and mortgage register numbers assigned to the real estate presented on the portal. The above was confirmed by the results of the inspection carried out in the Poviat Starosty in J. (reference number [...]), which showed that the Chief Surveyor of the Country obtained data (including the numbers of land and mortgage registers from the land and building records kept by Starost J. ) for further processing via the GEOPORTAL2 portal. Additionally, it is worth mentioning that in the Regulations of the website which showed that the Chief Surveyor of the Country obtained from the land and building records kept by Starost J., data (including land and mortgage register numbers) for further processing via the GEOPORTAL2 portal. In addition, it is worth mentioning that in the Regulations of the website which showed that the Chief Surveyor of the Country obtained from the land and building records kept by Starost J., data (including land and mortgage register numbers) for further processing via the GEOPORTAL2 portal. In addition, it is worth mentioning that in the Regulations of the websitewww.geoportal.gov.pl (posted on the website www.geoportal.gov.pl.) there is information directly indicating that the administrator of personal data processed on the GEOPORTAL2 portal is the Chief National Surveyor ("The administrator of your personal data is the Chief National Surveyor with its seat in Warsaw, ul. Wspólna 2, 00-926 Warsaw"). Such information justifies the need to carry out an audit of compliance with the provisions on the protection of personal data in order to determine the role of the Chief National Surveyor in this data processing process. The position of the Chief National Surveyor, presented in the letter of his representative of [...] May 2020, also erroneously assumes that the entity subject to the control of the President of the Personal Data Protection Office may only be the entity deciding on the purposes and methods of processing, i.e. the controller (which he - in his own opinion - in the case under consideration is not). The Chief Surveyor of the Country does not seem to notice that the obligation to provide access to personal data and information necessary to perform the tasks of the President of the Personal Data Protection Office and access to premises, equipment and means for data processing, referred to in Art. 58 section 1 lit. e) and f), rests not only on the controller, but also on the co-controller and the entity processing personal data. By denying his role as administrator, the Chief National Surveyor seems not to exclude that he processes personal data from the land and building register as a processor - on behalf of administrators (starosts), on the basis of contracts that could in fact be assessed as in art. 28 sec. 3 of the Regulation 2016/679). The above uncertainty as to the role played in the processing of data obtained from the land and building register in the GEOPORTAL2 portal, which could be removed in the course of the inspection, proves the legitimacy of carrying out the inspection at the Chief National Surveyor in the full scope - specified in the personal authorizations for inspecting - to the extent. Similarly, with regard to the provisions of Art. 31 of Regulation 2016/679, the obligation to cooperate with the supervisory authority, it is addressed not only to the controller, but also to the processor.

that it is in the Head Office of Geodesy and Cartography as an organizational unit with which the Chief Surveyor of the country carries out his tasks, personal data and sources of information, premises, equipment and means for the processing of personal data, access to which was necessary for the President of the Personal Data Protection Office in order to collect evidence regarding. The analysis of the entire content of the documents relating to the inspection (in particular those preparing the inspection - the inspection notice of [...] March 2020 and the personal authorizations of the inspectors of [...] March 2020) shows unequivocally that the purpose of the inspection was related to the implementation of the statutory main task Country Surveyors, which is the creation and maintenance of the GEOPORTAL2 portal. This is evidenced by such phrases as: "the scope of the inspection will cover disclosure by the Chief Surveyor of the Country ...", "I am asking for the preparation of documentation regarding the processing of personal data by the Chief National Surveyor." (both from the notification of inspection), "the inspection will cover the disclosure by the Chief Surveyor of the Country ...", "whether the Chief Surveyor of the Country has implemented appropriate technical and organizational measures ...", "whether the Chief Surveyor of the Country has appointed a data protection officer ..." (the last three of the personal authorizations controlling). As the representative of the Chief National Surveyor himself pointed out in a letter of [...] May 2020, the task of creating and maintaining the GEOPORTAL2 portal was formulated in the provisions of Art. 5 of the Act of May 17, 1989, Geodetic and Cartographic Law (Journal of Laws of 2020, item 276, as amended) and Art. 13 sec. 1 of the Act of March 4, 2010 on spatial information infrastructure (Journal of Laws of 2020, item 177, as amended). The latter provision states that the Chief National Surveyor creates and maintains a geo-portal of the spatial information infrastructure as a central access point to spatial data sets and services; however, it does not provide for any participation in this task for the Head Office of Geodesy and Cartography. The above provision specifying the competences and responsibilities in the field of the GEOPORTAL2 portal operation, in conjunction with the subject and scope of control indicated by the President of the Personal Data Protection Office, should not leave (especially to the central authority competent in matters of geodesy and cartography) any doubts as to the determination of the entity subject to control. It should also be emphasized that the Chief National Surveyor, both at the start of the inspection and during the inspection, did not raise any objections as to the indication of the inspected entity, although he had such a possibility (by submitting a declaration of disagreement to the inspection on personal authorizations of the inspectors, submitting such objections to the report of the hearing as a witness or in the form of an objection to the inspection report). In the opinion of the President of the Personal Data Protection Office, the objection to the indication of the controlled entity was formulated by the Chief Surveyor of the Country post factum - solely for the purpose of justifying his infringement of the provisions on the protection of personal data. 

Summarizing the above considerations, it should be stated that presented by the Chief Surveyor of the Country during the inspection, and developed by his attorney in the position presented to the President of the Personal Data Protection Office in a letter of [...] May 2020, the justification for refusing to consent to the inspection of personal data processing by him, it does not deserve approval at any point. The President of the Personal Data Protection Office had the right and justification to carry out an inspection at the Chief National Surveyor. The scope of this control fell within the objectives set out in Art. 57 sec. 1 lit. a) Regulation 2016/679 ("monitoring and enforcement of the application of the regulation") and in art. 78 sec. 1 uodo ("control of compliance with the provisions on the protection of personal data"). The operation of the Chief Surveyor of the country as the inspected person, consisting in refusing to consent to the inspection in the scope specified in points 1-5 of personal authorizations of the inspected persons, made it impossible to fully perform inspection activities in this area (in particular, inspection of IT and teleinformation systems in which the Chief Surveyor The country has personal data, collecting the explanations of the Chief National Surveyor in this regard, receiving explanations and testimonies from employees of the Chief Surveyor of the Country, obtaining access to documents constituting the basis for obtaining personal data processed on the GEOPORTAL2 portal - e.g. contracts linking the Chief Surveyor of the Country with the starosts). Refusal of the Chief National Surveyor to carry out an inspection in the scope specified in points 1-5 of personal authorizations for the inspected, denoting a declaration of the lack of any cooperation with the inspectors in this scope, caused the inspectors to withdraw from activities in this regard. The Supreme Administrative Court in the above-mentioned judgment of March 3, 2016 in case no. II OSK 1667/14 rightly pointed out that: “one should agree with the position that in order for the control to achieve its goal, it requires at least a minimum degree of cooperation on the part of the controlled entity. At the same time, the cooperation should concern the full scope of powers vested in the authorities. " In the present case, there was no cooperation whatsoever on the part of the Chief Surveyor of the Country in the field of control, which he himself arbitrarily considered groundless. caused the controllers to withdraw from activities in this regard. The Supreme Administrative Court in the above-mentioned judgment of March 3, 2016 in case no. II OSK 1667/14 rightly pointed out that: “one should agree with the position that in order for the control to achieve its goal, it requires at least a minimum degree of cooperation on the part of the controlled entity. At the same time, the cooperation should concern the full scope of powers vested in the authorities. " In the present case, there was no cooperation whatsoever on the part of the Chief Surveyor of the Country in the field of control, which he himself arbitrarily considered groundless. caused the controllers to withdraw from activities in this regard. The Supreme Administrative Court in the above-mentioned judgment of March 3, 2016 in case no. II OSK 1667/14 rightly pointed out that: “one should agree with the position that in order for the control to achieve its goal, it requires at least a minimum degree of cooperation on the part of the controlled entity. At the same time, the cooperation should concern the full scope of powers vested in the authorities. " In the present case, there was no cooperation whatsoever on the part of the Chief Surveyor of the Country in the field of control, which he himself arbitrarily considered groundless. that in order for the control to achieve its goal, it requires at least a minimum degree of cooperation on the part of the controlled entity. At the same time, the cooperation should concern the full scope of powers vested in the authorities. " In the present case, there was no cooperation whatsoever on the part of the Chief National Surveyor in the field of control, which he himself arbitrarily considered to be groundless. that in order for the control to achieve its goal, it requires at least a minimum degree of cooperation on the part of the controlled entity. At the same time, the cooperation should concern the full scope of powers vested in the authorities. " In the present case, there was no cooperation whatsoever on the part of the Chief National Surveyor in the field of control, which he himself arbitrarily considered to be groundless.

Referring the above findings to the obligations imposed by the provisions of Regulation 2016/679 on the administrator and processor, and regarding their relationship to the supervisory body, it should be stated that the Chief National Surveyor, during the control procedure with reference number [...], by his actions he violated:

art. 58 sec. 1 lit. e) Regulation 2016/679, imposing an obligation on him to provide the President of the Personal Data Protection Office with access to all personal data and all information necessary for the supervisory body to perform its tasks,
art. 58 sec. 1 lit. f) Regulation 2016/679, imposing an obligation on him to provide the President with access to all premises of the controller and the processor, including equipment and means for data processing, in accordance with the procedures set out in EU law or in the law of a Member State,
art. 31 of Regulation 2016/679, imposing on him the obligation to cooperate with the President of the Personal Data Protection Office, at his request, as part of his tasks.
In connection with the above violations of the provisions of Regulation 2016/679, the President of the Personal Data Protection Office states that in the present case there are grounds justifying the imposition of the Chief Surveyor of the Country - pursuant to Art. 83 sec. 4 lit. a) and art. 83 sec. 5 lit. e) in fine of Regulation 2016/679 - an administrative fine in connection with the failure by the Chief Surveyor of the Country to provide access to premises, equipment and means for the processing of personal data as well as access to personal data and information necessary for the President of the Personal Data Protection Office to perform his tasks, as well as lack of cooperation with the President of the Personal Data Protection Office during this inspection.

Pursuant to art. 83 sec. 2 of Regulation 2016/679, administrative fines are imposed depending on the circumstances of each individual case. In each case, it refers to a number of circumstances listed in points a) to k) of the above-mentioned provision. When deciding to impose an administrative fine on the Chief Surveyor of the country and determining its amount, the President of the Personal Data Protection Office (UODO) took into account the following circumstances aggravating the assessment of the infringement:

Nature, gravity and duration of the infringement (Article 83 (2) (a) of Regulation 2016/679).
The breach subject to administrative pecuniary penalty in the present case undermines the system aimed at protecting one of the fundamental rights of a natural person, which is the right to the protection of his personal data, or more broadly, to the protection of his privacy. An important element of this system, the framework of which is set out in Regulation 2016/679, are supervisory authorities with tasks related to the protection and enforcement of the rights of natural persons in this respect. In order to enable the performance of these tasks, supervisory authorities have been equipped with a number of control powers, powers to conduct administrative proceedings and remedial powers. On the other hand, controllers and processors have been imposed specific obligations, correlated with the powers of supervisory authorities, including the obligation to cooperate with supervisory authorities and the obligation to provide these authorities with access to personal data and other information necessary for the performance of their tasks, as well as access to premises, equipment and means used to process personal data. Activities of the Chief National Surveyor during the control with reference number [...], in order to prevent its implementation in the scope indicated in points 1-5 and in point 6 (with regard to technical measures implemented to ensure an adequate level of security) personal authorizations to inspect, and resulting in the lack of access to evidence indicating the legality and the lawfulness of the processing by the Chief Surveyor of the Country of personal data from the land and building register, therefore should be considered as harmful to the entire personal data protection system and therefore of great importance and reprehensible character. The gravity of the violation is additionally increased by the fact that the violation by the Chief National Surveyor, although a one-off (it took place on [...] March 2020), caused effects that have lasted until now. The lack of cooperation of the Chief Surveyor of the Country, expressed in the refusal to recognize the right of the President of the Personal Data Protection Office to control compliance with the provisions of the processing of personal data from the land and building records on the GEOPRTAL2 portal, is up-to-date, which is confirmed by the position of the Chief Surveyor of the Country expressed in the letter of his representative with on [...] May 2020. As aggravating, it should also be pointed out that the violation of the rights of the public authority, which is the President of the Personal Data Protection Office, was committed by another public authority - the Chief Surveyor of the Country. From a public authority,

Intentional nature of the breach (Article 83 (2) (b) of Regulation 2016/679).
In the opinion of the President of the Personal Data Protection Office, the Chief National Surveyor has an intentional lack of will to cooperate in providing the authority with all information (evidence) necessary to determine whether the data processing processes subject to control have a legal basis and are processed in accordance with the law. Lack of consent of the Chief Surveyor of the country to carry out the inspection and his declaration of non-cooperation in this regard were expressed in an unambiguous and firm manner. The argumentation presented to justify this position of the Chief National Surveyor is, as it was shown above, completely unfounded and - in the opinion of the President of the Personal Data Protection Office - to a large extent was created post factum in order to justify the unwillingness to submit to a justified and lawful examination by an independent control body. . Considering

Lack of cooperation with the supervisory authority to remove the breach and mitigate its possible negative effects (Article 83 (2) (f) of Regulation 2016/679).
In the course of this proceeding concerning the imposition of an administrative fine, the Chief Surveyor of the Country maintained his refusal to carry out the inspection in the questioned scope (based on the position that the President of the Personal Data Protection Office refused the right to examine the processing of personal data from the land and building register on the GEOPORTAL portal2). He also did not express any willingness to cooperate with the President of the Personal Data Protection Office in order to remove the infringement, which could include, in particular, providing full and exhaustive explanations to the extent to which the inspection was frustrated.

The remaining conditions for the assessment of an administrative fine specified in Art. 83 sec. 2 of Regulation 2016/679 did not affect (aggravating or mitigating) the assessment of the infringement made by the President of the Personal Data Protection Office (including: any relevant prior infringements by the controller or processor, the manner in which the supervisory authority learned about the infringement, compliance with the previously applied the measures itself, the use of approved codes of conduct or approved certification mechanisms) or, due to the specific nature of the breach (relating to the controller's or processor's relationship with the supervisory authority, and not the controller's or processor's relationship with the data subject), they could not be taken into account in the present case (including:

Pursuant to the wording of Art. 83 sec. 1 of Regulation 2016/679, the administrative fine imposed by the supervisory authority should be effective, proportionate and dissuasive in each individual case. In the opinion of the President of UODO, the penalty imposed on the Chief National Surveyor in this proceeding meets these criteria. It will discipline the Chief National Surveyor to properly cooperate with the President of the Personal Data Protection Office in proceedings conducted in the future by the President of the Personal Data Protection Office with his participation. The penalty imposed by this decision, up to the maximum specified in Art. 102 paragraph. 1 UODO, the amount is - in the opinion of the President of the Personal Data Protection Office - justified and proportional to the seriousness of the infringement found. This penalty will also have a deterrent function;

In this case, the provisions of Art. 102 paragraph. 1 and 3 of the PDPA, according to which the amount of the administrative fine imposed - on the basis and under the conditions specified in art. 83 of Regulation 2016/679 - per unit of the public finance sector within the meaning of the Act of 27 August 2009 on Public Finance (Journal of Laws of 2019, item 869, as amended), is limited to the amount of PLN 100,000.

Considering the above, the President of UODO ruled as in the conclusion of this decision. 

The decision is final. The party has the right to lodge a complaint against the decision with the Provincial Administrative Court in Warsaw, within 30 days from the date of its delivery, via the President of the Personal Data Protection Office (address: ul. Stawki 2, 00-193 Warsaw). A proportionate fee should be filed against the complaint, pursuant to Art. 231 in connection with Art. 233 of the Act of August 30, 2002, Law on proceedings before administrative courts (Journal of Laws of 2019, item 2325). Pursuant to Art. 74 of the Act of 10 May 2018 on the Protection of Personal Data (Journal of Laws of 2019, item 1781), the submission of a complaint by a party to the administrative court suspends the execution of the decision on the administrative fine.

Pursuant to Art. 105 paragraph. 1 of the Act of May 10, 2018 on the Protection of Personal Data (Journal of Laws of 2019, item 1781), the administrative fine must be paid within 14 days from the date of expiry of the deadline for lodging a complaint to the Provincial Administrative Court, or from the date the ruling of the administrative court becomes legally binding, to the bank account of the Personal Data Protection Office at NBP O / O Warsaw No. 28 1010 1010 0028 8622 3100 0000. Moreover, pursuant to Art. 105 paragraph. 2 of the above-mentioned Act, the President of the Personal Data Protection Office may, at a justified request of the punished entity, postpone the payment of the administrative fine or divide it into installments. In the event of postponing the payment of the administrative fine or dividing it into installments, the President of UODO shall charge interest on the unpaid amount annually, using a reduced rate of interest for late payment, announced pursuant to Art. 56d of the Act of August 29, 1997 - Tax Ordinance (Journal of Laws of 2019, item 900, as amended), from the day following the date of submitting the application.