UODO (Poland) - DKE.561.3.2020: Difference between revisions
From GDPRhub
(Created page with "{{DPAdecisionBOX |Jurisdiction=Poland |DPA-BG-Color=background-color:#ffffff; |DPAlogo=LogoPL.png |DPA_Abbrevation=UODO |DPA_With_Country=UODO (Poland) |Case_Number_Name=DKE...") |
No edit summary |
||
| Line 10: | Line 10: | ||
|ECLI= | |ECLI= | ||
|Original_Source_Name_1=UODO | |Original_Source_Name_1=Urzędu Ochrony Danych Osobowych - UODO | ||
|Original_Source_Link_1=https://uodo.gov.pl/decyzje/DKE.561.3.2020 | |Original_Source_Link_1=https://uodo.gov.pl/decyzje/DKE.561.3.2020 | ||
|Original_Source_Language_1=Polish | |Original_Source_Language_1=Polish | ||
| Line 17: | Line 17: | ||
|Type=Investigation | |Type=Investigation | ||
|Outcome=Violation Found | |Outcome=Violation Found | ||
|Date_Decided= | |Date_Decided= | ||
|Date_Published= | |Date_Published= | ||
|Year= | |Year= | ||
|Fine= | |Fine=None | ||
|Currency= | |Currency= | ||
|GDPR_Article_1=Article 31 GDPR | |GDPR_Article_1=Article 31 GDPR | ||
|GDPR_Article_Link_1=Article 31 GDPR | |GDPR_Article_Link_1=Article 31 GDPR | ||
|GDPR_Article_2=Article 58(1 | |GDPR_Article_2=Article 58(1) GDPR | ||
|GDPR_Article_Link_2=Article 58 GDPR# | |GDPR_Article_Link_2=Article 58 GDPR#1 | ||
|Party_Name_1= | |Party_Name_1= | ||
|Party_Link_1= | |Party_Link_1= | ||
|Party_Name_2= | |Party_Name_2= | ||
| Line 45: | Line 43: | ||
|Appeal_To_Body= | |Appeal_To_Body= | ||
|Appeal_To_Case_Number_Name= | |Appeal_To_Case_Number_Name= | ||
|Appeal_To_Status= | |Appeal_To_Status= | ||
|Appeal_To_Link= | |Appeal_To_Link= | ||
| Line 52: | Line 50: | ||
}} | }} | ||
The | The Surveyor General of Poland violated the provisions of the GDPR by failing to provide the supervisory authority during the conducted inspection with access to premises, data processing equipment and means, and access to personal data and information necessary for the President of the Office for the performance of its tasks. | ||
== English Summary == | == English Summary == | ||
=== Facts === | === Facts === | ||
beginning of March 2020, the President of the Personal Data Protection Office decided on the necessity to perform an inspection of the processing by the Surveyor General of Poland on the portal GEOPORTAL2 of personal data from the poviat land and property registers, about which it informed GGK in the letter indicating the scope and the date of the inspection. In order to perform the inspection activities, the inspectors authorised by the President of the UODO presented their official identity cards and submitted personal authorisations containing information on the scope of the inspection to GGK. The Surveyor General of Poland did not allow for performing full inspection activities resulting from the submitted authorisations. | |||
=== Dispute === | === Dispute === | ||
GGK indicated that, according to its assessment, it was apparent from the scope of the inspection indicated in the authorisations that the inspection was to cover the numbers of land and property registers which, in its opinion, do not constitute personal data within the meaning of the provisions of the Geodetic (Surveying) and Cartographic Law. | |||
=== Holding === | === Holding === | ||
THe UODO imposed an administrative fine in the amount of PLN 100 000 on the Surveyor General of Poland (Główny Geodeta Kraju, GGK), because due to the categorical lack of consent of GGK to carry out full inspection activities and the unambiguously expressed lack of will to cooperate, the inspectors could not determine how and on what legal ground the GEOPORTAL2 online portal (geoportal.gov.pl) enables access to personal data contained in land and property registers and whether GGK has implemented appropriate technical measures to ensure data security. | |||
== Comment == | == Comment == | ||
This summary is based on the English summary of the Polish Data Protection Authority, which can be found here: https://uodo.gov.pl/en/553/1146 | |||
== Further Resources == | == Further Resources == | ||
| Line 91: | Line 73: | ||
<pre> | <pre> | ||
Warszawa, dnia 02 lipca 2020 r. | |||
DECYZJA | |||
DKE.561.3.2020 | DKE.561.3.2020 | ||
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256) oraz art. 7 ust 1 i ust. 2, art. 60 i art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w związku z art. 31, art. 57 ust. 1 lit. a), art. 58 ust 1 lit. e) i f) oraz art. 58 ust. 2 lit. i) w związku z art. 83 ust. 1 i 2, art. 83 ust. 4 lit. a) oraz art. 83 ust. 5 lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) (zwanego dalej „Rozporządzeniem 2016/679”), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie nałożenia na Głównego Geodetę Kraju z siedzibą w Warszawie przy ul. Wspólnej 2, reprezentowanego przez adwokatów P. T. i S. K. (Kancelaria […]), administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych, stwierdzającnaruszenie przez Głównego Geodetę Kraju z siedzibą w Warszawie przy ul. Wspólnej 2, przepisów art. 31 oraz 58 ust. 1 lit. e) i f) Rozporządzenia 2016/679, polegające na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych, w trakcie kontroli przestrzegania przepisów o ochronie danych osobowych o sygn. […], dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań, a także na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w trakcie tej kontroli, | |||
nakłada na Głównego Geodetę Kraju z siedzibą w Warszawie przy ul. Wspólnej 2 administracyjną karę pieniężną w kwocie 100.000 złotych (słownie: sto tysięcy złotych). | |||
UZASADNIENIE | |||
W dniach […] lutego 2020 r. Prezes Urzędu Ochrony Danych Osobowych (zwany dalej „Prezesem UODO”) przeprowadził kontrolę przetwarzania danych osobowych w Starostwie Powiatowym w J. (sygn. akt kontroli […]). Kontrola dotyczyła udostępniania przez Starostę J., za pośrednictwem portalu internetowego GEOPORTAL2 (www.geoportal.gov.pl), danych osobowych z ewidencji gruntów i budynków prowadzonych przez starostów. W toku kontroli ustalono, że Starosta J. nie publikuje na tym portalu danych osobowych z ewidencji gruntów i budynków, lecz – na podstawie stosownego porozumienia – przekazuje je (w tym numery ksiąg wieczystych) Głównemu Geodecie Kraju, który następnie pozyskane dane udostępnia na portalu GEOPORTAL2. Z uwagi na powyższe Prezes UODO zdecydował o konieczności przeprowadzenia kontroli przetwarzania danych osobowych, w zakresie udostępniania za pośrednictwem portalu GEOPORTAL2 danych osobowych z ewidencji gruntów i budynków, u Głównego Geodety Kraju. O zaplanowanej na […] marca 2020 r. kontroli (oznaczonej sygn. akt […]), Główny Geodeta Kraju poinformowany został […] marca 2020 r. telefonicznie oraz pismem doręczonym tego dnia drogą elektroniczną (e-mail). | |||
W dniu […] marca 2020 r. kontrolujący (upoważnieni przez Prezesa UODO pracownicy Urzędu Ochrony Danych Osobowych) udali się do Głównego Urzędu Geodezji i Kartografii celem rozpoczęcia zaplanowanej kontroli. Kontrolujący okazali Głównemu Geodecie Kraju legitymacje służbowe oraz przedłożyli imienne upoważnienia, w których w następujący sposób określony został szczegółowy zakres kontroli: „Kontrola obejmie udostępnianie przez Głównego Geodetę Kraju za pośrednictwem portalu internetowego GEOPORTAL2, danych osobowych z ewidencji gruntów i budynków, poprzez ustalenie: | |||
Podstawy prawnej przetwarzania, w tym udostępniania danych osobowych. | |||
Źródła pozyskania danych osobowych. | |||
Zakresu i rodzaju udostępnianych danych osobowych. | |||
Sposobu oraz celu udostępniania dennych osobowych. | |||
Czy przetwarzania danych osobowych odbywa się na podstawie upoważnienia nadanego przez administratora danych osobowych lub podmiot przetwarzający (art. 29 rozporządzenia 2016/679). | |||
Czy Główny Geodeta Kraju wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić odpowiedni stopień bezpieczeństwa danych objętych ochroną (art. 32, art.24 ust.1 i 2 rozporządzenia 2016/679). | |||
Czy Główny Geodeta Kraju wyznaczył inspektora ochrony danych (art. 37 rozporządzenia 2016/679).” | |||
Jak wynika ze sporządzonego […] marca 2020 r., podpisanego przez kontrolujących oraz przez Głównego Geodetę Kraju, protokołu kontroli, po okazaniu legitymacji i przedłożeniu upoważnień do przeprowadzenia kontroli, Główny Geodeta Kraju oświadczył, że nie podpisze przedłożonych upoważnień i odmawia wyrażenia zgody na przeprowadzenie czynności kontrolnych w zakresie wynikającym z przedłożonych upoważnień. Uzasadniając swoje stanowisko w tej sprawie wskazał, że według jego oceny z zakresu wskazanego w upoważnieniach kontrolujących wynika, że kontrola ma dotyczyć numeru księgi wieczystej, który to numer nie jest daną osobową w rozumieniu przepisów ustawy z dnia 17 maja 1989 r. Prawo geodezyjne i kartograficzne (Dz. U. z 2020 r. poz. 276 ze zm.), zwanej dalej „Prawem geodezyjnym i kartograficznym”. Na przedłożonych upoważnieniach Główny Geodeta Kraju zamieścił pisemną adnotację o treści: „Odmawiam wyrażenia zgody na przeprowadzenie czynności kontrolnych w zakresie przedstawionego upoważnienia (punkt od 1 do 5) ze względu na bezprzedmiotowość kontroli, co uzasadniam w piśmie […] z dnia […].03.2020 r. najkrócej wynika to z faktu, że zakres kontroli ma się skupić na numerze księgi wieczystej co nie jest daną osobową w rozumieniu przepisów Prawo geodezyjne i kartograficzne. Wnoszę o doprecyzowanie zakresu kontroli zgodnie z podstawą jej wszczęcia.” Główny Geodeta Kraju oświadczył następnie, że wyraża zgodę na przeprowadzenie czynności kontrolnych tylko w zakresie, jaki wynika z punktów 6 i 7 upoważnień imiennych kontrolujących. Dopiero wtedy podpisał upoważnienia imienne kontrolujących umieszczając przy podpisie adnotację „Podpisane zgodnie z oświadczeniem poniżej”. Zgodnie z przytoczonym wyżej oświadczeniem Główny Geodeta Kraju przedstawił do akt kontroli pismo o sygnaturze […], w którym wskazane zostały m.in. podstawy prawne zakwalifikowania numeru księgi wieczystej jako danej przedmiotowej, to jest art. 20 ust. 1 pkt 1 Prawa geodezyjnego i kartograficznego oraz § 73 rozporządzenia Ministra Rozwoju Regionalnego i Budownictwa z dnia 29 marca 2001 r. w sprawie ewidencji gruntów i budynków. | |||
Wobec jednoznacznie wyrażonego braku zgody Głównego Geodety Kraju na przeprowadzenie czynności kontrolnych w zakresie określonym w puntach 1-5 upoważnień imiennych, kontrolujący odstąpili od czynności w tym zakresie, dokonując ustaleń jedynie w zakresie, o którym mowa w punktach 6 i 7 upoważnień. W zakresie kontroli, na który wyraził zgodę Główny Geodeta Kraju, kontrolujący m.in.: | |||
przesłuchali w charakterze świadka Pana W. I. – Głównego Geodetę Kraju, | |||
uzyskali kopię przykładowego porozumienia ze starostą w sprawie współpracy przy tworzeniu i utrzymywaniu wspólnych elementów infrastruktury technicznej dotyczących publikacji danych PZGiK, | |||
uzyskali kopie dokumentów poświadczających wdrożone przez Głównego Geodetę Kraju ogólne (nie dotyczące szczególnie portalu GEOPRTAL2) środki organizacyjne mające na celu zapewnienie bezpieczeństwa danych objętych ochroną, | |||
uzyskali kopie dokumentów potwierdzających wyznaczenie przez Głównego Geodetę Kraju Pana [...] na Inspektora Ochrony Danych w Głównym Urzędzie Geodezji i Kartografii, | |||
przesłuchali w charakterze świadka Pana [...] – Głównego Specjalistę w Departamencie [...] w Głównym Urzędzie Geodezji i Kartografii, | |||
uzyskali wydruk Regulaminu serwisu www.geoportal.gov.pl, | |||
uzyskali kopie Rejestru czynności przetwarzania zawierającego analizę ryzyka oraz ocenę skutków dla ochrony danych oraz Rejestru kategorii czynności przetwarzania z analizą ryzyka. | |||
W toku kontroli kontrolujący – ze względu na brak zgody Głównego Geodety Kraju – nie dokonali oceny wdrożonych środków technicznych mających na celu zapewnienie bezpieczeństwa danych objętych ochroną (w tym danych przetwarzanych za pośrednictwem portalu GEOPORTAL2), w szczególności nie dokonali oględzin miejsc, przedmiotów, urządzeń nośników oraz systemów informatycznych służących do przetwarzania danych. Ponadto – ze względu m.in. na odmowę Głównego Geodety Kraju podpisania protokołu zeznań składanych w dniu […] marca 2020 r. – kontrolujący nie uzyskali pełnych i wiążących, mających skutek prawny, wyjaśnień kontrolowanego w przedmiocie objętym zakresem kontroli. | |||
Ze względu na niecelowość dalszej kontroli, spowodowaną brakiem zgody Głównego Geodety Kraju na czynności kontrolne dotyczące zakresu określonego w punktach 1-5 imiennych upoważnień kontrolujących, oraz brakiem współpracy z jego strony w tym zakresie, kontrolujący zdecydowali o zakończeniu w dniu […] marca 2020 r. kontroli. W tym dniu sporządzony został przez kontrolujących protokół kontroli, podpisany następnie przez Głównego Geodetę Kraju (bez żadnych zastrzeżeń). | |||
W związku z uniemożliwieniem przeprowadzenia kontroli przetwarzania przez Głównego Geodetę Kraju danych osobowych z ewidencji gruntów i budynków w portalu GEOPORTAL2, wszczęte zostało z urzędu niniejsze postępowanie w przedmiocie nałożenia na Głównego Geodetę Kraju administracyjnej kary pieniężnej za naruszenie art. 31 oraz art. 58 ust. 1 lit. e) i f) Rozporządzenia 2016/679, polegające na braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań, uniemożliwieniu przeprowadzenia kontroli w zakresie przetwarzania danych osobowych, a także niezapewnieniu Prezesowi UODO dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych, oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań. | |||
O wszczęciu postępowania i o zgromadzeniu materiału dowodowego w sprawie, Główny Geodeta Kraju poinformowany został pismem z […] marca 2020 r., doręczonym mu drogą elektroniczną za pośrednictwem platformy ePUAP. | |||
Pismem z […] kwietnia 2020 r. (doręczonym Prezesowi UODO […] kwietnia 2020 r.) pełnomocnik Głównego Geodety Kraju wniósł o umożliwienie pełnomocnikom Głównego Geodety Kraju wglądu w akta sprawy oraz sporządzenie ich fotokopii, ewentualnie o udostępnienie kopii całości akt sprawy drogą elektroniczną. W odpowiedzi na wniosek, kopie całości akt sprawy przedstawione zostały pełnomocnikowi Głównego Geodety Kraju drogą pocztową, pismem z […] maja 2020 r., doręczonym pełnomocnikowi […] maja 2020 r. | |||
Pismem z […] maja 2020 r. (doręczonym Prezesowi UODO […] maja 2020 r.) pełnomocnik Głównego Geodety Kraju przedstawił stanowisko Głównego Geodety Kraju, wskazując, że „wszczęcie i prowadzenie postępowania przez Prezesa UODO w niniejszej sprawie jest bezprzedmiotowe i z tego powodu powinno zostać umorzone w całości”. Pełnomocnik Głównego Geodety Kraju podniósł w szczególności, że: | |||
„Zakres prowadzonej kontroli był bezprzedmiotowy, ponieważ dotyczył wykorzystywania informacji, które nie stanowią danych osobowych, oraz co do których Główny Geodeta Kraju nie decyduje o celach i sposobach przetwarzania (nie mógłby więc mieć statusu administratora danych). GKK nie udaremnił przeprowadzenia kontroli, a jedynie zakwestionował zakres prowadzenia kontroli, który miał dotyczyć przetwarzania danych osobowych w postaci numeru księgi wieczystej." | |||
„Kontrola […] prowadzona była nie u Głównego Geodety Kraju, ale w Głównym Urzędzie Geodezji i Kartografii, który z punktu widzenia przepisów RODO jest odrębnym administratorem danych osobowych.” | |||
„Prezes UODO bezpodstawnie uznał, że Główny Geodeta Kraju – który brał udział w postępowaniu kontrolnym jako osoba reprezentująca kontrolowanego, tj. Główny Urząd Geodezji i Kartografii – nie współpracował z Prezesem UODO w ramach wykonywania przez niego zadań”. | |||
„Prezes UODO bezpodstawnie uznał, że Główny Geodeta Kraju uniemożliwił przeprowadzenie kontroli w zakresie przetwarzania danych osobowych u podmiotu kontrolowanego, tj. w Głównym Urzędzie Geodezji i Kartografii.” | |||
„Prezes UODO bezpodstawnie uznał, że Główny Geodeta Kraju nie zapewnił Prezesowi UODO dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych w związku z kontrolą prowadzoną w Głównym Urzędzie Geodezji i Kartografii, a także nie zapewnił dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego zadań.” | |||
„W konsekwencji powyższego, Prezes UODO bezpodstawnie uznał, że GGK mógł naruszyć art. 31 oraz art. 58 ust. 1 lit. e) i f) RODO.” | |||
Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie, Prezes UODO zważył, co następuje. | |||
Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – ma za zadanie na swoim terytorium monitorować oraz egzekwować stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO ma za zadanie m.in. prowadzić postępowania w sprawie stosowania Rozporządzenia 2016/679 (art. 57 ust. 1 lit. f). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a), uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e) oraz uprawnienie do uzyskania dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego (art. 58 ust. 1 lit. f). Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez organ publiczny będący administratorem lub podmiotem przetwarzającym dostępu do danych i informacji, o których mowa powyżej, skutkującym naruszeniem uprawnień organu określonych w art. 58 ust. 1 Rozporządzenia 2016/679 (w tym uprawnień do uzyskania danych osobowych i informacji niezbędnych do realizacji jego zadań oraz do uzyskania dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych), podlegać zaś może – zgodnie z art. 83 ust. 5 lit e) in fine Rozporządzenia 2016/679 w związku z art. 102 ust. 1 i 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „u.o.d.o.” – administracyjnej karze pieniężnej w wysokości do 100 000 złotych. | |||
Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679. Niewywiązanie się z tego obowiązku również zagrożone jest - zgodnie z art. 83 ust. 4 lit. a)Rozporządzenia 2016/679 w związku z art. 102 ust. 1 i 3 u.o.d.o. – administracyjną karą pieniężną w wysokości do 100 000 złotych. | |||
Wskazaną w art. 58 ust. 1 lit. f) Rozporządzenia 2016/679 „procedurą określoną w prawie unijnym lub w prawie państwa członkowskiego” służącą realizacji uprawnienia organu nadzorczego do uzyskania dostępu do pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, jest na gruncie prawa polskiego, opisana w Rozdziale 9 u.o.d.o. (art. 78 - 91), procedura „kontroli przestrzegania przepisów o ochronie danych osobowych”. Zgodnie z art. 78 u.o.d.o. Prezes UODO przeprowadza kontrolę przestrzegania przepisów o ochronie danych osobowych (ust. 1), a kontrola ta prowadzona być może „zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli lub na podstawie uzyskanych przez Prezesa Urzędu informacji lub w ramach monitorowania przestrzegania stosowania rozporządzenia 2016/679” (ust. 2). Kontrolującym (upoważnionym pracownikom Urzędu Ochrony Danych Osobowych) przysługuje – o czym stanowi art. 84 ust. 1 u.o.d.o. – prawo: 1. wstępu w godzinach od 6.00 do 22.00 na grunt oraz do budynków, lokali lub innych pomieszczeń, 2. wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli, 3. przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych, 4. żądania złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchania w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego, 5. zlecania sporządzania ekspertyz i opinii. Kontrolujący ustala stan faktyczny na podstawie dowodów zebranych (z wykorzystaniem wskazanych powyżej uprawnień) w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń (art. 87 u.o.d.o.). | |||
Odnosząc wyżej przytoczone przepisy do stanu faktycznego niniejszej sprawy, stwierdzić należy, że Prezes UODO miał uprawnienie do wszczęcia i przeprowadzenia u Głównego Geodety Kraju kontroli przetwarzania danych osobowych; miał również uzasadnienie dla dokonania ustaleń w tego rodzaju postępowaniu (postępowaniu kontrolnym uregulowanym w rozdziale 9 u.o.d.o.). | |||
Uprawnienia kontrolne Prezesa UODO sformułowane zostały - w przytoczonych powyżej przepisach Rozporządzenia 2016/679 oraz u.o.d.o. – szeroko; ich stosowanie ograniczone jest jedynie celem – sprawdzeniem czy przestrzegane są przepisy o ochronie danych osobowych. Warto zwrócić uwagę, że warunkiem przeprowadzenia takiej kontroli nie jest nawet uzasadnione podejrzenie stwierdzenia naruszenia. Ustawodawca wyraźnie dopuszcza w art. 78 ust. 2 u.o.d.o. możliwość przeprowadzania kontroli „zgodnie z […] planem kontroli”, a więc bez wcześniejszych informacji wskazujących na nieprawidłowości w zakresie przetwarzania danych osobowych mających miejsce w konkretnym podmiocie, a nawet bez informacji wskazujących na to czy dany podmiot w ogóle przetwarza dane osobowe (kontrola takiego podmiotu w pierwszej kolejności musiałaby jednak ustalić taką okoliczność – przed podjęciem dalszych ustaleń dotyczących np. legalności i zgodności z prawem przetwarzania). Ogólne i szerokie określenie zadania, do realizacji którego zobowiązany jest Prezes UODO („monitorowanie i egzekwowanie stosowania rozporządzenia”, o którym mowa w art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, „kontrola przestrzegania przepisów o ochronie danych osobowych”, o której mowa w art. 78 ust. 1 u.o.d.o.) pozostawia Prezesowi UODO swobodę określania zarówno kręgu podmiotów kontrolowanych, jak i zakresu przeprowadzanych kontroli. Zadanie to należy bowiem rozumieć szeroko – nie tylko jako sprawdzenie czy konkretny podmiot w konkretnej sprawie narusza w konkretny sposób przepisy o ochronie danych osobowych, ale także jako zadanie podejmowane w celu zidentyfikowania rodzajów, obszarów występowania i skali problemów związanych ze stosowaniem przepisów o ochronie danych osobowych (w szczególności Rozporządzenia 2016/679), ich eliminowania oraz zapobiegania im na przyszłość. W kontekście swobody pozostawionej Prezesowi UODO w określeniu podmiotu poddanego kontroli i zakresu tej kontroli stwierdzić należy, że w niniejszej sprawie Prezes UODO miał szczególnie uzasadnioną podstawę do wszczęcia i przeprowadzenia u Głównego Geodety Kraju kontroli w zakresie, który uznał za niezbędny dla realizacji zadania monitorowania stosowania Rozporządzenia 2016/679. Wskutek kontroli przeprowadzonej w dniach […] lutego 2020 r. w Starostwie Powiatowym w J. (sygn. akt kontroli […]) pozyskał bowiem informację o przekazywaniu Głównemu Geodecie Kraju przez Starostę J. danych osobowych z ewidencji gruntów i budynków (w tym numerów ksiąg wieczystych) i dalszym przetwarzaniu ich (udostępnianiu) za pośrednictwem portalu GEOPORTAL2. Sam fakt dysponowania tymi danymi przez Głównego Geodetę Kraju stanowi wystarczającą podstawę przeprowadzenia u niego kontroli mającej na celu – o czym mówi art. 87 u.o.d.o. – jedynie zebranie dowodów pozwalających ustalić stan faktyczny sprawy (a nie ocenę prawną tego stanu, która – w przypadku podejrzenia zaistnienia naruszenia – następuje w odrębnym postępowaniu administracyjnym). Z tak rozumianej istoty kontroli wynika, że podmiot kontrolowany nie może kwestionować – na etapie wszczęcia i prowadzenia kontroli – jej zasadności oraz jej zakresu. Jak słusznie zauważył Naczelny Sąd Administracyjny w wyroku z dnia 3 marca 2016 r. w sprawie o sygn. II OSK 1667/14 (dotyczącym wymierzenia przez Głównego Inspektora Sanitarnego, na gruncie ustawy z dnia 25 sierpnia 2006 r. o bezpieczeństwie żywności i żywienia (Dz. U. z 2019 r. poz. 1252 ze zm.), kary pieniężnej w związku z uniemożliwieniem przeprowadzenia urzędowej kontroli żywności): „Ma rację sąd I instancji oraz kontrolowane w postępowaniu sądowoadministracyjnym organy iż poddany badaniu zakład nie jest uprawniony do decydowania o zakresie kontroli. Jest to wyłączna domena jednostek kontrolujących.” (Lex nr 2113109). Stwierdzenie to – w ocenie Prezesa UODO – ma znaczenie ogólne i znajduje zastosowanie również w odniesieniu do kontroli przestrzegania przepisów o ochronie danych osobowych. Miejscem na kwestionowanie oceny prawnej stanu faktycznego sprawy (a do tego w niniejszej sprawie sprowadza się w istocie kwestionowanie przez Głównego Geodetę Kraju zakresu kontroli, związane z twierdzeniem, że numer księgi wieczystej nie stanowi danej osobowej) jest ewentualne postępowanie w przedmiocie naruszenia, wszczęte w oparciu o dowody zebrane w trakcie postępowania kontrolnego. | |||
Jak zostało wykazane wyżej, uprawnienia kontrolne Prezesa UODO ograniczone są celem kontroli, którym jest sprawdzenie przestrzegania przepisów o ochronie danych osobowych. Stanowisko Głównego Geodety Kraju wyrażone w trakcie kontroli, a rozwinięte w piśmie jego pełnomocnika z […] maja 2020 r., jakoby dane w postaci numerów ksiąg wieczystych nie stanowiły danych osobowych, jest w istocie twierdzeniem, że kontrola (w zakresie określonym w punktach 1-5 imiennych upoważnień kontrolujących) nie mieściła się w tym celu. Takie twierdzenie stanowczo należy uznać za błędne. Nie przesądzając w niniejszej decyzji o kwalifikacji tych danych jako danych osobowych w rozpatrywanym przypadku, wskazać należy, że w momencie wszczęcia kontroli Prezes UODO miał co najmniej uzasadnione podstawy do przyjęcia takiej kwalifikacji. Uzasadnienie to wynikało z konsekwentnie zajmowanego stanowiska Prezesa UODO, a wcześniej Generalnego Inspektora Ochrony Danych Osobowych, a także stanowiska doktryny oraz orzecznictwa sądów administracyjnych (vide wyrok NSA z 18 lutego 2014 r. sygn. I OSK 1839/12 – LEX nr 1449867, wyrok NSA z 26 września 2018 r. sygn. I OSK 276/17 – LEX nr 2737936, wyrok NSA z 26 września 2018 r. sygn. I OSK 11/17 – LEX nr 2573629). Za niedopuszczalne w związku z powyższym należy uznać działania Głównego Geodety Kraju mające na celu udaremnienie lub utrudnienie kontroli, w szczególności gdy działania te oparte są wyłącznie na subiektywnej ocenie prawnej kontrolowanego (nawet jeśli są one wsparte wybranymi, niereprezentatywnymi głosami doktryny i orzeczeniami sądowymi). Takie działanie prowadziłoby do nieakceptowalnej sytuacji, polegającej na tym, że uniemożliwiając ustalenia stanu faktycznego sprawy, kontrolowany odbiera niezależnemu organowi kontrolującemu możliwość dokonania własnej, rzetelnej i wszechstronnej oceny prawnej sytuacji, która to ocena mogłaby być poddana w razie konieczności późniejszej weryfikacji przez właściwe organy sądowoadministracyjne. | |||
Podobnie do powyższej argumentacji Głównego Geodety Kraju należy ocenić przedstawione przez jego pełnomocnika w piśmie z […] maja 2020 r. stanowisko, jakoby „zakres prowadzonej kontroli był bezprzedmiotowy, ponieważ dotyczył wykorzystywania informacji […] co do których Główny Geodeta Kraju nie decyduje o celach i sposobach przetwarzania (nie mógłby więc mieć statusu administratora danych)”. Ocena czy Główny Geodeta Kraju pełni w procesie przetwarzania danych w portalu GEOPRTAL2 rolę administratora (czy też może współadministratora, ewentualnie podmiotu przetwarzającego) stanowi element stanu faktycznego, który miał zostać ustalony w toku kontroli. W momencie wszczęcia kontroli Prezes UODO dysponował informacjami, że w portalu GEOPORTAL2, którego administratorem jest Główny Geodeta Kraju przetwarzane są informacje stanowiące (lub mogące stanowić) dane osobowe, w szczególności numery ksiąg wieczystych przypisane do prezentowanych w portalu nieruchomości. Powyższe potwierdzone zostało wynikami kontroli przeprowadzonej w Starostwie Powiatowym w J. (sygn. akt kontroli […]), z których wynikało, że Główny Geodeta Kraju pozyskiwał z ewidencji gruntów i budynków, prowadzonej przez Starostę J., dane (w tym numery ksiąg wieczystych) celem ich dalszego przetwarzania za pośrednictwem portalu GEOPORTAL2. Dodatkowo jeszcze wskazać warto, że w Regulaminie serwisu www.geoportal.gov.pl (zamieszczonego na stronie internetowej www.geoportal.gov.pl.) znajduje się informacja wprost wskazująca, że administratorem danych osobowych przetwarzanych w portalu GEOPORTAL2 jest Główny Geodeta Kraju („Administratorem Pani/Pana danych osobowych jest Główny Geodeta Kraju z siedzibą w Warszawie, ul. Wspólna 2, 00-926 Warszawa”). Takie informacje uzasadniały właśnie potrzebę przeprowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych, m.in. w celu ustalenia roli Głównego Geodety Kraju w tym procesie przetwarzania danych. Stanowisko Głównego Geodety Kraju, przedstawione w piśmie jego pełnomocnika z […] maja 2020 r., zakłada ponadto błędnie, że podmiotem podlegającym kontroli Prezesa UODO może być jedynie podmiot decydujący o celach i sposobach przetwarzania czyli administrator (którym on – we własnej ocenie – w rozpatrywanej sprawie nie jest). Główny Geodeta Kraju wydaje się nie zauważać, że obowiązek zapewnienia dostępu do danych osobowych i informacji niezbędnych do realizacji zadań Prezesa UODO oraz dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych, o którym to obowiązku mowa jest w art. 58 ust 1 lit. e) i f), spoczywa nie tylko na administratorze, ale i na współadministratorze oraz na podmiocie przetwarzającym dane osobowe. Zaprzeczając swojej roli administratora, Główny Geodeta Kraju zdaje się nie wykluczać, że przetwarza dane osobowe pochodzące z ewidencji gruntów i budynków jako podmiot przetwarzający - w imieniu administratorów (starostów), na podstawie umów, które w istocie można by ocenić jako umowy, o których mowa w art. 28 ust. 3 Rozporządzenia 2016/679). Powyższy brak pewności co do roli pełnionej w procesie przetwarzania w portalu GEOPORTAL2 danych pozyskanych z ewidencji gruntów i budynków, który mógłby zostać usunięty w toku przeprowadzonej kontroli, świadczy o zasadności przeprowadzenia u Głównego Geodety Kraju kontroli w pełnym – określonym w upoważnieniach imiennych kontrolujących – zakresie. Podobnie, jeśli chodzi o określony w art. 31 Rozporządzenia 2016/679 obowiązek współpracy z organem nadzorczym, to skierowany on jest nie tylko do administratora, ale i do podmiotu przetwarzającego. | |||
Odnosząc się do ostatniego, przedstawionego przez pełnomocnika Głównego Geodety Kraju w piśmie z […] maja 2020 r., aspektu uzasadniającego – w jego ocenie – odmowę wyrażenia zgody na przeprowadzenie przez Prezesa UODO kontroli, to jest do stwierdzenia, że „kontrola […] prowadzona była nie u Głównego Geodety Kraju, ale w Głównym Urzędzie Geodezji i Kartografii, który z punktu widzenia przepisów RODO jest odrębnym administratorem danych osobowych”, zauważyć należy, że opiera się on jedynie na okoliczności, że w kilku miejscach w dokumentach dotyczących kontroli (w upoważnieniach imiennych kontrolujących, protokole kontroli oraz wnioskach z kontroli) Prezes UODO wskazał Główny Urząd Geodezji i Kartografii jak miejsce, w których miały być (były) przeprowadzone czynności kontrolne w związku z tym, że to w Głównym Urzędzie Geodezji i Kartografii jako jednostce organizacyjnej, przy pomocy której Główny Geodeta Kraju realizuje swoje zadania, znajdują się dane osobowe oraz źródła informacji, pomieszczenia, sprzęt i środki służące przetwarzaniu danych osobowych, do których dostęp niezbędny był Prezesowi UODO celem zebrania dowodów w sprawie. Analiza całości treści dokumentów dotyczących kontroli (w szczególności tych przygotowujących kontrolę – zawiadomienia o kontroli z […] marca 2020 r. oraz upoważnień imiennych kontrolujących z […] marca 2020 r.) wskazuje jednoznacznie, że cel kontroli związany był z realizacją ustawowego zadania Głównego Geodety Kraju jakim jest stworzenie i utrzymywanie portalu GEOPORTAL2. Świadczą o tym takie sformułowania jak: „zakresem kontroli objęte zostanie udostępnianie przez Głównego Geodetę Kraju…”, „proszę o przygotowanie dokumentacji dotyczącej przetwarzania danych osobowych przez Głównego Geodetę Kraju.” (oba z zawiadomienia o kontroli), „kontrola obejmie udostępnianie przez Głównego Geodetę Kraju…”, „czy Główny Geodeta Kraju wdrożył odpowiednie środki techniczne i organizacyjne…”, „czy Główny Geodeta Kraju wyznaczył inspektora ochrony danych…” (trzy ostatnie z upoważnień imiennych kontrolujących). Jak wskazał sam pełnomocnik Głównego Geodety Kraju w piśmie z […] maja 2020 r. zadanie stworzenia i utrzymywania portalu GEOPORTAL2 sformułowane zostało w przepisach art. 5 ustawy z dnia 17 maja 1989 r. Prawo geodezyjne i kartograficzne (Dz. U. z 2020 r. poz. 276 ze zm.) oraz art. 13 ust. 1 ustawy z dnia 4 marca 2010 r. o infrastrukturze informacji przestrzennej (Dz. U. z 2020 r. poz. 177 ze zm.). Ten ostatni przepis stanowi, że Główny Geodeta Kraju tworzy i utrzymuje geoportal infrastruktury informacji przestrzennej jako centralny punkt dostępu do usług dotyczących zbiorów i usług danych przestrzennych; nie przewiduje natomiast żadnego udziału w tym zadaniu dla Głównego Urzędu Geodezji i Kartografii. Powyższy zapis określający kompetencje i odpowiedzialność w zakresie funkcjonowania portalu GEOPORTAL2, w połączeniu ze wskazywanym przez Prezesa UODO przedmiotem i zakresem kontroli, nie powinien pozostawiać (szczególnie centralnemu organowi właściwemu w sprawach geodezji i kartografii) żadnych wątpliwości co do określenia podmiotu podlegającego kontroli. Podkreślić należy dodatkowo, że Główny Geodeta Kraju, zarówno w momencie rozpoczęcia kontroli, jak i w jej trakcie nie podnosił żadnych zastrzeżeń co do wskazania podmiotu kontrolowanego, chociaż miał taką możliwość (składając na upoważnienia imiennych kontrolujących oświadczenie o braku zgody na przeprowadzenie kontroli, składając takie zastrzeżenia do protokołu przesłuchania w charakterze świadka czy też w formie zastrzeżenia do protokołu kontroli). W ocenie Prezesa UODO zastrzeżenie co do wskazania podmiotu kontrolowanego sformułowane zostało przez Głównego Geodetę Kraju post factum – wyłącznie na potrzeby uzasadnienia dokonanego przez siebie naruszenia przepisów o ochronie danych osobowych. | |||
Podsumowując powyższe rozważania stwierdzić należy, że przedstawione przez Głównego Geodetę Kraju w trakcie kontroli, a rozwinięte przez jego pełnomocnika w stanowisku przedstawionym Prezesowi UODO w piśmie z […] maja 2020 r., uzasadnienie odmowy wyrażenia zgody na przeprowadzenie kontroli przetwarzania przez niego danych osobowych, nie zasługuje w żadnym punkcie na akceptację. Prezes UODO miał prawo i uzasadnienie dla przeprowadzenia kontroli u Głównego Geodety Kraju. Zakres tej kontroli mieścił się w celach określonych w art. 57 ust. 1 lit. a) Rozporządzenia 2016/679 („monitorowanie i egzekwowanie stosowania rozporządzenia”) oraz w art. 78 ust. 1 u.o.d.o. („kontrola przestrzegania przepisów o ochronie danych osobowych”). Działanie Głównego Geodety Kraju jako kontrolowanego polegające na odmowie wyrażenia zgody na przeprowadzenie kontroli w zakresie określonym w punktach 1-5 upoważnień imiennych kontrolowanych uniemożliwiło w pełnym zakresie przeprowadzenie czynności kontrolnych w tym obszarze (w szczególności oględzin systemów informatycznych i teleinformatycznych, w których przetwarzane przez Głównego Geodetę Kraju są dane osobowe, odebrania w tym zakresie wyjaśnień Głównego Geodety Kraju, odebrania wyjaśnień i zeznań pracowników Głównego Geodety Kraju, uzyskania wglądu w dokumenty stanowiące podstawę pozyskiwania danych osobowych przetwarzanych w portalu GEOPORTAL2 – np. umów łączących Głównego Geodetę Kraju ze starostami). Odmowa Głównego Geodety Kraju na przeprowadzenie kontroli w zakresie określonym w punktach 1-5 upoważnień imiennych kontrolowanych, oznaczająca deklarację braku jakiejkolwiek współpracy z kontrolującymi w tym zakresie, spowodowała odstąpienie przez kontrolujących od czynności w tym zakresie. Naczelny Sąd Administracyjny w przywołanym już powyżej wyroku z dnia 3 marca 2016 r. w sprawie o sygn. II OSK 1667/14 słusznie wskazał, że: „zgodzić za to należy się ze stanowiskiem, iż aby kontrola mogła osiągnąć swój cel wymaga to przynajmniej minimalnego stopnia współdziałania ze strony kontrolowanego. Przy czym współdziałanie winno dotyczyć pełnego zakresu uprawnień przysługujących organom.” W niniejszej sprawie brak było jakiejkolwiek współpracy ze strony Głównego Geodety Kraju w zakresie kontroli, który sam, w sposób arbitralny, uznał za bezpodstawny. | |||
Odnosząc powyższe ustalenia do obowiązków nałożonych przepisami Rozporządzenia 2016/679 na administratora i podmiot przetwarzający, a dotyczących ich stosunku do organu nadzorczego, należy stwierdzić, że Główny Geodeta Kraju, w trakcie postępowania kontrolnego o sygn. […], swoim działaniem naruszył: | |||
1. | art. 58 ust. 1 lit. e) Rozporządzenia 2016/679 nakładający na niego obowiązek zapewnienia Prezesowi UODO dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji jego zadań, | ||
art. 58 ust. 1 lit. f) Rozporządzenia 2016/679 nakładający na niego obowiązek zapewnienia Prezesowi dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego, | |||
art. 31 Rozporządzenia 2016/679 nakładający na niego obowiązek współpracy z Prezesem UODO, na jego żądanie, w ramach wykonywania przez niego jego zadań. | |||
W związku z powyższymi naruszeniami przepisów Rozporządzenia 2016/679, Prezes UODO stwierdza, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Głównego Geodetę Kraju – na mocy art. 83 ust. 4 lit. a) oraz art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej kary pieniężnej w związku z niezapewnieniem przez Głównego Geodetę Kraju dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, a także z brakiem współpracy z Prezesem UODO w trakcie tej kontroli. | |||
Stosownie do treści art. 83 ust. 2 Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym w każdym przypadku na szereg okoliczności wymienionych w punktach od a) do k) wskazanego wyżej przepisu. Decydując o nałożeniu w niniejszej sprawie na Głównego Geodetę Kraju administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął – spośród nich – pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia: | |||
Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679). | |||
Naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały Rozporządzeniem 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek współpracy z organami nadzorczymi oraz obowiązek zapewnienia tym organom dostępu do danych osobowych oraz innych informacji niezbędnych do realizacji ich zadań, a także dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych. Działania Głównego Geodety Kraju w trakcie kontroli o sygn. […], mające na celu udaremnienie jej przeprowadzenia w zakresie wskazanym w punktach 1-5 oraz w pkt 6 (w odniesieniu do środków technicznych wdrożonych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa) upoważnień imiennych kontrolujących, a skutkujące brakiem dostępu do dowodów wskazujących na legalność i zgodność z prawem przetwarzania przez Głównego Geodetę Kraju danych osobowych pochodzących z ewidencji gruntów i budynków, należy więc uznać za godzące w cały system ochrony danych osobowych, i z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez Głównego Geodetę Kraju naruszenie, jakkolwiek jednorazowe (miało miejsce w dniach […] marca 2020 r.), wywołało skutki trwające do chwili obecnej. Brak współpracy Głównego Geodety Kraju, wyrażający się w odmowie uznania prawa Prezesa UODO do dokonania kontroli zgodności z przepisami przetwarzania przez niego danych osobowych pochodzących z ewidencji gruntów i budynków w portalu GEOPRTAL2, jest aktualny, co potwierdza stanowisko Głównego Geodety Kraju wyrażone w piśmie jego pełnomocnika z dnia […] maja 2020 r. Jako obciążającą wskazać należy ponadto okoliczność, że naruszenia godzącego w uprawnienia organu publicznego jakim jest Prezes UODO dopuścił się inny organ publiczny – Główny Geodeta Kraju. Od organu publicznego, w ocenie Prezesa UODO, należy oczekiwać szczególnego, większego niż w przypadku podmiotów prywatnych, zrozumienia i szacunku dla działań podejmowanych przez inne organy w ramach ich ustawowo określonych zadań, oraz większego stopnia współpracy w realizacji tych zadań. | |||
Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) Rozporządzenia 2016/679). | |||
W ocenie Prezesa UODO po stronie Głównego Geodety Kraju istnieje intencjonalny brak woli współpracy w zapewnieniu organowi wszelkich informacji (dowodów) niezbędnych do ustalenia czy stanowiące przedmiot kontroli procesy przetwarzania danych mają podstawę prawną i przetwarzane są zgodnie z prawem. Brak zgody Głównego Geodety Kraju na przeprowadzenie kontroli i jego deklaracja braku współpracy w tym zakresie wyrażone zostały w sposób jednoznaczny i stanowczy. Argumentacja przedstawiona na uzasadnienie tego stanowiska Głównego Geodety Kraju jest zaś, jak zostało to wykazane powyżej, całkowicie niezasadna i – w ocenie Prezesa UODO – w dużym stopniu stworzona została post factum w celu usprawiedliwienia braku woli poddania się uzasadnionemu i zgodnemu z prawem badaniu niezależnego organu kontrolnego. Zważywszy, że Główny Geodeta Kraju jest podmiotem publicznym (a dodatkowo organem centralnym w strukturze służb geodezyjno-kartograficznych), podmiotem na dużą skalę przetwarzającym w ramach swoich kompetencji dane osobowe obywateli, przyjąć należy ponadto, że miał on (i ma do chwili obecnej) świadomość, że jego postępowanie może stanowić naruszenie przepisów Rozporządzenia 2016/679, i godzi się z tym stanem. | |||
Brak współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679). | |||
W toku niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej Główny Geodeta Kraju podtrzymał swój brak zgody na przeprowadzenie kontroli w kwestionowanym zakresie (oparty na stanowisku odmawiającym Prezesowi UODO prawa do zbadania procesów przetwarzania danych osobowych pochodzących z ewidencji gruntów i budynków w portalu GEOPORTAL2). Nie wyraził również w żadnym stopniu chęci współpracy z Prezesem UODO w celu usunięcia naruszenia, mogącej polegać w szczególności na udzieleniu pełnych i wyczerpujących wyjaśnień w zakresie, w którym doszło do udaremnienia kontroli. | |||
Pozostałe przesłanki wymiaru administracyjnej kary pieniężnej wskazane w art. 83. ust. 2 Rozporządzenia 2016/679 nie miały wpływu (obciążającego lub łagodzącego) na dokonaną przez Prezesa UODO ocenę naruszenia (w tym: wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego, sposób w jaki organ nadzorczy dowiedział się o naruszeniu, przestrzeganie wcześniej zastosowanych w tej samem sprawie środków, stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji) lub też, ze względu na specyficzny charakter naruszenia (dotyczącego stosunku administratora lub podmiotu przetwarzającego z organem nadzorczym, a nie stosunku administratora lub podmiotu przetwarzającego z osobą, której dane dotyczą), nie mogły być wzięte pod uwagą w niniejszej sprawie (w tym: liczba poszkodowanych osób oraz rozmiar poniesionej przez nie szkody, działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez podmioty danych, stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych przez niego środków technicznych i organizacyjnych, kategorie danych osobowych, których dotyczy naruszenie). | |||
Stosownie do brzmienia art. 83 ust. 1 Rozporządzenia 2016/679 nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. W ocenie Prezesa UODO kara nałożona na Głównego Geodetę Kraju w niniejszym postępowaniu spełnia te kryteria. Zdyscyplinuje Głównego Geodetę Kraju do prawidłowej współpracy z Prezesem UODO w postępowaniach prowadzonych w przyszłości przez Prezesa UODO z jego udziałem. Nałożona niniejszą decyzją kara w maksymalnej, określonej w art. 102 ust. 1 u.o.d.o., wysokości jest – w ocenie Prezesa UODO – uzasadniona i proporcjonalna do wagi stwierdzonego naruszenia. Kara ta spełni ponadto funkcję odstraszającą; będzie jasnym sygnałem zarówno dla Głównego Geodety Kraju jak i dla innych podmiotów zobowiązanych na mocy przepisów Rozporządzenia 2016/679 do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych ze współpracą z nim (w szczególności utrudnianie kontroli przestrzegania przepisów o ochronie danych osobowych) stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym. | |||
W niniejszej sprawie zastosowanie znajdują przepisy art. 102 ust. 1 i 3 u.o.d.o. zgodnie z którymi wysokość administracyjnej kary pieniężnej nakładanej – na podstawie i na warunkach określonych w art. 83 Rozporządzenia 2016/679 – na jednostkę sektora finansów publicznych w rozumieniu ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2019 r. poz. 869 ze zm.), ograniczona jest do kwoty 100 000 złotych. | |||
Mając powyższe na uwadze Prezes UODO orzekł jak w sentencji niniejszej decyzji. | |||
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325). Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej. | |||
Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000. Ponadto, zgodnie z art. 105 ust. 2 wskazanej wyżej ustawy Prezes UODO może, na uzasadniony wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes UODO nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2019 r. poz. 900, z późn. zm.), od dnia następującego po dniu złożenia wniosku. | |||
</pre> | </pre> | ||
Revision as of 11:54, 24 August 2020
| UODO - DKE.561.3.2020 | |
|---|---|
 | |
| Authority: | UODO (Poland) |
| Jurisdiction: | Poland |
| Relevant Law: | Article 31 GDPR Article 58(1) GDPR |
| Type: | Investigation |
| Outcome: | Violation Found |
| Started: | |
| Decided: | |
| Published: | |
| Fine: | None |
| Parties: | n/a |
| National Case Number/Name: | DKE.561.3.2020 |
| European Case Law Identifier: | n/a |
| Appeal: | n/a |
| Original Language(s): | Polish |
| Original Source: | Urzędu Ochrony Danych Osobowych - UODO (in PL) |
| Initial Contributor: | n/a |
The Surveyor General of Poland violated the provisions of the GDPR by failing to provide the supervisory authority during the conducted inspection with access to premises, data processing equipment and means, and access to personal data and information necessary for the President of the Office for the performance of its tasks.
English Summary
Facts
beginning of March 2020, the President of the Personal Data Protection Office decided on the necessity to perform an inspection of the processing by the Surveyor General of Poland on the portal GEOPORTAL2 of personal data from the poviat land and property registers, about which it informed GGK in the letter indicating the scope and the date of the inspection. In order to perform the inspection activities, the inspectors authorised by the President of the UODO presented their official identity cards and submitted personal authorisations containing information on the scope of the inspection to GGK. The Surveyor General of Poland did not allow for performing full inspection activities resulting from the submitted authorisations.
Dispute
GGK indicated that, according to its assessment, it was apparent from the scope of the inspection indicated in the authorisations that the inspection was to cover the numbers of land and property registers which, in its opinion, do not constitute personal data within the meaning of the provisions of the Geodetic (Surveying) and Cartographic Law.
Holding
THe UODO imposed an administrative fine in the amount of PLN 100 000 on the Surveyor General of Poland (Główny Geodeta Kraju, GGK), because due to the categorical lack of consent of GGK to carry out full inspection activities and the unambiguously expressed lack of will to cooperate, the inspectors could not determine how and on what legal ground the GEOPORTAL2 online portal (geoportal.gov.pl) enables access to personal data contained in land and property registers and whether GGK has implemented appropriate technical measures to ensure data security.
Comment
This summary is based on the English summary of the Polish Data Protection Authority, which can be found here: https://uodo.gov.pl/en/553/1146
Further Resources
Share blogs or news articles here!
English Machine Translation of the Decision
The decision below is a machine translation of the Polish original. Please refer to the Polish original for more details.
Warszawa, dnia 02 lipca 2020 r.
DECYZJA
DKE.561.3.2020
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2020 r. poz. 256) oraz art. 7 ust 1 i ust. 2, art. 60 i art. 102 ust. 1 pkt 1 i ust. 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781) w związku z art. 31, art. 57 ust. 1 lit. a), art. 58 ust 1 lit. e) i f) oraz art. 58 ust. 2 lit. i) w związku z art. 83 ust. 1 i 2, art. 83 ust. 4 lit. a) oraz art. 83 ust. 5 lit. e) rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.) (zwanego dalej „Rozporządzeniem 2016/679”), po przeprowadzeniu wszczętego z urzędu postępowania administracyjnego w sprawie nałożenia na Głównego Geodetę Kraju z siedzibą w Warszawie przy ul. Wspólnej 2, reprezentowanego przez adwokatów P. T. i S. K. (Kancelaria […]), administracyjnej kary pieniężnej, Prezes Urzędu Ochrony Danych Osobowych, stwierdzającnaruszenie przez Głównego Geodetę Kraju z siedzibą w Warszawie przy ul. Wspólnej 2, przepisów art. 31 oraz 58 ust. 1 lit. e) i f) Rozporządzenia 2016/679, polegające na niezapewnieniu Prezesowi Urzędu Ochrony Danych Osobowych, w trakcie kontroli przestrzegania przepisów o ochronie danych osobowych o sygn. […], dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi Urzędu Ochrony Danych Osobowych do realizacji jego zadań, a także na braku współpracy z Prezesem Urzędu Ochrony Danych Osobowych w trakcie tej kontroli,
nakłada na Głównego Geodetę Kraju z siedzibą w Warszawie przy ul. Wspólnej 2 administracyjną karę pieniężną w kwocie 100.000 złotych (słownie: sto tysięcy złotych).
UZASADNIENIE
W dniach […] lutego 2020 r. Prezes Urzędu Ochrony Danych Osobowych (zwany dalej „Prezesem UODO”) przeprowadził kontrolę przetwarzania danych osobowych w Starostwie Powiatowym w J. (sygn. akt kontroli […]). Kontrola dotyczyła udostępniania przez Starostę J., za pośrednictwem portalu internetowego GEOPORTAL2 (www.geoportal.gov.pl), danych osobowych z ewidencji gruntów i budynków prowadzonych przez starostów. W toku kontroli ustalono, że Starosta J. nie publikuje na tym portalu danych osobowych z ewidencji gruntów i budynków, lecz – na podstawie stosownego porozumienia – przekazuje je (w tym numery ksiąg wieczystych) Głównemu Geodecie Kraju, który następnie pozyskane dane udostępnia na portalu GEOPORTAL2. Z uwagi na powyższe Prezes UODO zdecydował o konieczności przeprowadzenia kontroli przetwarzania danych osobowych, w zakresie udostępniania za pośrednictwem portalu GEOPORTAL2 danych osobowych z ewidencji gruntów i budynków, u Głównego Geodety Kraju. O zaplanowanej na […] marca 2020 r. kontroli (oznaczonej sygn. akt […]), Główny Geodeta Kraju poinformowany został […] marca 2020 r. telefonicznie oraz pismem doręczonym tego dnia drogą elektroniczną (e-mail).
W dniu […] marca 2020 r. kontrolujący (upoważnieni przez Prezesa UODO pracownicy Urzędu Ochrony Danych Osobowych) udali się do Głównego Urzędu Geodezji i Kartografii celem rozpoczęcia zaplanowanej kontroli. Kontrolujący okazali Głównemu Geodecie Kraju legitymacje służbowe oraz przedłożyli imienne upoważnienia, w których w następujący sposób określony został szczegółowy zakres kontroli: „Kontrola obejmie udostępnianie przez Głównego Geodetę Kraju za pośrednictwem portalu internetowego GEOPORTAL2, danych osobowych z ewidencji gruntów i budynków, poprzez ustalenie:
Podstawy prawnej przetwarzania, w tym udostępniania danych osobowych.
Źródła pozyskania danych osobowych.
Zakresu i rodzaju udostępnianych danych osobowych.
Sposobu oraz celu udostępniania dennych osobowych.
Czy przetwarzania danych osobowych odbywa się na podstawie upoważnienia nadanego przez administratora danych osobowych lub podmiot przetwarzający (art. 29 rozporządzenia 2016/679).
Czy Główny Geodeta Kraju wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić odpowiedni stopień bezpieczeństwa danych objętych ochroną (art. 32, art.24 ust.1 i 2 rozporządzenia 2016/679).
Czy Główny Geodeta Kraju wyznaczył inspektora ochrony danych (art. 37 rozporządzenia 2016/679).”
Jak wynika ze sporządzonego […] marca 2020 r., podpisanego przez kontrolujących oraz przez Głównego Geodetę Kraju, protokołu kontroli, po okazaniu legitymacji i przedłożeniu upoważnień do przeprowadzenia kontroli, Główny Geodeta Kraju oświadczył, że nie podpisze przedłożonych upoważnień i odmawia wyrażenia zgody na przeprowadzenie czynności kontrolnych w zakresie wynikającym z przedłożonych upoważnień. Uzasadniając swoje stanowisko w tej sprawie wskazał, że według jego oceny z zakresu wskazanego w upoważnieniach kontrolujących wynika, że kontrola ma dotyczyć numeru księgi wieczystej, który to numer nie jest daną osobową w rozumieniu przepisów ustawy z dnia 17 maja 1989 r. Prawo geodezyjne i kartograficzne (Dz. U. z 2020 r. poz. 276 ze zm.), zwanej dalej „Prawem geodezyjnym i kartograficznym”. Na przedłożonych upoważnieniach Główny Geodeta Kraju zamieścił pisemną adnotację o treści: „Odmawiam wyrażenia zgody na przeprowadzenie czynności kontrolnych w zakresie przedstawionego upoważnienia (punkt od 1 do 5) ze względu na bezprzedmiotowość kontroli, co uzasadniam w piśmie […] z dnia […].03.2020 r. najkrócej wynika to z faktu, że zakres kontroli ma się skupić na numerze księgi wieczystej co nie jest daną osobową w rozumieniu przepisów Prawo geodezyjne i kartograficzne. Wnoszę o doprecyzowanie zakresu kontroli zgodnie z podstawą jej wszczęcia.” Główny Geodeta Kraju oświadczył następnie, że wyraża zgodę na przeprowadzenie czynności kontrolnych tylko w zakresie, jaki wynika z punktów 6 i 7 upoważnień imiennych kontrolujących. Dopiero wtedy podpisał upoważnienia imienne kontrolujących umieszczając przy podpisie adnotację „Podpisane zgodnie z oświadczeniem poniżej”. Zgodnie z przytoczonym wyżej oświadczeniem Główny Geodeta Kraju przedstawił do akt kontroli pismo o sygnaturze […], w którym wskazane zostały m.in. podstawy prawne zakwalifikowania numeru księgi wieczystej jako danej przedmiotowej, to jest art. 20 ust. 1 pkt 1 Prawa geodezyjnego i kartograficznego oraz § 73 rozporządzenia Ministra Rozwoju Regionalnego i Budownictwa z dnia 29 marca 2001 r. w sprawie ewidencji gruntów i budynków.
Wobec jednoznacznie wyrażonego braku zgody Głównego Geodety Kraju na przeprowadzenie czynności kontrolnych w zakresie określonym w puntach 1-5 upoważnień imiennych, kontrolujący odstąpili od czynności w tym zakresie, dokonując ustaleń jedynie w zakresie, o którym mowa w punktach 6 i 7 upoważnień. W zakresie kontroli, na który wyraził zgodę Główny Geodeta Kraju, kontrolujący m.in.:
przesłuchali w charakterze świadka Pana W. I. – Głównego Geodetę Kraju,
uzyskali kopię przykładowego porozumienia ze starostą w sprawie współpracy przy tworzeniu i utrzymywaniu wspólnych elementów infrastruktury technicznej dotyczących publikacji danych PZGiK,
uzyskali kopie dokumentów poświadczających wdrożone przez Głównego Geodetę Kraju ogólne (nie dotyczące szczególnie portalu GEOPRTAL2) środki organizacyjne mające na celu zapewnienie bezpieczeństwa danych objętych ochroną,
uzyskali kopie dokumentów potwierdzających wyznaczenie przez Głównego Geodetę Kraju Pana [...] na Inspektora Ochrony Danych w Głównym Urzędzie Geodezji i Kartografii,
przesłuchali w charakterze świadka Pana [...] – Głównego Specjalistę w Departamencie [...] w Głównym Urzędzie Geodezji i Kartografii,
uzyskali wydruk Regulaminu serwisu www.geoportal.gov.pl,
uzyskali kopie Rejestru czynności przetwarzania zawierającego analizę ryzyka oraz ocenę skutków dla ochrony danych oraz Rejestru kategorii czynności przetwarzania z analizą ryzyka.
W toku kontroli kontrolujący – ze względu na brak zgody Głównego Geodety Kraju – nie dokonali oceny wdrożonych środków technicznych mających na celu zapewnienie bezpieczeństwa danych objętych ochroną (w tym danych przetwarzanych za pośrednictwem portalu GEOPORTAL2), w szczególności nie dokonali oględzin miejsc, przedmiotów, urządzeń nośników oraz systemów informatycznych służących do przetwarzania danych. Ponadto – ze względu m.in. na odmowę Głównego Geodety Kraju podpisania protokołu zeznań składanych w dniu […] marca 2020 r. – kontrolujący nie uzyskali pełnych i wiążących, mających skutek prawny, wyjaśnień kontrolowanego w przedmiocie objętym zakresem kontroli.
Ze względu na niecelowość dalszej kontroli, spowodowaną brakiem zgody Głównego Geodety Kraju na czynności kontrolne dotyczące zakresu określonego w punktach 1-5 imiennych upoważnień kontrolujących, oraz brakiem współpracy z jego strony w tym zakresie, kontrolujący zdecydowali o zakończeniu w dniu […] marca 2020 r. kontroli. W tym dniu sporządzony został przez kontrolujących protokół kontroli, podpisany następnie przez Głównego Geodetę Kraju (bez żadnych zastrzeżeń).
W związku z uniemożliwieniem przeprowadzenia kontroli przetwarzania przez Głównego Geodetę Kraju danych osobowych z ewidencji gruntów i budynków w portalu GEOPORTAL2, wszczęte zostało z urzędu niniejsze postępowanie w przedmiocie nałożenia na Głównego Geodetę Kraju administracyjnej kary pieniężnej za naruszenie art. 31 oraz art. 58 ust. 1 lit. e) i f) Rozporządzenia 2016/679, polegające na braku współpracy z Prezesem UODO w ramach wykonywania przez niego jego zadań, uniemożliwieniu przeprowadzenia kontroli w zakresie przetwarzania danych osobowych, a także niezapewnieniu Prezesowi UODO dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych, oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań.
O wszczęciu postępowania i o zgromadzeniu materiału dowodowego w sprawie, Główny Geodeta Kraju poinformowany został pismem z […] marca 2020 r., doręczonym mu drogą elektroniczną za pośrednictwem platformy ePUAP.
Pismem z […] kwietnia 2020 r. (doręczonym Prezesowi UODO […] kwietnia 2020 r.) pełnomocnik Głównego Geodety Kraju wniósł o umożliwienie pełnomocnikom Głównego Geodety Kraju wglądu w akta sprawy oraz sporządzenie ich fotokopii, ewentualnie o udostępnienie kopii całości akt sprawy drogą elektroniczną. W odpowiedzi na wniosek, kopie całości akt sprawy przedstawione zostały pełnomocnikowi Głównego Geodety Kraju drogą pocztową, pismem z […] maja 2020 r., doręczonym pełnomocnikowi […] maja 2020 r.
Pismem z […] maja 2020 r. (doręczonym Prezesowi UODO […] maja 2020 r.) pełnomocnik Głównego Geodety Kraju przedstawił stanowisko Głównego Geodety Kraju, wskazując, że „wszczęcie i prowadzenie postępowania przez Prezesa UODO w niniejszej sprawie jest bezprzedmiotowe i z tego powodu powinno zostać umorzone w całości”. Pełnomocnik Głównego Geodety Kraju podniósł w szczególności, że:
„Zakres prowadzonej kontroli był bezprzedmiotowy, ponieważ dotyczył wykorzystywania informacji, które nie stanowią danych osobowych, oraz co do których Główny Geodeta Kraju nie decyduje o celach i sposobach przetwarzania (nie mógłby więc mieć statusu administratora danych). GKK nie udaremnił przeprowadzenia kontroli, a jedynie zakwestionował zakres prowadzenia kontroli, który miał dotyczyć przetwarzania danych osobowych w postaci numeru księgi wieczystej."
„Kontrola […] prowadzona była nie u Głównego Geodety Kraju, ale w Głównym Urzędzie Geodezji i Kartografii, który z punktu widzenia przepisów RODO jest odrębnym administratorem danych osobowych.”
„Prezes UODO bezpodstawnie uznał, że Główny Geodeta Kraju – który brał udział w postępowaniu kontrolnym jako osoba reprezentująca kontrolowanego, tj. Główny Urząd Geodezji i Kartografii – nie współpracował z Prezesem UODO w ramach wykonywania przez niego zadań”.
„Prezes UODO bezpodstawnie uznał, że Główny Geodeta Kraju uniemożliwił przeprowadzenie kontroli w zakresie przetwarzania danych osobowych u podmiotu kontrolowanego, tj. w Głównym Urzędzie Geodezji i Kartografii.”
„Prezes UODO bezpodstawnie uznał, że Główny Geodeta Kraju nie zapewnił Prezesowi UODO dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych w związku z kontrolą prowadzoną w Głównym Urzędzie Geodezji i Kartografii, a także nie zapewnił dostępu do informacji niezbędnych Prezesowi UODO do realizacji jego zadań.”
„W konsekwencji powyższego, Prezes UODO bezpodstawnie uznał, że GGK mógł naruszyć art. 31 oraz art. 58 ust. 1 lit. e) i f) RODO.”
Po rozpatrzeniu całości materiału dowodowego zebranego w sprawie, Prezes UODO zważył, co następuje.
Zgodnie z art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, Prezes UODO – jako organ nadzorczy w rozumieniu art. 51 Rozporządzenia 2016/679 – ma za zadanie na swoim terytorium monitorować oraz egzekwować stosowanie tego rozporządzenia. W ramach swoich kompetencji Prezes UODO ma za zadanie m.in. prowadzić postępowania w sprawie stosowania Rozporządzenia 2016/679 (art. 57 ust. 1 lit. f). Dla umożliwienia realizacji tak określonych zadań Prezesowi UODO przysługuje szereg określonych w art. 58 ust. 1 Rozporządzenia 2016/679 uprawnień w zakresie prowadzonych postępowań, w tym uprawnienie do nakazania administratorowi i podmiotowi przetwarzającemu dostarczenia wszelkich informacji potrzebnych do realizacji jego zadań (art. 58 ust. 1 lit. a), uprawnienie do uzyskania od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań (art. 58 ust. 1 lit. e) oraz uprawnienie do uzyskania dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego (art. 58 ust. 1 lit. f). Naruszenie przepisów Rozporządzenia 2016/679, polegające na niezapewnieniu przez organ publiczny będący administratorem lub podmiotem przetwarzającym dostępu do danych i informacji, o których mowa powyżej, skutkującym naruszeniem uprawnień organu określonych w art. 58 ust. 1 Rozporządzenia 2016/679 (w tym uprawnień do uzyskania danych osobowych i informacji niezbędnych do realizacji jego zadań oraz do uzyskania dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych), podlegać zaś może – zgodnie z art. 83 ust. 5 lit e) in fine Rozporządzenia 2016/679 w związku z art. 102 ust. 1 i 3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781), zwanej dalej „u.o.d.o.” – administracyjnej karze pieniężnej w wysokości do 100 000 złotych.
Wskazać należy ponadto, że administrator i podmiot przetwarzający obowiązani są współpracować z organem nadzorczym w ramach wykonywania przez niego zadań, o czym stanowi art. 31 Rozporządzenia 2016/679. Niewywiązanie się z tego obowiązku również zagrożone jest - zgodnie z art. 83 ust. 4 lit. a)Rozporządzenia 2016/679 w związku z art. 102 ust. 1 i 3 u.o.d.o. – administracyjną karą pieniężną w wysokości do 100 000 złotych.
Wskazaną w art. 58 ust. 1 lit. f) Rozporządzenia 2016/679 „procedurą określoną w prawie unijnym lub w prawie państwa członkowskiego” służącą realizacji uprawnienia organu nadzorczego do uzyskania dostępu do pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, jest na gruncie prawa polskiego, opisana w Rozdziale 9 u.o.d.o. (art. 78 - 91), procedura „kontroli przestrzegania przepisów o ochronie danych osobowych”. Zgodnie z art. 78 u.o.d.o. Prezes UODO przeprowadza kontrolę przestrzegania przepisów o ochronie danych osobowych (ust. 1), a kontrola ta prowadzona być może „zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli lub na podstawie uzyskanych przez Prezesa Urzędu informacji lub w ramach monitorowania przestrzegania stosowania rozporządzenia 2016/679” (ust. 2). Kontrolującym (upoważnionym pracownikom Urzędu Ochrony Danych Osobowych) przysługuje – o czym stanowi art. 84 ust. 1 u.o.d.o. – prawo: 1. wstępu w godzinach od 6.00 do 22.00 na grunt oraz do budynków, lokali lub innych pomieszczeń, 2. wglądu do dokumentów i informacji mających bezpośredni związek z zakresem przedmiotowym kontroli, 3. przeprowadzania oględzin miejsc, przedmiotów, urządzeń, nośników oraz systemów informatycznych lub teleinformatycznych służących do przetwarzania danych, 4. żądania złożenia pisemnych lub ustnych wyjaśnień oraz przesłuchania w charakterze świadka osoby w zakresie niezbędnym do ustalenia stanu faktycznego, 5. zlecania sporządzania ekspertyz i opinii. Kontrolujący ustala stan faktyczny na podstawie dowodów zebranych (z wykorzystaniem wskazanych powyżej uprawnień) w postępowaniu kontrolnym, a w szczególności dokumentów, przedmiotów, oględzin oraz ustnych lub pisemnych wyjaśnień i oświadczeń (art. 87 u.o.d.o.).
Odnosząc wyżej przytoczone przepisy do stanu faktycznego niniejszej sprawy, stwierdzić należy, że Prezes UODO miał uprawnienie do wszczęcia i przeprowadzenia u Głównego Geodety Kraju kontroli przetwarzania danych osobowych; miał również uzasadnienie dla dokonania ustaleń w tego rodzaju postępowaniu (postępowaniu kontrolnym uregulowanym w rozdziale 9 u.o.d.o.).
Uprawnienia kontrolne Prezesa UODO sformułowane zostały - w przytoczonych powyżej przepisach Rozporządzenia 2016/679 oraz u.o.d.o. – szeroko; ich stosowanie ograniczone jest jedynie celem – sprawdzeniem czy przestrzegane są przepisy o ochronie danych osobowych. Warto zwrócić uwagę, że warunkiem przeprowadzenia takiej kontroli nie jest nawet uzasadnione podejrzenie stwierdzenia naruszenia. Ustawodawca wyraźnie dopuszcza w art. 78 ust. 2 u.o.d.o. możliwość przeprowadzania kontroli „zgodnie z […] planem kontroli”, a więc bez wcześniejszych informacji wskazujących na nieprawidłowości w zakresie przetwarzania danych osobowych mających miejsce w konkretnym podmiocie, a nawet bez informacji wskazujących na to czy dany podmiot w ogóle przetwarza dane osobowe (kontrola takiego podmiotu w pierwszej kolejności musiałaby jednak ustalić taką okoliczność – przed podjęciem dalszych ustaleń dotyczących np. legalności i zgodności z prawem przetwarzania). Ogólne i szerokie określenie zadania, do realizacji którego zobowiązany jest Prezes UODO („monitorowanie i egzekwowanie stosowania rozporządzenia”, o którym mowa w art. 57 ust. 1 lit. a) Rozporządzenia 2016/679, „kontrola przestrzegania przepisów o ochronie danych osobowych”, o której mowa w art. 78 ust. 1 u.o.d.o.) pozostawia Prezesowi UODO swobodę określania zarówno kręgu podmiotów kontrolowanych, jak i zakresu przeprowadzanych kontroli. Zadanie to należy bowiem rozumieć szeroko – nie tylko jako sprawdzenie czy konkretny podmiot w konkretnej sprawie narusza w konkretny sposób przepisy o ochronie danych osobowych, ale także jako zadanie podejmowane w celu zidentyfikowania rodzajów, obszarów występowania i skali problemów związanych ze stosowaniem przepisów o ochronie danych osobowych (w szczególności Rozporządzenia 2016/679), ich eliminowania oraz zapobiegania im na przyszłość. W kontekście swobody pozostawionej Prezesowi UODO w określeniu podmiotu poddanego kontroli i zakresu tej kontroli stwierdzić należy, że w niniejszej sprawie Prezes UODO miał szczególnie uzasadnioną podstawę do wszczęcia i przeprowadzenia u Głównego Geodety Kraju kontroli w zakresie, który uznał za niezbędny dla realizacji zadania monitorowania stosowania Rozporządzenia 2016/679. Wskutek kontroli przeprowadzonej w dniach […] lutego 2020 r. w Starostwie Powiatowym w J. (sygn. akt kontroli […]) pozyskał bowiem informację o przekazywaniu Głównemu Geodecie Kraju przez Starostę J. danych osobowych z ewidencji gruntów i budynków (w tym numerów ksiąg wieczystych) i dalszym przetwarzaniu ich (udostępnianiu) za pośrednictwem portalu GEOPORTAL2. Sam fakt dysponowania tymi danymi przez Głównego Geodetę Kraju stanowi wystarczającą podstawę przeprowadzenia u niego kontroli mającej na celu – o czym mówi art. 87 u.o.d.o. – jedynie zebranie dowodów pozwalających ustalić stan faktyczny sprawy (a nie ocenę prawną tego stanu, która – w przypadku podejrzenia zaistnienia naruszenia – następuje w odrębnym postępowaniu administracyjnym). Z tak rozumianej istoty kontroli wynika, że podmiot kontrolowany nie może kwestionować – na etapie wszczęcia i prowadzenia kontroli – jej zasadności oraz jej zakresu. Jak słusznie zauważył Naczelny Sąd Administracyjny w wyroku z dnia 3 marca 2016 r. w sprawie o sygn. II OSK 1667/14 (dotyczącym wymierzenia przez Głównego Inspektora Sanitarnego, na gruncie ustawy z dnia 25 sierpnia 2006 r. o bezpieczeństwie żywności i żywienia (Dz. U. z 2019 r. poz. 1252 ze zm.), kary pieniężnej w związku z uniemożliwieniem przeprowadzenia urzędowej kontroli żywności): „Ma rację sąd I instancji oraz kontrolowane w postępowaniu sądowoadministracyjnym organy iż poddany badaniu zakład nie jest uprawniony do decydowania o zakresie kontroli. Jest to wyłączna domena jednostek kontrolujących.” (Lex nr 2113109). Stwierdzenie to – w ocenie Prezesa UODO – ma znaczenie ogólne i znajduje zastosowanie również w odniesieniu do kontroli przestrzegania przepisów o ochronie danych osobowych. Miejscem na kwestionowanie oceny prawnej stanu faktycznego sprawy (a do tego w niniejszej sprawie sprowadza się w istocie kwestionowanie przez Głównego Geodetę Kraju zakresu kontroli, związane z twierdzeniem, że numer księgi wieczystej nie stanowi danej osobowej) jest ewentualne postępowanie w przedmiocie naruszenia, wszczęte w oparciu o dowody zebrane w trakcie postępowania kontrolnego.
Jak zostało wykazane wyżej, uprawnienia kontrolne Prezesa UODO ograniczone są celem kontroli, którym jest sprawdzenie przestrzegania przepisów o ochronie danych osobowych. Stanowisko Głównego Geodety Kraju wyrażone w trakcie kontroli, a rozwinięte w piśmie jego pełnomocnika z […] maja 2020 r., jakoby dane w postaci numerów ksiąg wieczystych nie stanowiły danych osobowych, jest w istocie twierdzeniem, że kontrola (w zakresie określonym w punktach 1-5 imiennych upoważnień kontrolujących) nie mieściła się w tym celu. Takie twierdzenie stanowczo należy uznać za błędne. Nie przesądzając w niniejszej decyzji o kwalifikacji tych danych jako danych osobowych w rozpatrywanym przypadku, wskazać należy, że w momencie wszczęcia kontroli Prezes UODO miał co najmniej uzasadnione podstawy do przyjęcia takiej kwalifikacji. Uzasadnienie to wynikało z konsekwentnie zajmowanego stanowiska Prezesa UODO, a wcześniej Generalnego Inspektora Ochrony Danych Osobowych, a także stanowiska doktryny oraz orzecznictwa sądów administracyjnych (vide wyrok NSA z 18 lutego 2014 r. sygn. I OSK 1839/12 – LEX nr 1449867, wyrok NSA z 26 września 2018 r. sygn. I OSK 276/17 – LEX nr 2737936, wyrok NSA z 26 września 2018 r. sygn. I OSK 11/17 – LEX nr 2573629). Za niedopuszczalne w związku z powyższym należy uznać działania Głównego Geodety Kraju mające na celu udaremnienie lub utrudnienie kontroli, w szczególności gdy działania te oparte są wyłącznie na subiektywnej ocenie prawnej kontrolowanego (nawet jeśli są one wsparte wybranymi, niereprezentatywnymi głosami doktryny i orzeczeniami sądowymi). Takie działanie prowadziłoby do nieakceptowalnej sytuacji, polegającej na tym, że uniemożliwiając ustalenia stanu faktycznego sprawy, kontrolowany odbiera niezależnemu organowi kontrolującemu możliwość dokonania własnej, rzetelnej i wszechstronnej oceny prawnej sytuacji, która to ocena mogłaby być poddana w razie konieczności późniejszej weryfikacji przez właściwe organy sądowoadministracyjne.
Podobnie do powyższej argumentacji Głównego Geodety Kraju należy ocenić przedstawione przez jego pełnomocnika w piśmie z […] maja 2020 r. stanowisko, jakoby „zakres prowadzonej kontroli był bezprzedmiotowy, ponieważ dotyczył wykorzystywania informacji […] co do których Główny Geodeta Kraju nie decyduje o celach i sposobach przetwarzania (nie mógłby więc mieć statusu administratora danych)”. Ocena czy Główny Geodeta Kraju pełni w procesie przetwarzania danych w portalu GEOPRTAL2 rolę administratora (czy też może współadministratora, ewentualnie podmiotu przetwarzającego) stanowi element stanu faktycznego, który miał zostać ustalony w toku kontroli. W momencie wszczęcia kontroli Prezes UODO dysponował informacjami, że w portalu GEOPORTAL2, którego administratorem jest Główny Geodeta Kraju przetwarzane są informacje stanowiące (lub mogące stanowić) dane osobowe, w szczególności numery ksiąg wieczystych przypisane do prezentowanych w portalu nieruchomości. Powyższe potwierdzone zostało wynikami kontroli przeprowadzonej w Starostwie Powiatowym w J. (sygn. akt kontroli […]), z których wynikało, że Główny Geodeta Kraju pozyskiwał z ewidencji gruntów i budynków, prowadzonej przez Starostę J., dane (w tym numery ksiąg wieczystych) celem ich dalszego przetwarzania za pośrednictwem portalu GEOPORTAL2. Dodatkowo jeszcze wskazać warto, że w Regulaminie serwisu www.geoportal.gov.pl (zamieszczonego na stronie internetowej www.geoportal.gov.pl.) znajduje się informacja wprost wskazująca, że administratorem danych osobowych przetwarzanych w portalu GEOPORTAL2 jest Główny Geodeta Kraju („Administratorem Pani/Pana danych osobowych jest Główny Geodeta Kraju z siedzibą w Warszawie, ul. Wspólna 2, 00-926 Warszawa”). Takie informacje uzasadniały właśnie potrzebę przeprowadzenia kontroli przestrzegania przepisów o ochronie danych osobowych, m.in. w celu ustalenia roli Głównego Geodety Kraju w tym procesie przetwarzania danych. Stanowisko Głównego Geodety Kraju, przedstawione w piśmie jego pełnomocnika z […] maja 2020 r., zakłada ponadto błędnie, że podmiotem podlegającym kontroli Prezesa UODO może być jedynie podmiot decydujący o celach i sposobach przetwarzania czyli administrator (którym on – we własnej ocenie – w rozpatrywanej sprawie nie jest). Główny Geodeta Kraju wydaje się nie zauważać, że obowiązek zapewnienia dostępu do danych osobowych i informacji niezbędnych do realizacji zadań Prezesa UODO oraz dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych, o którym to obowiązku mowa jest w art. 58 ust 1 lit. e) i f), spoczywa nie tylko na administratorze, ale i na współadministratorze oraz na podmiocie przetwarzającym dane osobowe. Zaprzeczając swojej roli administratora, Główny Geodeta Kraju zdaje się nie wykluczać, że przetwarza dane osobowe pochodzące z ewidencji gruntów i budynków jako podmiot przetwarzający - w imieniu administratorów (starostów), na podstawie umów, które w istocie można by ocenić jako umowy, o których mowa w art. 28 ust. 3 Rozporządzenia 2016/679). Powyższy brak pewności co do roli pełnionej w procesie przetwarzania w portalu GEOPORTAL2 danych pozyskanych z ewidencji gruntów i budynków, który mógłby zostać usunięty w toku przeprowadzonej kontroli, świadczy o zasadności przeprowadzenia u Głównego Geodety Kraju kontroli w pełnym – określonym w upoważnieniach imiennych kontrolujących – zakresie. Podobnie, jeśli chodzi o określony w art. 31 Rozporządzenia 2016/679 obowiązek współpracy z organem nadzorczym, to skierowany on jest nie tylko do administratora, ale i do podmiotu przetwarzającego.
Odnosząc się do ostatniego, przedstawionego przez pełnomocnika Głównego Geodety Kraju w piśmie z […] maja 2020 r., aspektu uzasadniającego – w jego ocenie – odmowę wyrażenia zgody na przeprowadzenie przez Prezesa UODO kontroli, to jest do stwierdzenia, że „kontrola […] prowadzona była nie u Głównego Geodety Kraju, ale w Głównym Urzędzie Geodezji i Kartografii, który z punktu widzenia przepisów RODO jest odrębnym administratorem danych osobowych”, zauważyć należy, że opiera się on jedynie na okoliczności, że w kilku miejscach w dokumentach dotyczących kontroli (w upoważnieniach imiennych kontrolujących, protokole kontroli oraz wnioskach z kontroli) Prezes UODO wskazał Główny Urząd Geodezji i Kartografii jak miejsce, w których miały być (były) przeprowadzone czynności kontrolne w związku z tym, że to w Głównym Urzędzie Geodezji i Kartografii jako jednostce organizacyjnej, przy pomocy której Główny Geodeta Kraju realizuje swoje zadania, znajdują się dane osobowe oraz źródła informacji, pomieszczenia, sprzęt i środki służące przetwarzaniu danych osobowych, do których dostęp niezbędny był Prezesowi UODO celem zebrania dowodów w sprawie. Analiza całości treści dokumentów dotyczących kontroli (w szczególności tych przygotowujących kontrolę – zawiadomienia o kontroli z […] marca 2020 r. oraz upoważnień imiennych kontrolujących z […] marca 2020 r.) wskazuje jednoznacznie, że cel kontroli związany był z realizacją ustawowego zadania Głównego Geodety Kraju jakim jest stworzenie i utrzymywanie portalu GEOPORTAL2. Świadczą o tym takie sformułowania jak: „zakresem kontroli objęte zostanie udostępnianie przez Głównego Geodetę Kraju…”, „proszę o przygotowanie dokumentacji dotyczącej przetwarzania danych osobowych przez Głównego Geodetę Kraju.” (oba z zawiadomienia o kontroli), „kontrola obejmie udostępnianie przez Głównego Geodetę Kraju…”, „czy Główny Geodeta Kraju wdrożył odpowiednie środki techniczne i organizacyjne…”, „czy Główny Geodeta Kraju wyznaczył inspektora ochrony danych…” (trzy ostatnie z upoważnień imiennych kontrolujących). Jak wskazał sam pełnomocnik Głównego Geodety Kraju w piśmie z […] maja 2020 r. zadanie stworzenia i utrzymywania portalu GEOPORTAL2 sformułowane zostało w przepisach art. 5 ustawy z dnia 17 maja 1989 r. Prawo geodezyjne i kartograficzne (Dz. U. z 2020 r. poz. 276 ze zm.) oraz art. 13 ust. 1 ustawy z dnia 4 marca 2010 r. o infrastrukturze informacji przestrzennej (Dz. U. z 2020 r. poz. 177 ze zm.). Ten ostatni przepis stanowi, że Główny Geodeta Kraju tworzy i utrzymuje geoportal infrastruktury informacji przestrzennej jako centralny punkt dostępu do usług dotyczących zbiorów i usług danych przestrzennych; nie przewiduje natomiast żadnego udziału w tym zadaniu dla Głównego Urzędu Geodezji i Kartografii. Powyższy zapis określający kompetencje i odpowiedzialność w zakresie funkcjonowania portalu GEOPORTAL2, w połączeniu ze wskazywanym przez Prezesa UODO przedmiotem i zakresem kontroli, nie powinien pozostawiać (szczególnie centralnemu organowi właściwemu w sprawach geodezji i kartografii) żadnych wątpliwości co do określenia podmiotu podlegającego kontroli. Podkreślić należy dodatkowo, że Główny Geodeta Kraju, zarówno w momencie rozpoczęcia kontroli, jak i w jej trakcie nie podnosił żadnych zastrzeżeń co do wskazania podmiotu kontrolowanego, chociaż miał taką możliwość (składając na upoważnienia imiennych kontrolujących oświadczenie o braku zgody na przeprowadzenie kontroli, składając takie zastrzeżenia do protokołu przesłuchania w charakterze świadka czy też w formie zastrzeżenia do protokołu kontroli). W ocenie Prezesa UODO zastrzeżenie co do wskazania podmiotu kontrolowanego sformułowane zostało przez Głównego Geodetę Kraju post factum – wyłącznie na potrzeby uzasadnienia dokonanego przez siebie naruszenia przepisów o ochronie danych osobowych.
Podsumowując powyższe rozważania stwierdzić należy, że przedstawione przez Głównego Geodetę Kraju w trakcie kontroli, a rozwinięte przez jego pełnomocnika w stanowisku przedstawionym Prezesowi UODO w piśmie z […] maja 2020 r., uzasadnienie odmowy wyrażenia zgody na przeprowadzenie kontroli przetwarzania przez niego danych osobowych, nie zasługuje w żadnym punkcie na akceptację. Prezes UODO miał prawo i uzasadnienie dla przeprowadzenia kontroli u Głównego Geodety Kraju. Zakres tej kontroli mieścił się w celach określonych w art. 57 ust. 1 lit. a) Rozporządzenia 2016/679 („monitorowanie i egzekwowanie stosowania rozporządzenia”) oraz w art. 78 ust. 1 u.o.d.o. („kontrola przestrzegania przepisów o ochronie danych osobowych”). Działanie Głównego Geodety Kraju jako kontrolowanego polegające na odmowie wyrażenia zgody na przeprowadzenie kontroli w zakresie określonym w punktach 1-5 upoważnień imiennych kontrolowanych uniemożliwiło w pełnym zakresie przeprowadzenie czynności kontrolnych w tym obszarze (w szczególności oględzin systemów informatycznych i teleinformatycznych, w których przetwarzane przez Głównego Geodetę Kraju są dane osobowe, odebrania w tym zakresie wyjaśnień Głównego Geodety Kraju, odebrania wyjaśnień i zeznań pracowników Głównego Geodety Kraju, uzyskania wglądu w dokumenty stanowiące podstawę pozyskiwania danych osobowych przetwarzanych w portalu GEOPORTAL2 – np. umów łączących Głównego Geodetę Kraju ze starostami). Odmowa Głównego Geodety Kraju na przeprowadzenie kontroli w zakresie określonym w punktach 1-5 upoważnień imiennych kontrolowanych, oznaczająca deklarację braku jakiejkolwiek współpracy z kontrolującymi w tym zakresie, spowodowała odstąpienie przez kontrolujących od czynności w tym zakresie. Naczelny Sąd Administracyjny w przywołanym już powyżej wyroku z dnia 3 marca 2016 r. w sprawie o sygn. II OSK 1667/14 słusznie wskazał, że: „zgodzić za to należy się ze stanowiskiem, iż aby kontrola mogła osiągnąć swój cel wymaga to przynajmniej minimalnego stopnia współdziałania ze strony kontrolowanego. Przy czym współdziałanie winno dotyczyć pełnego zakresu uprawnień przysługujących organom.” W niniejszej sprawie brak było jakiejkolwiek współpracy ze strony Głównego Geodety Kraju w zakresie kontroli, który sam, w sposób arbitralny, uznał za bezpodstawny.
Odnosząc powyższe ustalenia do obowiązków nałożonych przepisami Rozporządzenia 2016/679 na administratora i podmiot przetwarzający, a dotyczących ich stosunku do organu nadzorczego, należy stwierdzić, że Główny Geodeta Kraju, w trakcie postępowania kontrolnego o sygn. […], swoim działaniem naruszył:
art. 58 ust. 1 lit. e) Rozporządzenia 2016/679 nakładający na niego obowiązek zapewnienia Prezesowi UODO dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji jego zadań,
art. 58 ust. 1 lit. f) Rozporządzenia 2016/679 nakładający na niego obowiązek zapewnienia Prezesowi dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego,
art. 31 Rozporządzenia 2016/679 nakładający na niego obowiązek współpracy z Prezesem UODO, na jego żądanie, w ramach wykonywania przez niego jego zadań.
W związku z powyższymi naruszeniami przepisów Rozporządzenia 2016/679, Prezes UODO stwierdza, że w niniejszej sprawie zaistniały przesłanki uzasadniające nałożenie na Głównego Geodetę Kraju – na mocy art. 83 ust. 4 lit. a) oraz art. 83 ust. 5 lit. e) in fine Rozporządzenia 2016/679 – administracyjnej kary pieniężnej w związku z niezapewnieniem przez Głównego Geodetę Kraju dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych oraz dostępu do danych osobowych i informacji niezbędnych Prezesowi UODO do realizacji jego zadań, a także z brakiem współpracy z Prezesem UODO w trakcie tej kontroli.
Stosownie do treści art. 83 ust. 2 Rozporządzenia 2016/679, administracyjne kary pieniężne nakłada się zależnie od okoliczności każdego indywidualnego przypadku. Zwraca się przy tym w każdym przypadku na szereg okoliczności wymienionych w punktach od a) do k) wskazanego wyżej przepisu. Decydując o nałożeniu w niniejszej sprawie na Głównego Geodetę Kraju administracyjnej kary pieniężnej oraz ustalając jej wysokość, Prezes UODO wziął – spośród nich – pod uwagę następujące okoliczności wpływające obciążająco na ocenę naruszenia:
Charakter, waga i czas trwania naruszenia (art. 83 ust. 2 lit. a) Rozporządzenia 2016/679).
Naruszenie podlegające administracyjnej karze pieniężnej w niniejszej sprawie godzi w system mający na celu ochronę jednego z podstawowych praw osoby fizycznej, którym jest prawo do ochrony jej danych osobowych, czy też szerzej – do ochrony jej prywatności. Istotnym elementem tego systemu, którego ramy określone zostały Rozporządzeniem 2016/679, są organy nadzorcze, na które nałożone zostały zadania związane z ochroną i egzekwowaniem praw osób fizycznych w tym zakresie. W celu umożliwienia realizacji tych zadań organy nadzorcze wyposażone zostały w szereg uprawnień kontrolnych, uprawnień umożliwiających prowadzenie postępowań administracyjnych oraz uprawnień naprawczych. Natomiast na administratorów i podmioty przetwarzające nałożone zostały, skorelowane z uprawnieniami organów nadzorczych, określone obowiązki, w tym obowiązek współpracy z organami nadzorczymi oraz obowiązek zapewnienia tym organom dostępu do danych osobowych oraz innych informacji niezbędnych do realizacji ich zadań, a także dostępu do pomieszczeń, sprzętu i środków służących do przetwarzania danych osobowych. Działania Głównego Geodety Kraju w trakcie kontroli o sygn. […], mające na celu udaremnienie jej przeprowadzenia w zakresie wskazanym w punktach 1-5 oraz w pkt 6 (w odniesieniu do środków technicznych wdrożonych w celu zapewnienia odpowiedniego poziomu bezpieczeństwa) upoważnień imiennych kontrolujących, a skutkujące brakiem dostępu do dowodów wskazujących na legalność i zgodność z prawem przetwarzania przez Głównego Geodetę Kraju danych osobowych pochodzących z ewidencji gruntów i budynków, należy więc uznać za godzące w cały system ochrony danych osobowych, i z tego względu mające dużą wagę i naganny charakter. Wagę naruszenia zwiększa dodatkowo okoliczność, że dokonane przez Głównego Geodetę Kraju naruszenie, jakkolwiek jednorazowe (miało miejsce w dniach […] marca 2020 r.), wywołało skutki trwające do chwili obecnej. Brak współpracy Głównego Geodety Kraju, wyrażający się w odmowie uznania prawa Prezesa UODO do dokonania kontroli zgodności z przepisami przetwarzania przez niego danych osobowych pochodzących z ewidencji gruntów i budynków w portalu GEOPRTAL2, jest aktualny, co potwierdza stanowisko Głównego Geodety Kraju wyrażone w piśmie jego pełnomocnika z dnia […] maja 2020 r. Jako obciążającą wskazać należy ponadto okoliczność, że naruszenia godzącego w uprawnienia organu publicznego jakim jest Prezes UODO dopuścił się inny organ publiczny – Główny Geodeta Kraju. Od organu publicznego, w ocenie Prezesa UODO, należy oczekiwać szczególnego, większego niż w przypadku podmiotów prywatnych, zrozumienia i szacunku dla działań podejmowanych przez inne organy w ramach ich ustawowo określonych zadań, oraz większego stopnia współpracy w realizacji tych zadań.
Umyślny charakter naruszenia (art. 83 ust. 2 lit. b) Rozporządzenia 2016/679).
W ocenie Prezesa UODO po stronie Głównego Geodety Kraju istnieje intencjonalny brak woli współpracy w zapewnieniu organowi wszelkich informacji (dowodów) niezbędnych do ustalenia czy stanowiące przedmiot kontroli procesy przetwarzania danych mają podstawę prawną i przetwarzane są zgodnie z prawem. Brak zgody Głównego Geodety Kraju na przeprowadzenie kontroli i jego deklaracja braku współpracy w tym zakresie wyrażone zostały w sposób jednoznaczny i stanowczy. Argumentacja przedstawiona na uzasadnienie tego stanowiska Głównego Geodety Kraju jest zaś, jak zostało to wykazane powyżej, całkowicie niezasadna i – w ocenie Prezesa UODO – w dużym stopniu stworzona została post factum w celu usprawiedliwienia braku woli poddania się uzasadnionemu i zgodnemu z prawem badaniu niezależnego organu kontrolnego. Zważywszy, że Główny Geodeta Kraju jest podmiotem publicznym (a dodatkowo organem centralnym w strukturze służb geodezyjno-kartograficznych), podmiotem na dużą skalę przetwarzającym w ramach swoich kompetencji dane osobowe obywateli, przyjąć należy ponadto, że miał on (i ma do chwili obecnej) świadomość, że jego postępowanie może stanowić naruszenie przepisów Rozporządzenia 2016/679, i godzi się z tym stanem.
Brak współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków (art. 83 ust. 2 lit. f) Rozporządzenia 2016/679).
W toku niniejszego postępowania w przedmiocie nałożenia administracyjnej kary pieniężnej Główny Geodeta Kraju podtrzymał swój brak zgody na przeprowadzenie kontroli w kwestionowanym zakresie (oparty na stanowisku odmawiającym Prezesowi UODO prawa do zbadania procesów przetwarzania danych osobowych pochodzących z ewidencji gruntów i budynków w portalu GEOPORTAL2). Nie wyraził również w żadnym stopniu chęci współpracy z Prezesem UODO w celu usunięcia naruszenia, mogącej polegać w szczególności na udzieleniu pełnych i wyczerpujących wyjaśnień w zakresie, w którym doszło do udaremnienia kontroli.
Pozostałe przesłanki wymiaru administracyjnej kary pieniężnej wskazane w art. 83. ust. 2 Rozporządzenia 2016/679 nie miały wpływu (obciążającego lub łagodzącego) na dokonaną przez Prezesa UODO ocenę naruszenia (w tym: wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego, sposób w jaki organ nadzorczy dowiedział się o naruszeniu, przestrzeganie wcześniej zastosowanych w tej samem sprawie środków, stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji) lub też, ze względu na specyficzny charakter naruszenia (dotyczącego stosunku administratora lub podmiotu przetwarzającego z organem nadzorczym, a nie stosunku administratora lub podmiotu przetwarzającego z osobą, której dane dotyczą), nie mogły być wzięte pod uwagą w niniejszej sprawie (w tym: liczba poszkodowanych osób oraz rozmiar poniesionej przez nie szkody, działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez podmioty danych, stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem wdrożonych przez niego środków technicznych i organizacyjnych, kategorie danych osobowych, których dotyczy naruszenie).
Stosownie do brzmienia art. 83 ust. 1 Rozporządzenia 2016/679 nałożona przez organ nadzorczy administracyjna kara pieniężna powinna być w każdym indywidualnym przypadku skuteczna, proporcjonalna i odstraszająca. W ocenie Prezesa UODO kara nałożona na Głównego Geodetę Kraju w niniejszym postępowaniu spełnia te kryteria. Zdyscyplinuje Głównego Geodetę Kraju do prawidłowej współpracy z Prezesem UODO w postępowaniach prowadzonych w przyszłości przez Prezesa UODO z jego udziałem. Nałożona niniejszą decyzją kara w maksymalnej, określonej w art. 102 ust. 1 u.o.d.o., wysokości jest – w ocenie Prezesa UODO – uzasadniona i proporcjonalna do wagi stwierdzonego naruszenia. Kara ta spełni ponadto funkcję odstraszającą; będzie jasnym sygnałem zarówno dla Głównego Geodety Kraju jak i dla innych podmiotów zobowiązanych na mocy przepisów Rozporządzenia 2016/679 do współpracy z Prezesem UODO, że lekceważenie obowiązków związanych ze współpracą z nim (w szczególności utrudnianie kontroli przestrzegania przepisów o ochronie danych osobowych) stanowi naruszenie o dużej wadze i jako takie podlegać będzie sankcjom finansowym.
W niniejszej sprawie zastosowanie znajdują przepisy art. 102 ust. 1 i 3 u.o.d.o. zgodnie z którymi wysokość administracyjnej kary pieniężnej nakładanej – na podstawie i na warunkach określonych w art. 83 Rozporządzenia 2016/679 – na jednostkę sektora finansów publicznych w rozumieniu ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych (Dz. U. z 2019 r. poz. 869 ze zm.), ograniczona jest do kwoty 100 000 złotych.
Mając powyższe na uwadze Prezes UODO orzekł jak w sentencji niniejszej decyzji.
Decyzja jest ostateczna. Od decyzji stronie przysługuje prawo wniesienia skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie, w terminie 30 dni od dnia jej doręczenia, za pośrednictwem Prezesa UODO (adres: ul. Stawki 2, 00 - 193 Warszawa). Od skargi należy wnieść wpis stosunkowy, zgodnie z art. 231 w związku z art. 233 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2019 r., poz. 2325). Zgodnie z art. 74 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781) wniesienie przez stronę skargi do sądu administracyjnego wstrzymuje wykonanie decyzji w zakresie administracyjnej kary pieniężnej.
Zgodnie z art. 105 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r., poz. 1781), administracyjną karę pieniężną należy uiścić w terminie 14 dni od dnia upływu terminu na wniesienie skargi do Wojewódzkiego Sądu Administracyjnego, albo od dnia uprawomocnienia się orzeczenia sądu administracyjnego, na rachunek bankowy Urzędu Ochrony Danych Osobowych w NBP O/O Warszawa nr 28 1010 1010 0028 8622 3100 0000. Ponadto, zgodnie z art. 105 ust. 2 wskazanej wyżej ustawy Prezes UODO może, na uzasadniony wniosek podmiotu ukaranego, odroczyć termin uiszczenia administracyjnej kary pieniężnej albo rozłożyć ją na raty. W przypadku odroczenia terminu uiszczenia administracyjnej kary pieniężnej albo rozłożenia jej na raty, Prezes UODO nalicza od nieuiszczonej kwoty odsetki w stosunku rocznym, przy zastosowaniu obniżonej stawki odsetek za zwłokę, ogłaszanej na podstawie art. 56d ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa (Dz. U. z 2019 r. poz. 900, z późn. zm.), od dnia następującego po dniu złożenia wniosku.
