60 tys. złotych kary dla Głównego Geodety Kraju za nie zgłoszenie wycieku danych osobowych z ksiąg wieczystych do UODO

19 lipca, 2022

To jest trzecie ostrzeżenie dla Głównego Geodety Kraju zakończone karą finansową 60 tysięcy złotych za narażenie na negatywne konsekwencje obywateli w związku z wyciekiem danych osobowych powiązanych z numerami ksiąg wieczystych. W konsekwencji nieuprawnionego wykorzenia tych danych, zachodzi prawdopodobieństwo kradzieży tożsamości oraz przeprowadzenia oszustwa z wykorzystaniem danych osoby, której dotyczy ujawnienie.

Spór rozpoczął się wcześniej, jeszcze od wymierzonej kary 100 tys. złotych utrzymanej w sierpniu 2020 przez Wojewódzki Sąd Administracyjny za brak współpracy w zakresie trwania kontroli z 2019 roku: mniej więcej od 14 listopada 2019 roku ze strony rządowego Geoportalu2 można było pobrać numer dowolnej księgi wieczystej widocznej na mapie.

Reakcją na nieprawidłowe zabezpieczenia dostępu do danych było wydanie 6 kwietnia 2020 roku postanowienia przez Prezesa Urzędu Ochrony Danych Osobowych, w którym nakazano ograniczenie przetwarzania danych osobowych przez GEOPORTAL2 do czasu wydania decyzji administracyjnej kończącej postępowanie w tej sprawie.

Zignorowane ostrzeżenie zakończyło się kontrolą jednostki Głównego Urzędu Geodezji i Kartografii. Odmówiono współpracy z kontrolerami UODO, za co Prezes UODO nałożył na Głównego Geodetę Kraju karę 100 tys. złotych. Decyzję argumentowano tym, że nie zapewniono kontrolerom UODO sprawdzenia, w jaki sposób są przechowywane i przetwarzane dane osobowe oraz inne informacje zawarte w księgach wieczystych (przez GEOPORTAL2). Decyzja oraz wyjaśnienie są dostępna na stronie uodo.gov.pl/pl/138/1671.

Główny Geodeta Kraju zaskarżył decyzję Prezesa UODO do Wojewódzkiego Sądu Administracyjnego, lecz sąd utrzymał postanowienie UODO w całości. Sprawa zostanie rozpatrzona przez Naczelny Sąd Administracyjny.

Trzecie ostrzeżenie wydane przez Prezesa UODO dla Głównego Geodety Kraju wydano w związku z umożliwieniem potencjalnego wycieku numerów ksiąg wieczystych – przez 48 godzin w serwisie geoportal.gov.pl widoczne były numery ksiąg wieczystych. W tym czasie „każdy” pod podaniu numeru księgi mógł ustalić następujące dane właściciela nieruchomości: PESEL, Imię i Nazwisko, Imiona rodziców, Adres nieruchomości.

W ocenie UODO naruszenie miało dużą wagę i poważny charakter, a niezgłoszenie tego incydentu do UODO, jak i niepowiadomienie osób było umyślne. Znaczenie dla kary miało również to, że UODO o naruszeniu dowiedział się z mediów, a nie od samego administratora danych.

Czy ten artykuł był pomocny?

Oceniono: 1 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]