BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH Departament Inspekcji

Podobne dokumenty
II Lubelski Konwent Informatyków i Administracji r.

Przetwarzanie danych osobowych w przedsiębiorstwie

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Dolnośląski Wojewódzki Inspektor Nadzoru Geodezyjnego i Kartograficznego

Ewidencja gruntów i budynków - wybrane zagadnienia

Wniosek o wydanie wypisu i wyrysu z ewidencji gruntów

Szkolenie. Ochrona danych osobowych

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

Podstawowe obowiązki administratora danych osobowych

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

POLITYKA BEZPIECZEŃSTWA

WZÓR ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

Ochrona wrażliwych danych osobowych

Określa się wzór zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, stanowiący załącznik do rozporządzenia.

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

Polityka Prywatności portalu 1. Postanowienia ogólne

danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285),

REGULAMIN ZASAD OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ W KRAKOWIE

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC- 877/31613/09 dot. DIS-K-421/43/09

Zgłoszenie dokonania zmian w ewidencji gruntów i budynków

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC - 652/21890/10 dot. DIS-K-421/29/10

Zbiór danych osobowych Skargi, wnioski, podania

BIURO GIODO Departament Inspekcji

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

POLITYKA BEZPIECZEŃSTWA

Polityka prywatności Portalu EventManago

IZ /11 L.dz. 1916/10 Pani Alicja Meusz Dolnośląski Wojewódzki Inspektor Nadzoru Geodezyjnego i Kartograficznego

Program ochrony danych osobowych na poziomie LGR. radca prawny Jarosław Ornicz

POLITYKA BEZPIECZEŃSTWA

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Bezpieczeństwo teleinformatyczne danych osobowych

Zawiadomienia o zmianach w danych ewidencyjnych

Regulamin ochrony danych osobowych w Spółdzielni Budowlano Mieszkaniowej Powiśle w Warszawie

Co może zrobić sąd w razie opieszałości właściciela? Sąd może wymierzyć opieszałemu właścicielowi grzywnę w wysokości od 500 do zł.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

luk Wojewoda Dolnośląski Dolnośląski Wojewódzki Inspektor Nadzoru Geodezyjnego i Kartograficznego SPRAWOZDANIE

Źródło: wyrok Wojewódzkiego Sądu Administracyjnego w Krakowie Sygn. akt III SA/Kr 596/14 z 18 września 2014 r.

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA INFORMACJI I PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W PŁUŻNICY

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Prowadzone w Okręgowym Urzędzie Górniczym we Wrocławiu

Ustawa z dnia 17 maja 1989r. Prawo geodezyjne i kartograficzne (Dz. U. z 2015r. poz. 520 ze zm.)

WARUNKI TECHNICZNE Weryfikacja zgodności treści mapy ewidencyjnej ze stanem faktycznym w terenie. Obręby 1, 2, 3, 4, 5, 6, i 7 miasta Wąbrzeźna

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

Rola i zadania Wojewódzkiej Inspekcji Geodezyjnej i Kartograficznej. Gdańsk 9 marca 2017

DANE OSOBOWE TO WSZELKIE INFORMACJE DOTYCZĄCE: zidentyfikowanej osoby fizycznej

Problemy we wdrażaniu nowych przepisów z punktu widzenia nadzoru i współpracy ze starostami w tym aspekcie.

Zakładanie, modernizacja, kontrola i aktualizacja ewidencji gruntów i budynków

Ocena dokumentacji geodezyjnej jako środka dowodowego w postępowaniach administracyjnych dotyczących zmian w ewidencji gruntów i budynków

Ewidencja Gruntów i Budynków

Jak zidentyfikować zbiór danych osobowych w swojej firmie?

Ochrona danych osobowych

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji 1) z dnia 11 grudnia 2008 r.

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MISTRZEJOWICE-PÓŁNOC w Krakowie

Ochrona Danych Osobowych

DECYZJA. utrzymuję w mocy zaskarżoną decyzję. Uzasadnienie

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Przetwarzania danych osobowych

RODO A DANE BIOMETRYCZNE

PROCEDURA POLITYKI BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJĄCA W ZESPOLE SZKÓŁ NR 1 W WODZISŁAWIU ŚLĄSKIM

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

POWIAT OBORNICKI. 713,3 zł

Wybrane zagadnienia z zakresu ewidencji gruntów i budynków

Ochrona danych osobowych

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Zestaw pytań egzaminacyjnych z 2014 r. Zakres 2

Regionalna Dyrekcja Lasów Państwowych w Warszawie Wydział Ochrony Gruntów Leśnych

Organizacje pozarządowe - ważny partner w przeciwdziałaniu przemocy Toruń 30 września 2014r. Prawne aspekty przemocy w rodzinie

Dziennik Ustaw 27 Poz. 917 WZÓR WNIOSEK O WYDANIE WYPISU/WYPISU I WYRYSU/WYRYSU Z EWIDENCJI GRUNTÓW I BUDYNKÓW*

Wykaz aktów prawnych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH STOWARZYSZENIE RODZICÓW DZIECI Z WRODZONĄ PRZEPUKLINĄ PRZEPONOWĄ I INNYMI WADAMI WRODZONYMI

Radca prawny Michał Trowski Łódź, 25 maja 2017 roku

PROCEDURA POLITYKI BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH

WIELKOPOLSKI WOJEWÓDZKI Poznań, r. INSPEKTOR NADZORU GEODEZYJNEGO I KARTOGRAFICZNEGO

Wnioski z kontroli prowadzonych przez Dolnośląskiego Wojewódzkiego Inspektora Nadzoru Geodezyjnego i Kartograficznego w latach

Co dalej z Rejestrem Cen i Wartości Nieruchomości?

I N F O R M A C J A O W Y M A G A N Y C H D O K U M E N T A C H D O A K T U A L I Z A C J I D A N Y C H

Zbiór danych osobowych Akcjonariusze spółki - księga akcyjna

luk Wojewoda Dolnośląski Dolnośląski Wojewódzki Inspektor Nadzoru Geodezyjnego i Kartograficznego SPRAWOZDANIE

POLITYKA BEZPIECZEŃSTWA KRAJOWEGO REJESTRU KLIENTÓW HOTELOWYCH sp. z o.o.. Art. 1 Postanowienia ogólne

OCHRONA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Jak nie wdepnąć w GIODO, czyli co musi wiedzieć dział HR o ochronie danych osobowych. Jacek Bajorek Instytut Zarządzania Bezpieczeństwem Informacji

Ochrona danych osobowych przy obrocie wierzytelnościami

Ocena realizacji zadań związanych z prowadzeniem pzgik na podstawie przeprowadzonych kontroli w 2018 r.

Wrocław, dnia lia i/ A s * ' września ' 2013 r. GK-NGK AM

Ochrona danych osobowych

Zarządzenie nr 101/2011

Ewidencjonowanie materiałów państwowego zasobu geodezyjnego i kartograficznego

Transkrypt:

BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH Departament Inspekcji Zestawienie wyników kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych przeprowadzonych w starostwach powiatowych, w związku z udostępnianiem danych osobowych z ewidencji gruntów i budynków Warszawa 2017 r.

I. Wprowadzenie W roku 2016 w ramach kontroli sektorowych, inspektorzy Biura GIODO przeprowadzili kontrole zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych przez starostów jako organy administracji geodezyjnej i kartograficznej wchodzące w skład Służby Geodezyjnej i Kartograficznej w rozumieniu ustawy z dnia 17 maja 1989 r. Prawo geodezyjne i kartograficzne (Dz. U. z 2016 r. poz. 1629 ze zm.). Zakresem kontroli objęto zasady udostępniania danych osobowych z ewidencji gruntów i budynków oraz zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych. W toku kontroli inspektorzy badali następujące zagadnienia: 1. Na jakiej podstawie prawnej udostępniane są dane osobowe z ewidencji gruntów i budynków. 2. Jakim podmiotom udostępniane są dane osobowe. 3. W jakim zakresie i celu dane są udostępniane. 4. Czy są udostępniane dane szczególnie chronione, wymienione w art. 27 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922), a jeżeli tak, to jakie. 5. W jaki sposób i w jakim trybie następuje udostępnianie danych osobowych. 6. Czy udostępnianie danych osobowych z ewidencji gruntów i budynków (np. w postaci wypisu z operatu ewidencji gruntów) odbywa się po dokonaniu analizy interesu prawnego podmiotów występujących z żądaniem takiego udostępnienia - art. 24 ust. 4 w związku z art. 24 ust. 5 pkt 3 ustawy Prawo geodezyjne i kartograficzne. 7. W jaki sposób realizowane są ww. żądania udostepnienia danych, jeśli wnioskodawca wykazuje wyłącznie interes faktyczny. 8. Czy ewidencja gruntów i budynków została zgłoszona do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (art. 40 ustawy o ochronie danych osobowych). 9. Czy przez administratora danych zostały zastosowane środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności, czy ww. administrator danych zabezpieczył dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1 ustawy o ochronie danych osobowych). 2

10. Czy administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w art. 36 ust. 1 ustawy (art. 36 ust. 2 ustawy o ochronie danych osobowych). 11. Czy administrator danych powołał administratora bezpieczeństwa informacji (art. 36a ust. 1 ustawy o ochronie danych osobowych). 12. Czy zostały nadane, przez administratora danych, upoważnienia osobom dopuszczonym do przetwarzania danych osobowych (art. 37 ustawy o ochronie danych osobowych). 13. Sposób sprawowania kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane (art. 38 ustawy o ochronie danych osobowych). 14. Czy prowadzona jest ewidencja osób upoważnionych do przetwarzania danych zgodnie z art. 39 ustawy o ochronie danych osobowych. 15. Kontrola systemów informatycznych w zakresie spełnienia wymogów określonych w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). 16. Czy dane osobowe w zakresie objętym kontrolą są przetwarzane zgodnie z ustawą Prawo geodezyjne i kartograficzne. Inspektorzy badali w szczególności, czy przy udostępnianiu danych osobowych z ewidencji gruntów i budynków stosowane są wymogi określone w art. 24 ust. 5 ustawy Prawo geodezyjne i kartograficzne, zgodnie z którym informacje dotyczące właścicieli i władających nieruchomością mogą być udostępniane jedynie: 1) właścicielom i władającym nieruchomością, 2) organom administracji publicznej albo podmiotom niebędącym organami administracji publicznej, realizującym, na skutek powierzenia lub zlecenia przez organ administracji publicznej, zadania publiczne związane z gruntami, budynkami lub lokalami, których dotyczy udostępniany zbiór danych lub wypis, 3) innym podmiotom niż wyżej wymienione, które mają interes prawny w tym zakresie. Czynności kontrolne przeprowadzono w okresie od lutego 2016 r. do maja 2016 r. z inicjatywy własnej Generalnego Inspektora Ochrony Danych Osobowych na podstawie harmonogramu kontroli sektorowych na rok 2016. Kontrole zostały przeprowadzone w 10 starostwach powiatowych. 3

II. Charakterystyka sposobu przetwarzania danych 2.1. Istotne ustalenia kontroli. 2.1.1. Inspektorzy w toku powołanych kontroli stwierdzili udostępnianie danych osobowych właścicieli nieruchomości i władających nieruchomościami (użytkownik wieczysty, dzierżawca, posiadacz samoistny) z ewidencji gruntów i budynków w związku z realizacją zadań starosty polegających na prowadzeniu powiatowego zasobu geodezyjnego i kartograficznego, w tym: ewidencji gruntów i budynków oraz tworzeniu, prowadzeniu i udostępnianiu baz danych, takich jak np. ewidencja gruntów i budynków. Zgodnie z przywołanym powyżej art. 24 ust. 5 ustawy Prawo geodezyjne i kartograficzne, informacje dotyczące właścicieli i władających nieruchomością mogą być udostępniane przez starostów m.in. podmiotom, które mają interes prawny w tym zakresie 1. Inspektorzy ustalili, że dane osobowe z ewidencji gruntów i budynków są udostępniane: 1) na nośnikach optycznych (płyty CD lub DVD) Agencji Restrukturyzacji i Modernizacji Rolnictwa, Wojewódzkim Inspektorom Nadzoru Geodezyjnego i Kartograficznego, Agencji Nieruchomości Rolnych, 2) przy wykorzystaniu systemu informatycznego, służącego do przetwarzania danych osobowych w ewidencji gruntów i budynków np. komornikom sądowym 3) w formie wypisów z rejestru gruntów, budynków i lokali oraz wykazów operatu ewidencyjnego np. projektantom, rzeczoznawcom majątkowym, pośrednikom ds. obrotu nieruchomościami, zarządcom nieruchomości, geodetom (wykonawcom prac geodezyjnych w związku ze zgłoszoną przez nich pracą geodezyjną). Forma udostępnienia danych osobowych zależy od żądania wnioskodawcy, który określa je we wniosku o udostępnienie danych. Wzory wniosków określają akty wykonawcze do ustawy Prawo geodezyjne i kartograficzne 2. 2.1.2. Inspektorzy stwierdzili, iż dokonywana jest analiza wniosków o udostępnienie danych z ewidencji gruntów i budynków w oparciu o zasadę wynikającą z art. 24 ust. 5 ustawy Prawo geodezyjne i kartograficzne, tj. rozpatrywane są merytorycznie wnioski składane przez 1 Inspektorzy ustalili, że takimi podmiotami są: Agencja Restrukturyzacji i Modernizacji Rolnictwa, Wojewódzki Inspektor Nadzoru Geodezyjnego i Kartograficznego, Agencja Nieruchomości Rolnych, komornicy sądowi, projektanci, rzeczoznawcy majątkowi, pośrednicy ds. obrotu nieruchomościami, zarządcy nieruchomości, geodeci (wykonawcy prac geodezyjnych w związku ze zgłoszoną pracą geodezyjną). 2 rozporządzenie Ministra Administracji i Cyfryzacji z dnia 9 lipca 2014 r. w sprawie udostępniania materiałów państwowego zasobu geodezyjnego i kartograficznego, wydawania licencji oraz wzoru Dokumentu Obliczenia Opłaty (Dz. U. 2014 r. poz. 917) i rozporządzenie Ministra Administracji i Cyfryzacji z dnia 8 lipca 2014 r. w sprawie formularzy dotyczących zgłaszania prac geodezyjnych i prac kartograficznych, zawiadomienia o wykonaniu tych prac oraz przekazywania ich wyników do państwowego zasobu geodezyjnego i kartograficznego (Dz. U. z 2014 r. poz. 924). 4

podmioty legitymujące się interesem prawnym, który wynika z powszechnie obowiązujących przepisów prawa 3. 2.1.3. W ewidencji gruntów i budynków starostowie przetwarzają informacje dotyczące orzeczeń wydanych w postępowaniu sądowym lub administracyjnych. Zgodnie z art. 24 ust. 2a i 2b ustawy Prawo geodezyjne i kartograficzne, starosta aktualizuje na podstawie takich orzeczeń informacje zawarte w ewidencji gruntów i budynków. Oznacza to, że w ewidencji gruntów i budynków przetwarzane są dane szczególnie chronione, o których mowa w art. 27 ust. 1 ustawy o ochronie danych osobowych 4. 2.1.4. Do przetwarzania danych osobowych w ewidencji gruntów i budynków wykorzystywane są m.in. narzędzia/systemy informatyczne o nazwach: System Informacji Przestrzennej ( SIP ) oraz GEOPORTAL2. System Informacji Przestrzennej ( SIP ) - jest systemem informatycznym, który umożliwia dostęp do ewidencji gruntów i budynków w trybie publicznym oraz w trybie chronionym. W trybie publicznym SIP służy do prezentowania uproszczonych danych ewidencji gruntów i budynków (numery i granice działek, adresy nieruchomości, obrysy budynków, rejestr obiektów użyteczności publicznej, np. apteki, szkoły). Część SIP stanowi platforma o nazwie ISDP (Internetowy Serwer Danych Przestrzennych), która umożliwia dostęp dla zarejestrowanych użytkowników (tryb chroniony) m.in. do informacji szczegółowych z ewidencji gruntów i budynków (np. numery i granice działek, adresy nieruchomości, obrysy budynków, dane osobowe właścicieli nieruchomości). Serwis GEOPORTAL2 funkcjonuje w związku z przystąpieniem starostów do projektu Krajowej Infrastruktury Informacji Przestrzennej dla Służby Geodezyjnej i Kartograficznej. GEOPORTAL2 umożliwia dostęp do ewidencji gruntów i budynków w trybie publicznym oraz w trybie chronionym. Tryb publiczny umożliwia dostęp do danych w 3 np. art. 14 ustawy z dnia 4 marca 2010 r. o infrastrukturze informacji przestrzennej (Dz.U. z 2010 r. nr 76, poz. 489 z późn. zm.), art. 15 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. 2014 r. poz. 1014 ze zm.), art. 74 ustawy z dnia 3 października 2008 r. o udostępnianiu informacji o środowisku i jego ochronie, udziale społeczeństwa w ochronie środowiska oraz o ocenach oddziaływania na środowisko (Dz. U. z 2016 r. poz. 353 z późn. zm.), art. 2 ust. 5, 7 i 8 ustawy z dnia 29 sierpnia 1997 r. o komornikach sądowych i egzekucji (Dz. U. z 2015 r. poz. 790 z późn. zm.), art. 155 ustawy z dnia 21 sierpnia 1997 r. o gospodarce nieruchomościami (Dz. U. z 2015 r. poz. 1774 z późn. zm.), art. 33 ustawy z dnia 7 lipca 1994 r. Prawo budowlane (Dz. U. z 2016 r. poz. 290 z późn. zm.), art. 52 ustawy z dnia 27 marca 2003 r. o planowaniu i zagospodarowaniu przestrzennym (Dz.U. z 2016 r. poz. 778 z późn. zm.). 4 Zgodnie z art. 27 ust. 1 ustawy o ochronie danych osobowych zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. 5

zakresie informacji dotyczących działek (identyfikator działki, numer działki, numer obrębu) z obszaru danego powiatu. Poprzez System Informacji Przestrzennej ( SIP ) oraz serwis GEOPORTAL2 tryb publiczny, realizowana jest zasada jawności informacji zawartych w operacie ewidencyjnym wynikająca z art. 24 ust. 2 ustawy Prawo geodezyjne i kartograficzne 5. 2.2. Zagadnienia problemowe Inspektorzy wykazali, że starostowie stosują odmienną praktykę przy udostępnianiu danych osobowych z ewidencji gruntów i budynków w zakresie traktowania określonych informacji jako dane osobowe. Część starostów, realizując zasadę jawności informacji zawartych w operacie ewidencyjnym, udostępnia m.in. w formie tzw. wypisu o niepełnej treści, który może być wydany każdemu, kto o to wystąpi, informacje, jakimi są numery ksiąg wieczystych. Natomiast niektórzy starostowie informacje te traktują jako dane osobowe i nie udostępniają ich każdemu, kto o takie informacje wystąpi. Ewidencja gruntów i budynków obejmuje informacje dotyczące nieruchomości (gruntów, budynków i lokali) oraz informacje dotyczące właścicieli i władających nieruchomością. Szczegółowy zakres danych, jakie zawiera ewidencja gruntów i budynków określa akt wykonawczy do ustawy Prawo geodezyjne i kartograficznie 6. Z jego analizy wynika, że ewidencja obejmuje dane liczbowe, opisowe/ewidencyjne (w odniesieniu do nieruchomości) oraz dane właścicieli i władających nieruchomością. Numery ksiąg wieczystych wymienione są w tym rozporządzeniu wśród danych opisowych/ewidencyjnych dotyczących nieruchomości. Mimo iż informacje w ewidencji gruntów i budynków są jawne, ustawodawca wprowadził zastrzeżenie wynikające z przywołanego wcześniej art. 24 ust. 5 powołanej ustawy, określając katalog podmiotów, którym informacje dotyczące właścicieli i władających nieruchomością mogą być udostępniane: 1) właścicielom i władającym nieruchomością, 2) organom administracji publicznej albo podmiotom niebędącym organami administracji publicznej, realizującym, na skutek powierzenia lub zlecenia przez organ administracji publicznej, zadania publiczne związane z gruntami, budynkami lub lokalami, 5 Zgodnie z art. 24 ust. 2 ustawy Prawo geodezyjne i kartograficzne informacje zawarte w operacie ewidencyjnym są jawne. 6 Zgodnie z rozporządzeniem Ministra Rozwoju Regionalnego i Budownictwa z dnia 29 marca 2001 r. w sprawie ewidencji gruntów i budynków (Dz. U. z 2016 r. poz. 1034 ze zm.) ewidencja obejmuje dane liczbowe i opisowe dotyczące nieruchomości (gruntów i budynków oraz lokali) a także dane dotyczące właścicieli nieruchomości oraz przysługujących im wielkości udziałów w prawie własności, daty określające nabycie oraz utratę tego prawa, dane osób, które tymi gruntami władają na zasadach samoistnego posiadania w przypadku gruntów o nieustalonym właścicielu ( 60 ust. 1 pkt 7, 64 pkt 1 i 70 ust. 2 pkt 1). 6

których dotyczy udostępniany zbiór danych lub wypis, 3) innym podmiotom niż ww. wymienione, które mają interes prawny w tym zakresie. Z powyższego wynika zatem, że zawarte w operacie ewidencyjnym informacje, odnoszące się do właścicieli i władających nieruchomością nie są jawne dla każdego, kto o ich udostępnienie wystąpi. Inspektorzy stwierdzili, że niektórzy starostowie, biorąc za podstawę przepisy, które wprowadzają dwie kategorie informacji zawartych w ewidencji gruntów i budynków (dotyczące nieruchomości i dotyczące właściciela/władającego), udostępniają numery ksiąg wieczystych (jako dane dotyczące nieruchomości, a nie jej właściciela/władającego) każdemu, kto zwróci się o ich udostępnienie, w tym w formie wypisu o niepełnej treści. Jak ustalili inspektorzy, wskazana praktyka wynika ze sposobu interpretacji 52 ust. 3 powołanego rozporządzenia Ministra Rozwoju Regionalnego i Budownictwa, zgodnie z którym, wypisom z rejestru gruntów, rejestru budynków oraz z rejestru lokali, w treści których zostaną pominięte dane właścicieli i władających, nadaje się odpowiednio tytuł: "Wypis z rejestru gruntów o niepełnej treści", "Wypis z rejestru budynków o niepełnej treści", "Wypis z rejestru lokali o niepełnej treści". W konsekwencji zatem w wypisach o niepełnej treści nie są pomijane numery ksiąg wieczystych, gdyż jak twierdzą niektórzy starostowie, nie stanowią one danych przypisanych właścicielom i władającym, a jedynie dane dotyczące nieruchomości. Należy w tym miejscu podkreślić, iż numery ksiąg wieczystych niewątpliwie stanowią dane osobowe, w rozumieniu przepisów ustawy o ochronie danych osobowych. Pogląd ten znajduje odzwierciedlenie w stanowiskach Generalnego Inspektora Ochrony Danych Osobowych (np. decyzja z dnia 9 stycznia 2012 r. sygn. DOLiS/DEC-16/12 7, decyzja z dnia 14 lutego 2014 r. sygn. DOLiS/DEC-126/14 8 ), orzecznictwie sądów administracyjnych (np. wyrok WSA w Krakowie z dnia 14 maja 2014 r. - II SA/Kr 126/14 9, wyrok WSA we Wrocławiu z dnia 2 grudnia 2010 r. - sygn. II SA/Wr 546/10 10, wyrok NSA z dnia 18 lutego 2014 r. - I OSK 1839/12 11 ) oraz w stanowisku doktryny. Przykładowo, w wyroku Wojewódzkiego Sądu Administracyjnego w Lublinie z dnia 4 lutego 2014 r. (sygn. akt III SA/Lu 638/13), wskazano, iż za dane osobowe w rozumieniu ustawy o ochronie danych osobowych należy uznać numery ksiąg wieczystych i zbiorów dokumentów, skoro w 7 http://www.giodo.gov.pl/303/id_art/4820/j/pl/ 8 http://www.giodo.gov.pl/data/filemanager_pl/sprawozdaniaroczne/2014.pdf 9 http://orzeczenia.nsa.gov.pl/doc/218767fadd 10 http://orzeczenia.nsa.gov.pl/doc/9731a44022 11 http://orzeczenia.nsa.gov.pl/doc/ed751d36b5 7

tych księgach i zbiorach są ujawnione podmioty będące właścicielami nieruchomości, dla których księgi te lub zbiory są prowadzone. Skoro treść ksiąg wieczystych i zbiorów dokumentów jest powszechnie dostępna (księgi wieczyste w sądach i większość w Internecie poprzez portal dostępowy, zbiory dokumentów w sądach) to ujawnienie ich numerów pozwala jednocześnie na ujawnienie danych osobowych wpisanych w tych księgach właścicieli nieruchomości oraz danych osobowych właścicieli nieruchomości ujawnionych w dokumentach złożonych do zbiorów dokumentów. Można zatem stwierdzić, że dane z ewidencji gruntów i budynków dotyczące numerów ksiąg wieczystych i zbiorów dokumentów zawierają dane osobowe podmiotów, o których mowa w art. 20 ust 2 pkt 1 p.g.i k. Ponadto Generalny Inspektor Ochrony Danych Osobowych w wystąpieniu z dnia 10 października 2014 r. skierowanym do jednego z prezydentów miast (sygn. DOLIS-035-2506/14) 12, dotyczącym zamieszczania numerów ksiąg wieczystych na stronie internetowej urzędu jednego z miast stwierdził: Numer księgi wieczystej jest zatem informacją, która posiada charakter podmiotowo-przedmiotowy, która jednocześnie wypełnia ustawową definicję danej osobowej i podlega ochronie przewidzianej w ustawie o ochronie danych osobowych. Danymi osobowymi są zarówno informacje o numerach ksiąg wieczystych prowadzonych dla nieruchomości stanowiących własność osób fizycznych, jak i wszelkie dane zawarte w treści ksiąg wieczystych dotyczące zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych". Biorąc pod uwagę ustalenia inspektorów, Generalny Inspektor, wystąpił pismem z dnia 26 sierpnia 2016 r. znak: DIS-76298/16 do Ministra Spraw Wewnętrznych i Administracji o podjęcie inicjatywy ustawodawczej w celu zmiany przepisów dotyczących ewidencji gruntów i budynków w zakresie jawności numerów ksiąg wieczystych 13. Praktyka stosowana przez niektórych starostów, opierająca się na obecnie obowiązujących przepisach prawa, prowadzi do sytuacji, w której w określonych w przywołanym wcześniej art. 24 ust. 5 ustawy Prawo geodezyjne i kartograficzne przypadkach nakazujących wyłączenie jawności danych dotyczących właścicieli nieruchomości lub władających nieruchomością, faktycznie dochodzi do udostępnienia informacji (w postaci numerów ksiąg wieczystych) umożliwiających zidentyfikowanie tych osób. Łatwość dostępu do informacji, które przyporządkowane są numerowi księgi wieczystej, niesie ze sobą ryzyko wykorzystania tak pozyskanych danych w sposób bezprawny i ze szkodą dla osób, których te dane dotyczą. Potwierdzają to sytuacje mające coraz częściej miejsce, w których dane osobowe, w tym numer PESEL czy wielkość zaciągniętego kredytu oraz jego walutę, 12 http://www.giodo.gov.pl/data/filemanager_pl/sprawozdaniaroczne/2014.pdf 13 Minister Spraw Wewnętrznych i Administracji Departament Administracji Publicznej poinformował Generalnego Inspektora, że pismem z dnia 15 września 2016 r. znak: DAP-WN-0749-9/2016/WWP przekazał niniejsze wystąpienie Generalnego Inspektora według właściwości do Ministra Infrastruktury i Budownictwa. 8

pozyskane przy przeglądaniu księgi wieczystej poprzez Internet (elektroniczne księgi wieczyste, do których może dotrzeć każdy użytkownik Internetu na stronie Ministra Sprawiedliwości), służą do profilowania osób fizycznych, a następnie wykorzystywania sprofilowanych danych np. w celach marketingowych. III. Podsumowanie wyników kontroli Ogólna ocena kontrolowanej działalności. 3.1 Z analizy materiału dowodowego zebranego w toku ww. kontroli wynika, iż operacje na danych osobowych właścicieli i władających nieruchomością, polegające na ich udostępnianiu z ewidencji gruntów i budynków, są realizowane w oparciu o przepisy ustawy Prawo geodezyjne i kartograficzne co oznacza, że podstawę prawną ich udostępniania stanowi art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych 14. Inspektorzy wykazali potrzebę modyfikacji i uszczegółowienia niektórych zasad, procedur i dokumentów, dotyczących procesu przetwarzania danych osobowych. Część starostów zobowiązano do uzupełnienia wniosków o wpisanie zbioru danych osobowych, jakim jest ewidencja gruntów i budynków, do rejestru zbiorów danych osobowych prowadzonego przez GIODO 15 m.in. w odniesieniu do informacji dotyczącej orzeczeń wydanych w postępowaniu administracyjnym lub sądowym, które stanowią podstawę dokonywania zmian w ewidencji gruntów i budynków i są informacjami, o których mowa w art. 27 ust. 1 ustawy (dane szczególnie chronione). 3.2. Inspektorzy stwierdzili także uchybienia w procesie udostępniania danych osobowych z ewidencji gruntów i budynków polegające m.in. na: 1) niezastosowaniu środków kryptograficznej ochrony danych przekazywanych na nośnikach optycznych Agencji Restrukturyzacji i Modernizacji Rolnictwa, Wojewódzkim Inspektorom Nadzoru Geodezyjnego i Kartograficznego oraz Agencji Nieruchomości Rolnych (art. 36 ust. 1 ustawy 16 ), 2) dokumentacja zawierająca dane osobowe właścicieli i władających nieruchomością, na którą składały się m.in. orzeczenia wydane w postępowaniu sądowym lub administracyjnym, 14 Zgodnie z art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych przetwarzanie danych jest dopuszczalne gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. 15 Zgodnie z art. 41 ust. 2 ustawy o ochronie danych osobowych administrator danych jest obowiązany zgłaszać GIODO informacje o zmianach dokonanych w zbiorze. 16 Zgodnie z art. 36 ust. 1 ustawy o ochronie danych osobowych administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 9

na podstawie których dokonywane są zmiany w ewidencji gruntów i budynków, była przechowywana w sposób umożliwiający osobom nieuprawnionym dostęp do danych osobowych, tj. na otwartych regałach (art. 36 ust. 1 ustawy), 3) niespełnieniu wymogów przewidzianych dla polityki bezpieczeństwa tj. niezawarciu w jej treści wykazu zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; opisu struktury zbiorów danych wskazującego zawartość poszczególnych pól informacyjnych i powiązania między nimi; sposobu przepływu danych pomiędzy poszczególnymi systemami ( 4 pkt 2 4 rozporządzenia 17 ) i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (część B pkt X załącznika do rozporządzenia 18 ), 4) braku zapewnienia przez system służący do przetwarzania danych osobowych daty pierwszego wprowadzenia danych do tego systemu oraz identyfikatora użytkownika wprowadzającego dane do systemu ( 7 ust. 1 pkt 1 i 2 rozporządzenia 19 ), 5) udostępnianie kopii dokumentów uzasadniających wpisy do bazy danych operatu ewidencyjnego (m.in. orzeczeń wydanych w postępowaniu sądowym lub administracyjnym) bez odnotowania tego faktu w stosownym rejestrze (art. 38 ustawy 20 ). IV. Postępowanie kontrolne i działania podjęte po zakończeniu kontroli Na skutek działań inspektorów, w starostwach powiatowych, w których stwierdzono uchybienia w zakresie przekazywania danych poza obszar przetwarzania danych, dokumentacja dotycząca przetwarzania danych, tj. polityka bezpieczeństwa, instrukcja 17 Zgodnie z 4 pkt 2-4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) polityka bezpieczeństwa, zawiera w szczególności: wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; sposób przepływu danych pomiędzy poszczególnymi systemami. 18 Zgodnie z częścią B pkt X załącznika do ww. rozporządzenia instrukcję zarządzania systemem informatycznym, rozszerza się o sposób stosowania środków zapewniających poufność i integralność danych w sytuacji gdy urządzenia i nośniki zawierające dane osobowe, o których mowa w art. 27 ust. 1 ustawy o ochronie danych osobowych, przekazywane poza obszar przetwarzania danych osobowych. 19 Zgodnie z 7 ust. 1 pkt 1 i 2 ww. rozporządzenia dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten zapewnia odnotowanie:1) daty pierwszego wprowadzenia danych do systemu; 2) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; 20 Zgodnie z art. 38 ustawy o ochronie danych osobowych administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. 10

zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, została rozszerzona o sposoby stosowania środków mających na celu bezpieczeństwo danych. Na podstawie przeprowadzonych przez inspektorów kontroli wydano także decyzje nakazujące usunięcie stwierdzonych uchybień w celu przywrócenia stanu zgodnego z prawem. Załączniki: Wykaz aktów prawnych 11

Załącznik Wykaz aktów prawnych 1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922). 2. Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). 3. Ustawa z dnia 17 maja 1989 r. Prawo geodezyjne i kartograficzne (Dz. U. z 2016 r. poz. 1629 ze zm.). 4. Rozporządzeniu Ministra Rozwoju Regionalnego i Budownictwa z dnia 29 marca 2001 r. w sprawie ewidencji gruntów i budynków (Dz. U. z 2016 r. poz. 1034 ze zm.). 5. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 9 lipca 2014 r. w sprawie udostępniania materiałów państwowego zasobu geodezyjnego i kartograficznego, wydawania licencji oraz wzoru Dokumentu Obliczenia Opłaty (Dz. U. 2014 r. poz. 917). 6. Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 8 lipca 2014 r. w sprawie formularzy dotyczących zgłaszania prac geodezyjnych i prac kartograficznych, zawiadomienia o wykonaniu tych prac oraz przekazywania ich wyników do państwowego zasobu geodezyjnego i kartograficznego (Dz. U. z 2014 r. poz. 924). 12

13

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres