8M bírság személyes adatok jogalap nélküli megosztásáért a neten
A Lengyel Adatvédelmi Hatóság (UODO) 2020. augusztus 31-i közleményében jelentette be, hogy 22.500 eurónak megfelelő bírságot szabott ki a Lengyel Nemzeti Főmérnökkel (GGK) szemben személyes adatok jogalap nélküli kezelése és nyilvánosságra hozatala miatt. A Hatóság a személyes adatok kezelésének jogszerűségével kapcsolatban már többször állást foglalt.
2020. márciusában kezdték meg a vizsgálatot a GGK-nál, mely arra irányult, hogy jogszerűnek minősül-e a GEOPORTAL2 (www.geoportal.gov.pl) weboldalon bizonyos személyes adatok közzététele. A vizsgálat megkezdését követően a GGK akadályozta a Hatóságot munkájának elvégzésében azzal, hogy a kért információk közül csak azokat osztotta meg, melyek az általa alkalmazott szervezeti és technikai intézkedésekre vonatkoztak, illetve azt a tényt, hogy kinevezett adatvédelmi tisztviselőt. Nem engedték ezen túl a Hatóság munkatársait belépni az adatkezelésnek helyet adó épületbe, hogy az adatkezelés módszereit és annak során felhasznált eszközöket megvizsgálhassák.
Az együttműködés megtagadásával a GGK akkor megsértette a GDPR 31. cikkét, majd miután ezt a gyakorlatát folytatta, a Hatóság 22.500 eurónak megfelelő összegű bírsággal sújtotta.
Az eljárás során a GGK végül feltárta, hogy mintegy 90 kerületi hatóságtól gyűjt földhivatali és épületnyilvántartási adatokat, melyeket aztán megoszt az interneten. Az UODO álláspontja szerint ezzel vétett a GDPR 5. cikk (1) és a 6. cikk (1) bekezdése ellen, mivel érvényes jogalappal sem rendelkezett.
A kérdéses adatokat a lengyel járások kifejezetten arra a célra gyűjtötték, hogy az a GEOPORTAL2 oldalra felkerülhessenek. Az UODO megjegyezte, hogy a GGK és a járások között kötött megállapodások célja a műszaki infrastruktúra közös elemeinek létrehozása és azok karbantartása volt meghatározott adathalmazokkal kapcsolatosan. Ez azonban nem biztosított jogalapot ezen adatok közlésére az interneten, ilyen jogalapot ugyanis a legtöbb esetben csak törvényi rendelkezés szolgáltathat.
A közölt személyes adatok között megtalálható volt az érintettek teljes neve, szüleinek neve, személyi számaik, illetve az ingatlanok pontos címe. A Hatóság véleménye szerint ezen adatok közlését követően az egyes érintettek beazonosíthatóvá váltak, mely adatokhoz minden internethasználó hozzáférhet. A jogsértés így jelentős mennyiségű érintettet tesz ki személyiségével kapcsolatos visszaélések kockázatának.
A bírság kiszabásakor a Hatóság súlyosbító körülményként értékelte, hogy az eset nagy számú érintett adatait érintette, annak szándékos voltát, illetve annak természetét és hosszát. A döntés kihirdetésekor az UODO ismételten felszólította a GGK-t szervezeti és technikai gyakorlatainak megváltoztatására, illetve a Hatósággal való együttműködésre.