Bezpieczeństwo ksiąg wieczystych to nie tylko prywatna sprawa obywatela

Sąd administracyjny i UODO mówią jednym głosem: numer księgi wieczystej niby sam w sobie dotyczy nieruchomości, ale ponieważ w środku są informacje o właścicielach, to w praktyce staje się daną osobową i podlega ochronie. W taki pośredni sposób, znając numer księgi wieczystej, można zidentyfikować osobę fizyczną, ponieważ umożliwia on bezpłatny dostęp do danych właścicieli nieruchomości, w tym imion, nazwisk. I teraz pytanie: czy masowe ściąganie takich danych jest OK? Według mnie absolutnie nie. Zwłaszcza że czasy się zmieniły, a sytuacja międzynarodowa też jest inna niż kiedyś. Trzeba brać pod uwagę nie tylko prywatność obywateli, lecz także kwestie bezpieczeństwa państwa. I to właśnie dostrzega resort. Dostęp do kompleksowych danych majątkowych umożliwia identyfikację i profilowanie sędziów, prokuratorów, funkcjonariuszy służb specjalnych oraz innych osób pełniących funkcje publiczne. Znajomość ich stanu majątkowego pozwala na ocenę podatności na korupcję czy mapowanie powiązań rodzinnych i majątkowych.

Szczerze mówiąc, nie spotkałem się z lepszymi rozwiązaniami, więc trudno o nich dyskutować. Zarówno Urząd Ochrony Danych Osobowych, jak i specjaliści wskazują, że mechanizm autoryzacji jest najlepszy. Ryzyko cyber ataków zawsze jednak pozostanie, nawet najlepsze uwierzytelnianie nie powstrzyma doświadczonego hakera. Dlatego same mechanizmy autoryzacji nie wystarczą. Potrzebne są dodatkowe zabezpieczenia techniczne i – co równie ważne – jasne przepisy mówiące, kiedy system może ograniczyć dostęp i w jaki sposób obywatel może się odwołać.

Kwestia dostępu do danych w innych rejestrach jest również przedmiotem dyskusji. Chodzi m.in. o dostęp do takich danych jak numer PESEL. Ale nie tylko. Trwa też dyskusja dotycząca ograniczenia zakresu danych przekazywanych przez notariuszy do rejestrów sądowych.

Ministerstwo ma trudne zadanie. Mechanizm autoryzacji nie może bowiem podważać zasady jawności ksiąg wieczystych. Jawność jest niezbędna dla zapewnienia pewności obrotu prawnego. Dlatego ustawodawca powinien wyraźnie połączyć te dwie wartości i zadbać, aby nie popadły ze sobą w sprzeczność.

Kolejna kwestia to retencja zalogowań, czyli jak długo będą przechowywane informacje o tym, że dana osoba przeglądała konkretną księgę wieczystą. To powinno być jasno przesądzone w przepisach. Równie ważny jest dostęp do tych danych. Kto będzie mógł sprawdzić, że ktoś przeglądał daną księgę? Z RODO wynika, że właściciel nieruchomości czy inna osoba, której dane są przetwarzane w tym zakresie, co do zasady mają prawo do informacji, kto oglądał księgę, bo numer księgi może być daną osobową w pośredni sposób. Jednak przepisy krajowe mogą to prawo ograniczyć. Moim zdaniem powinno to być uregulowane wprost w przepisach. Tak samo jak kwestia retencji oraz prawa dostępu do tych informacji przez właścicieli nieruchomości lub inne osoby, których dane pojawiają się w księdze.

Zakładam, że autoryzacja nie będzie służyć tylko temu, by wiedzieć, kto przeglądał księgę, lecz także temu, aby ograniczyć nietypowe działania, np. automatyczne pobieranie danych przez boty. W praktyce oznacza to, że dostęp użytkownika może być blokowany w określonych sytuacjach, np. przy nietypowym lub nadmiernym przeglądaniu danych. W usługach online to normalne, dostawcy informują, w jakich sytuacjach dostęp może być zablokowany. Czy w przypadku ksiąg wieczystych przepisy też to przewidzą? Jeśli tak, to takie ograniczenia będą traktowane na gruncie RODO jako automatyczne podejmowanie decyzji wywierające skutki prawne wobec użytkownika. A takie mechanizmy wymagają podstawy prawnej i odpowiedniego zakomunikowania. To oznacza, że jeżeli zostaną zastosowane mechanizmy automatycznego blokowania dostępu do określonych zasobów, moim zdaniem, będzie to czynność kwalifikowana jako zautomatyzowane podejmowani decyzji w rozumieniu RODO. Z kolei zgodnie z RODO wymaga spełnienia dodatkowych wymagań.

Moim zdaniem nowe przepisy wcale nie mają na celu likwidacji istniejących, nielegalnych baz działających za granicą. Chodzi raczej o to, żeby przyciąć bieżący dostęp, tak by w przyszłości takie bazy same się zestarzały i straciły znaczenie.

A co do tych zagranicznych baz, najprostszy – choć technicznie trudny – sposób walki z nimi to uderzenie w osoby, które z nich korzystają. Pobieranie danych z takich źródeł może być złamaniem przepisów o ochronie danych. Zgodnie z prawem wolno je przetwarzać tylko wtedy, gdy służy to temu samemu celowi, w jakim zostały pierwotnie udostępnione. A tutaj w ogóle nie powinny się znaleźć, więc korzystający z takich baz sami ryzykują odpowiedzialnością.

Jestem przeciwnikiem szerokiego dostępu do ksiąg wieczystych.

Tak, nawet oni. To raczej kwestia podejścia naszego społeczeństwa niż natury prawnej, bo dotyczy naszego wyczucia i tradycji. Dziś nie można sprawdzić sąsiada wyłącznie po adresie, choć w praktyce numer księgi da się często łatwo ustalić.

Pamiętam, że dyskusje na ten temat toczyły się już wiele lat temu, np. przy sporach między głównym geodetą kraju a portalami powiatowymi. Ostatecznie sądy administracyjne potwierdziły stanowisko urzędu i sprawa się wyjaśniła. Jawność ksiąg wieczystych zawsze była tematem debat, ale jej zakres zależał od aktualnej sytuacji politycznej i społecznej. Dziś, w obecnym kontekście geopolitycznym, wydaje się oczywiste, że granice jawności trzeba zawęzić. Dlatego rozumiem kierunek koncepcji ministerstwa – pełna weryfikacja i ograniczenie dostępu przez autoryzację. To moim zdaniem dobre rozwiązanie, choć warto wysłuchać też głosów krytycznych.

A wracając do prawników, którzy korzystają z nielegalnych portali, moim zdaniem łamią oni przepisy RODO. To, co robią, jest po prostu nielegalne.

Wykorzystywanie danych osobowych z baz numerów ksiąg wieczystych, które powstały z naruszeniem przepisów, może prowadzić do naruszenia RODO. Trudno w takiej sytuacji powoływać się na prawnie uzasadniony interes administratora, o którym mowa w art. 6 ust. 1 lit. f RODO. Nielegalne źródło pozyskania danych definitywnie podważa legitymizację całego procesu.

Dodatkowo administrator nie jest w stanie prawidłowo wypełnić obowiązku informacyjnego wynikającego z art. 14 RODO. Przepis ten nakazuje bowiem poinformowanie podmiotu danych o źródle ich pochodzenia. W analizowanym przypadku byłoby to równoznaczne z przyznaniem się do korzystania z nielegalnego zbioru. Niemożność transparentnego zrealizowania tego obowiązku ostatecznie potwierdza ryzyko powoływania się na przesłankę prawnie uzasadnionego interesu. W konsekwencji działania takie narażają administratora na wysokie kary administracyjne. ©℗