GDPR Case 071. Polish DPA fines Surveyor General of Poland: Full inspection must be carried out

日期：20 July 2020

國家：波蘭

關鍵字：與監管機關合作

GDPR：§31 (cooperation with supervisory authority)

裁決：行政罰鍰

摘要：

(1) 波蘭監管機關對波蘭測量總局（Główny Geodeta Kraju，GGK）——控管者——課處行政罰鍰。

(2) 監管機關認為，控管者在調查程序過程中沒有提供必要的合作，違反 GDPR §58 規定，包括：

• 未提供監管機構進入場所、資料處理的設備及方式的許可權；
• 未提供監管機關執行職務所需的個人資料和資訊。

(3) 監管機關的任務，是對控管者關於 GDPR 的實際應用進行監管及執行，為了執行職務，監管機關應該擁有許多特定權力，包括從控制者及處理者獲得個人資料以及接近各種所需資訊，或有權進入控制者及處理者的任何場所，包括任何資料處理的設備及方式。

(4) 此外，依 GDPR §31 規定，控制者及處理者有義務與監管機構合作執行其職務。

(5) 在開始調查前，監管機關已告知控管者，有必要對通過入口網站—— GEOPORTAL2 ——取得之 Poviat 區土地和財產登記冊進行檢查，並且在通知函說明檢查範圍和日期。但在指定時間，當監管機關調查員前往檢查時，即使已出示身分證明文件及調查範圍授權書，控管者仍然不允許調查員在授權範圍內進行全面性的檢查活動。

(6) 控管者則在表示意見時，主張調查範圍所指之土地及財產登記冊，並非《地理（測量）及繪圖法》規定之個人資料。

(7) 最後，控管者——波蘭測量總長——簽署書面聲明，同意在確定是否已實施適當的技術和組織措施以確保個人資料受到足夠安全水準的保護，以及是否已任命資料保護官等範圍內進行檢查，至於監管機關授權書所載其他範圍，則拒絕進行檢查。

(8) 由於調查員無法對控管者使用的 IT 系統進行檢查，無法確定控管者是否已實施適當的技術措施以確保資料安全，因此，最終僅對控管者用於資料安全的組織措施以及是否任命資料保護官兩項進行調查。

(9) 由於控管者明確拒絕全面性的檢查活動，同時也缺乏合作意願，因此，調查員無法確定控管者究竟是基於何種法律依據——通過入口網站 GEOPORTAL2（geoportal.gov.pl）取得土地和財產登記冊的資訊時——允許接近使用土地和財產登記冊內的個人數據，以及控管者是否已實施適當的技術措施來確保資料安全。

(10) 由於調查官無法進行完整的檢查行為，監管機關對控管者課以行政罰鍰。

Reference

Article 31 Cooperation with the supervisory authority

The controller and the processor and, where applicable, their representatives, shall cooperate, on request, with the supervisory authority in the performance of its tasks.