GDPR Case 082. Polish DPA imposes 100,000 PLN fine on the Surveyor General of Poland

日期：2 September 2020

國家：波蘭

關鍵字：個人資料；合法性；合法處理

GDPR：§5(1)(a) (lawfulness, fairness and transparency)、§6 (lawfulness of processing)

裁決：行政罰鍰、命令（適當處理資料）

摘要：

(1) 本案是 Case No 071的後續。

(2) 監管機關對波蘭測量總局（GGK）——控管者——課處行政罰鍰，因為該局有下列違法行為：

• 處理個人資料違反合法性原則；
• 在沒有法律基礎的情況下，有意識地透過入口網站—— GEOPORTAL2 （geoportal.gov.pl） ——提供從土地及財產登記簿獲得之個人資料——地籍號碼——予第三人。

(3) 此外，監管機關要求測量總局必須依 GDPR 規定處理個人資料，並且停止從入口網站提供從土地及財產登記簿取得的個人資料。

(4) 監管機關認為，GEOPORTAL2 （geoportal.gov.pl） 上處理的地籍號碼屬於個人資料。［因為可以藉由地籍號碼查詢到土地及財產登記簿的內容，而］登記簿中揭露的資料範圍，包括姓名、父母姓名、身份證字號、財產位置等。允許查詢地籍號碼，可以［間接］識別登記簿裡的特定自然人。透過 GEOPORTAL2 公佈地籍號碼，任何感興趣的使用者都可以閱覽來自於登記簿所記載的各項資訊，這可能使大量人員（資料主體）的身份被盜用。

(5) 根據調查，控管者主張其公布土地及財產登記簿（包括地籍號碼）內資料的法律依據，僅僅是基於與 90 位 Poviat 區的小區（starosta）主管之間所簽訂的協議。

備註：關於小區（starosta）的設立，在波蘭有很長的歷史，根據 Wikipedia 記載，在現代波蘭，一個starosta 會指定一位小區行政長官，類似於城市或村鎮的首長。

(6) ［除了前述協議外，］控管者無法說明其究竟是依據甚麼法律規定處理個人資料，甚者，也沒有任何法律依據准許控管者透過 GEOPORTAL2，提供從小區主管——實際保管土地及財產登記簿之人——獲得的個人資料。

(7) 根據 GDPR §5(1)(a) 規定，處理個人資料必須以合法、公平及透明的方式處理，只有符合 §6 規定，才是合法地處理個人資料。

(8) 監管機關認為，就是因為控管者波蘭測量總局知道其處理土地及財產登記簿的個人資料欠缺明確的法律依據，才會需要與各小區行政長官簽訂協議。這些協議，主要涉及特定資料傳輸系統的建立與維護，其本身，並不構成小區提供個人資料（地籍號碼）予控管者的法律依據。

(9) 因此，本件控管者透過入口網站—— GEOPORTAL2 ——提供個人資料的行為，欠缺法律依據，違反 GDPR §5(1)(a)、6(1) 等規定，因為在沒有明確的法律依據情況下，透過資料傳輸系統提供個人資料是違法的。