Przeglądając branżowe media można śmiało stwierdzić, iż w tym roku Urząd Ochrony Danych Osobowych („UODO”) ma – potocznie rzecz ujmując – ręce pełne roboty[1]. Tym razem nie wynika to wprost z nietrafnej działalności legislacyjnej prawodawcy, ale z luki (kolizji), która powstała w związku z orzecznictwem Naczelnego Sądu Administracyjnego, w szczególności po styczniowym wyroku NSA, w którym wprost potwierdzono, iż numer księgi wieczystej stanowi chronione dane osobowe, a przetwarzanie tych danych musi odbywać się w sposób spełniający standardy określone m.in. w Ogólnym rozporządzeniu o ochronie danych[2] („RODO”).

Problem tkwi jednak w tym, iż jednocześnie istnieją akty normatywne (i to rangi ustawowej!) nie tylko pozwalające, ale wprost nakazujące organom administracji publicznej częściowe upublicznienie numerów ksiąg wieczystych. Stan ten prowadzi do sprzeczności i póki nie zostanie naprawiony legislacyjnie – sprzeciwia się obowiązującym zasadom ochrony danych osobowych.

Księga wieczysta w kontekście danych osobowych

Problematyka danych widniejących w księgach wieczystych (w tym ustalenia charakteru prawnego tychże danych oraz zakresu ich ochrony) od dawna była obiektem zainteresowania UODO i sądów administracyjnych. Jak wskazał NSA już w wyroku z dnia 26 września 2018 r. (sygn. I OSK 11/17) „danymi osobowymi są bowiem wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, tak jak w tym przypadku przez powołanie się na numer identyfikacyjny, czy też powołanie się na cechy fizyczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Skoro treść ksiąg wieczystych jest powszechnie dostępna, to na podstawie numeru księgi wieczystej można ustalić również dane osobowe osób ujawnionych w księdze wieczystej”.

Wyrokiem z dnia 28 stycznia 2025 r. w sprawie o sygn. III OSK 6508/21 NSA oddalił skargę kasacyjną Głównego Geodety Kraju („GGK”) na decyzję Prezesa Urzędu Ochrony Danych Osobowych, w której Prezes UODO nałożył na GGK m.in. administracyjną karę pieniężną w kwocie 100 000 złotych za naruszenie art. 5 ust. 1 lit. a oraz art. 6 ust. 1 RODO. NSA orzekł konsekwentnie, iż numery ksiąg wieczystych odpowiadają definicji legalnej danych osobowych z  art. 4 ust. 1 RODO, a więc i przetwarzanie tych danych musi odbywać się w sposób ograniczony – jedynie w oparciu o właściwą podstawę prawną i w sposób gwarantujący należytą ochronę praw i interesów osób w księdze wieczystej wskazanych.  

Z perspektywy prawnej nie sposób nie zgodzić się z taką (konsekwentną) linią orzeczniczą Naczelnego Sądu Administracyjnego – znając bowiem numer księgi wieczystej prowadzonej dla wybranej nieruchomości można w sposób łatwy i bezpłatny (korzystając z oficjalnego portalu Ministerstwa Sprawiedliwości, tj. Elektronicznych Ksiąg Wieczystych[3]) ustalić nie tylko podstawy wpisów w księdze wieczystej (choćby takich jak tytuły przeniesienia własności, hipotek lub ograniczeń w korzystaniu z nieruchomości) ale i dane m.in. właścicieli lub użytkowników wieczystych nieruchomości – w tym przede wszystkim ich imiona, nazwiska i numery PESEL.

Dane osobowe nadal dostępne w BIP

Aktualnie istnieje natomiast istotny problem – dane osobowe, czyli numery ksiąg wieczystych umożliwiające bezpośredni i bezpłatny dostęp do danych osobowych osób związanych z nieruchomościami, nadal pozostają w niektórych sytuacjach publicznie dostępne.

Dzieje się tak m.in. na podstawie przepisów ustawy o ułatwieniach w przygotowaniu i realizacji inwestycji mieszkaniowych oraz inwestycji towarzyszących[4].

Zgodnie z przepisami tej ustawy, w przypadku zamiaru realizacji inwestycji mieszkaniowej inwestor występuje, za pośrednictwem wójta (burmistrza, prezydenta miasta), z wnioskiem o ustalenie lokalizacji inwestycji do właściwej miejscowo rady gminy – zgodnie z art. 7 ust. 7 pkt 8-10 analizowanej ustawy zaś wniosek taki zawiera wykaz ksiąg wieczystych prowadzonych dla nieruchomości na terenie której ma być prowadzona inwestycja oraz nieruchomości sąsiednich (których sposób korzystania ulegnie ograniczeniu lub np. na których będzie usytuowana infrastruktura towarzysząca inwestycji).

Co ważne, wniosek inwestora (wraz z niezanonimizowanymi numerami ksiąg wieczystych oczywiście) jest następnie publikowany przez organ administracji publicznej. Zgodnie bowiem z art. 7 ust. 10 tej ustawy wójt (burmistrz, prezydent miasta) nie później niż w terminie 3 dni od otrzymania wniosku, zamieszcza ten wniosek wraz z dołączonymi do niego dokumentami na stronie podmiotowej Biuletynu Informacji Publicznej gminy, a jeżeli gmina nie ma strony podmiotowej Biuletynu Informacji Publicznej na stronie internetowej gminy.

Dodatkowo zaś, zgodnie z art. 8 ust. 2 ustawy, uchwała o ustaleniu lokalizacji podlega publikacji w wojewódzkim dzienniku urzędowym (co dzieje się wraz ze wskazaniem nieruchomości związanych z tą inwestycją według katastru nieruchomości oraz księgi wieczystej, zgodnie z art. 8 ust. 1 pkt 10 ustawy). 

W analizowanej sytuacji zatem nie tylko dane osobowe właścicieli/użytkowników wieczystych nieruchomości, na których inwestycja ma być realizowana, będą udostępnione za pomocą BIP i w dzienniku urzędowym, ale również dane osobowe „sąsiadów” takiej inwestycji staną się de facto ujawnione.

Potrzebne rozwiązania problemu systemowego

Problem, o którym mowa wyżej, ma charakter systemowy i – w mojej ocenie przynajmniej – nie da się go rozwiązać w inny sposób, niż legislacyjnie. Zapewnienie odpowiedniego standardu ochrony danych osobowych staje się dziś jednym z najważniejszych wyzwań legislacyjnych z perspektywy państwa. Nie możemy jednocześnie zapominać o tym, że za nieodpowiednie przetwarzanie danych osobowych nie odpowiada jedynie państwo – za naruszenie przepisów może odpowiadać w zasadzie każdy, tym bardziej istotne, przede wszystkim z perspektywy przedsiębiorców jest to, żeby wdrażać efektywne, spójne, legalne polityki i zabezpieczenia w tym zakresie. Korzystanie z usług profesjonalisty znającego (i rozumiejącego) RODO może uchronić przedsiębiorcę przed potencjalnymi negatywnymi oraz dotkliwymi konsekwencjami związanymi z nieprawidłowym gromadzeniem lub przetwarzaniem danych osobowych.

[1] https://www.prawo.pl/biznes/numery-ksiag-wieczystych-w-internecie-a-rodo,532110.html

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

[3] https://ekw.ms.gov.pl/eukw_ogol/menu.do

[4] Dz. U. 2018 poz. 1496