Jawność ksiąg wieczystych a ochrona prywatności 
– nowe standardy dla rynku nieruchomości po wyroku NSA

Numery ksiąg wieczystych są danymi osobowymi – orzekł Naczelny Sąd Administracyjny w przełomowym wyroku z 28 stycznia 2025 r. (sygn. akt III OSK 5393/21). Decyzja ta potwierdza stanowisko prezesa Urzędu Ochrony Danych Osobowych (UODO), który już w 2020 r. wymierzył sankcję finansową głównemu geodecie kraju (GGK) za udostępnianie tych informacji w serwisie Geoportal2.

Wydany wyrok będzie miał dalekosiężne reperkusje dla rynku nieruchomości, geodezji oraz systemu ochrony danych osobowych w Polsce. NSA podkreśla w nim bowiem konieczność stosowania norm RODO, nawet w odniesieniu do informacji, które na pierwszy rzut oka nie wydają się bezpośrednio łączyć z konkretną jednostką.

Kiedy numer księgi wieczystej staje się danymi osobowymi? Przełomowy wyrok NSA w sporze UODO z GGK

Spór między prezesem UODO a GGK rozpoczął się w 2020 r. od kontroli przeprowadzonej przez organ nadzorczy, która wykazała, że GGK w serwisie Geoportal2 publikował numery ksiąg wieczystych. Dane te, powiązane z informacjami z ewidencji gruntów i budynków, umożliwiały użytkownikom szybkie przejście do elektronicznego systemu ksiąg wieczystych prowadzonego przez Ministerstwo Sprawiedliwości. W efekcie każdy mógł uzyskać szczegółowe informacje o właścicielach nieruchomości, ich numerach PESEL oraz ewentualnych obciążeniach hipotecznych.

PUODO uznał, że publikacja tych danych narusza RODO, ponieważ GGK nie miał podstawy prawnej do ich ich udostępniania w serwisie Geoportal2. Organ wskazał, że numery ksiąg umożliwiają identyfikację osoby fizycznej i tym samym stanowią dane osobowe w rozumieniu RODO. Według PUODO ujawnienie numeru, w połączeniu z powszechnie dostępnymi narzędziami technicznymi, pozwala na błyskawiczne ustalenie tożsamości właściciela oraz ocenę jego sytuacji majątkowej. W rezultacie na GGK nałożono karę administracyjną w wysokości 100 tys. zł. Jednak ten zakwestionował ją argumentując, że numery ksiąg wieczystych nie są danymi osobowymi, gdyż same w sobie nie identyfikują osób. Podkreślał, iż informacje zawarte w księgach dotyczą jedynie nieruchomości, co – według niego – wyłącza je spod regulacji RODO.

Sprawa trafiła do wojewódzkiego sądu administracyjnego (WSA), który przychylił się do stanowiska UODO. W konsekwencji GGK złożył skargę kasacyjną do NSA, który ostatecznie, jak wspomniałyśmy, rozstrzygnął sprawę na niekorzyść skarżącego.

Co to są dane osobowe?

RODO definiuje dane osobowe jako „wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (»osobie, której dane dotyczą«); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej”.

W skrócie – dane osobowe to wszelkie informacje, które identyfikują w sposób pośredni lub bezpośredni tożsamość danej osoby. Motyw 26 RODO wskazuje, że przy ocenie, czy dane pozwalają na identyfikację osoby, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby, które mogą zostać wykorzystane przez administratora lub procesora do zidentyfikowania danej osoby na ich podstawie. To, czy dany sposób można uznać za uzasadniony, należy zweryfikować pod kątem takich obiektywnych czynników jak koszt i czas potrzebny do ich zidentyfikowania. Należy również w ocenie uwzględnić technologię dostępną w momencie przetwarzania danych, umożliwiającą identyfikację danej osoby.

Ważne! W związku z regulacjami zapisanymi w Motywie 26 RODO, za dane osobowe uznaje się np. adres IP komputera czy numer PESEL. Mimo że większość osób nie jest w stanie samodzielnie ustalić właściciela danej nieruchomości na podstawie numeru księgi wieczystej, prezes UODO uznaje, że istnienie możliwości powiązania tego numeru z konkretną osobą przesądza o tym, iż stanowi on dane osobowe.

Nie jest więc zaskoczeniem, że zarówno organ nadzorczy, jak i sądy obu instancji uznały numery ksiąg wieczystych za dane osobowe.

Warto przy tym pamiętać, że księgi wieczyste są zdigitalizowane od około 12 lat i dostępne online poprzez system EKW (Elektroniczne Księgi Wieczyste). Znając numer księgi, każdy może w ciągu kilku sekund uzyskać nieograniczony dostęp do jej treści, która obejmuje m.in. informacje o udziale w prawie własności, imię i nazwisko, imiona rodziców oraz numer PESEL właściciela nieruchomości. W przypadku Geoportalu2 dostęp do pełnej treści księgi wieczystej był dodatkowo możliwy dzięki funkcji hiperłącza, kierującego bezpośrednio do elektronicznej księgi na stronie resortu sprawiedliwości.

Podstawa prawna publikacji numerów ksiąg wieczystych - obowiązki administratora danych w świetle RODO

Po ustaleniu, że mamy do czynienia z danymi osobowymi, konieczne stało się sprawdzenie, czy przetwarzanie tych danych (w tym przypadku publikacja numerów ksiąg wieczystych przez GGK w serwisie Geoportal2) odbywa się zgodnie z obowiązującymi przepisami. Każdy podmiot, niezależnie od swojego charakteru (zarówno instytucja publiczna, jak i firma prywatna), może przetwarzać dane osobowe jedynie w przypadku posiadania odpowiedniej podstawy prawnej.

Poprzez przetwarzanie danych osobowych rozumie się operacje (działania) dotyczące danych osobowych, zarówno zautomatyzowane, jak i manualne, w tym zbieranie, utrwalanie, organizowanie, przechowywanie, wykorzystywanie oraz udostępnianie danych. W związku z tym publikacja numerów ksiąg wieczystych przez GGK miała bez wątpienia charakter przetwarzania.

Ważne przesłanki

Organ publiczny może dokonywać przetwarzania danych osobowych jedynie wtedy, gdy spełniona zostanie jedna z poniższych przesłanek:

• osoba, której dane dotyczą, wyraziła zgodę na ich przetwarzanie w określonych celach;
• operacja ta jest niezbędna do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub podjęcia działań na żądanie osoby, której dane dotyczą, przed jej zawarciem;
• przetwarzanie jest niezbędna do wypełnienia obowiązku prawnego ciążącego na administratorze;
• czynność ta jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
• operacja jest niezbędna do realizacji zadania wykonywanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi.

W przypadku podstaw prawnych wynikających z lit. c i e podstawa przetwarzania musi istnieć w prawie Unii Europejskiej lub w prawie krajowym. W omawianej sprawie ani prezes UODO, ani sądy obu instancji nie znalazły przepisów upoważniających do publikacji tych danych. Pozostałe przesłanki tym bardziej nie znalazły tutaj zastosowania. I choć główny geodeta kraju wskazywał, że rozporządzenie Komisji (UE) nr 1089/2010 z 23 listopada 2010 r. w sprawie wykonania dyrektywy 2007/2/WE Parlamentu Europejskiego i Rady w zakresie interoperacyjności zbiorów i usług danych przestrzennych (dalej: rozporządzenie KE 1089/2010), a szczególnie rozdział 6 załącznika II nie stanowi podstawy umożliwiającej publikację numerów ksiąg wieczystych w Geoportal2 to ani prezes UODO, ani WSA i NSA nie dostrzegły tu odpowiednich uprawnień.

Wspomniane rozporządzenie KE 1089/2010 jest ściśle powiązane z dyrektywą 2007/2/WE Parlamentu Europejskiego i Rady z 14 marca 2007 r. ustanawiającą infrastrukturę informacji przestrzennej we Wspólnocie Europejskiej (INSPIRE) (dalej: dyrektywa INSPIRE). Geoportal2 został opracowany właśnie w ramach realizacji tych aktów prawnych. Prezes UODO zauważył, że zakres danych przewidziany w zbiorach przestrzennych według dyrektywy INSPIRE nie obejmuje informacji o własności czy statusie prawnym nieruchomości.

Jak podkreślił WSA, zgodnie z motywem 24 dyrektywy INSPIRE świadczenie usług sieciowych, takich jak udostępnianie danych w ramach Geoportal2, musi być zgodne z zasadami ochrony danych osobowych określonymi przez RODO. Art. 13 ust. 1 lit. f tej dyrektywy umożliwia państwom członkowskim ograniczenie dostępu do zbiorów i usług danych przestrzennych, jeśli ich udostępnienie mogłoby naruszyć poufność danych – szczególnie, gdy osoba, której dane dotyczą, nie wyraziła zgody na ich publiczne ujawnienie, a ochrona tych informacji jest przewidziana przepisami krajowymi lub unijnymi.

Dodatkowo, WSA wskazał, że ze względu na porozumienia zawarte między GGK a starostwami, zastosowanie znajduje również art. 364 ust. 16 ustawy o księgach wieczystych i hipotece. Zgodnie z nim: „Centralna Informacja umożliwia organom prowadzącym kataster nieruchomości, dla nieruchomości z określonej miejscowości, gminy lub powiatu, w celu weryfikacji zgodności danych ewidencji gruntów i budynków z danymi zawartymi w księgach wieczystych, bezpłatne pozyskiwanie, za pośrednictwem systemu teleinformatycznego, informacji zawartych w dziale pierwszym i drugim ksiąg wieczystych, bez prawa ich udostępniania osobom trzecim”. Przepis ten nie uprawnia do udostępniania danych, a wręcz przeciwnie – wyraźnie je ogranicza. WSA podkreślił, że ograniczenie to nie dotyczy jedynie danych z poszczególnych działów, ale obejmuje również sam numer księgi wieczystej, gdyż jego posiadanie umożliwia dostęp do pełnej treści dokumentu. W przypadku Geoportal2 numery ksiąg wieczystych były hiperłączami przekierowującymi do elektronicznej księgi na stronie resortu sprawiedliwości, co umożliwiało szybkie i bezproblemowe uzyskanie kompleksowych informacji o nieruchomości.

UODO oraz sądy zwróciły także uwagę na art. 5a ust. 1 oraz ust. 4 Prawa Geodezyjnego i Kartograficznego (dalej: p.g.k.), które nakładają na GGK obowiązek działania w sposób uniemożliwiający nieuprawnione ujawnianie danych osobowych, (w tym dane osobowe w postaci numerów ksiąg wieczystych) .

W opinii prezesa UODO, porozumienia zawarte między starostwami a GGK zostały zawarte na podstawie art. 5 p.g.k. w związku z art. 7 i art. 9 ust. 1 ustawy z 4 marca 2010 r. o infrastrukturze informacji przestrzennej (dalej: u.i.i.p.). Zgodnie z art. 11 tej ostatniej ustawy, dostęp do zbiorów danych przestrzennych podlega ograniczeniom wynikającym m.in. z przepisów ustawy o ochronie danych osobowych. Wszystkie przytoczone regulacje wyraźnie wskazują na konieczność ochrony danych, a nie na swobodę ich publikowania.

Kim jest administrator?

Zgodnie z art. 4 pkt 7 RODO administratorem danych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, którzy samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych.

Kluczowe dla kwalifikacji podmiotu jako administratora jest ustalenie, czy przetwarza dane w celu i w sposób przez siebie indywidualnie (lub w porozumieniu z innymi podmiotami) ustalony. RODO wyróżnia również tzw. podmiot przetwarzający (procesora), który działa w imieniu administratora. Różnica polega na tym, że administrator ustala cel, podczas gdy procesor jedynie wykonuje określone zadania. Dobrym przykładem jest sytuacja, gdy firma korzysta z usług hostingowych – dostawca chmury działa jako procesor, podobnie jak firmy IT czy biura rachunkowe.

W omawianej sprawie prezes UODO uznał GGK za administratora danych, wskazując, że to właśnie on publikował dane w Geoportal2. Co więcej, regulamin serwisu wyraźnie określał, że: „Administratorem Pani/Pana danych osobowych jest Główny Geodeta Kraju z siedzibą w Warszawie, ul. Wspólna 2, 00–926 Warszawa”. Prezes UODO podkreślił także, że zaplanowana kontrola miała obejmować szczegółową analizę roli GGK w procesie publikacji numerów ksiąg wieczystych, jednak ze względu na odmowę współpracy przez GGK nie udało się ustalić wszystkich szczegółów tego procesu.

GGK w skardze kasacyjnej twierdził, że WSA nie dokonał pełnej analizy jego roli, wskazując, czy działał jako administrator, procesor lub pełnił jeszcze inną funkcję. Naczelny Sąd Administracyjny zauważył jednak, że sednem sprawy było ustalenie, czy GGK przetwarzał dane osobowe zgodnie z obowiązującymi przepisami. Sąd potwierdził, iż WSA właściwie rozstrzygnął ten aspekt, wykazując że brakowało podstawy prawnej dla przetwarzania danych osobowych przez GGK.

Kontrola UODO i kary za naruszenie ochrony danych osobowych - konsekwencje dla instytucji publicznych

Przeprowadzenie postępowania kontrolnego przez prezesa UODO zostało znacząco utrudnione przez GGK. Po okazaniu legitymacji i stosownych upoważnień przez pracowników UODO, GGK odmówił współpracy, uniemożliwiając przeprowadzenie zaplanowanych czynności kontrolnych. W szczególności GGK zablokował dostęp do systemów informatycznych wykorzystywanych przy publikacji danych na Geoportal2 oraz odmówił udzielenia wyjaśnień dotyczących legalności podejmowanych działań. W rezultacie organ nałożył na GGK karę administracyjną.

Interesujący jest również fakt, iż GGK w skardze podniósł zarzut o wszczęcie postępowania bez przeprowadzenia postępowania kontrolnego. WSA, a następnie NSA, słusznie zauważyły, że takie twierdzenie, przy jednoczesnym utrudnianiu kontroli przez podmiot, miałoby charakter prób uniknięcia odpowiedzialności za naruszenie przepisów o ochronie danych osobowych. WSA podkreślił, iż nie istnieje przepis ograniczający wszczęcie postępowania tylko do podmiotów, które są kontrolowane – art. 90 ustawy o ochronie danych osobowych stwierdza jedynie, że w przypadku zebrania w czasie kontroli dowodów na naruszenie przepisów, Prezes jest zobowiązany do niezwłocznego wszczęcia postępowania.

Prezes UODO wymierzył GGK maksymalną karę pieniężną, wynoszącą 100 tys. zł, przewidzianą dla organów administracji publicznej. Według WSA, co następnie potwierdził NSA, wysokość sankcji była adekwatna do naruszenia i właściwie umotywowana. Organ wykazał, że działania GGK miały charakter umyślny – pomimo, iż zawarte w porozumieniach ze starostwami podstawy prawne nie upoważniały do publikacji numerów ksiąg wieczystych, GGK nadal podejmował takie działania. Z treści porozumień wynikało, że ich celem było usprawnienie krajowego systemu informacji przestrzennej, a nie publiczne udostępnianie danych osobowych w Geoportal2. Co więcej, GGK był świadomy stanowiska PUODO, który uznał numery ksiąg wieczystych za dane osobowe, a mimo to kontynuował publikację tych informacji. W świetle powyższych ustaleń sądy obu instancji uznały wymierzenie najwyższej możliwej kary za w pełni uzasadnione.

Planowane zmiany w dostępie do elektronicznych ksiąg wieczystych - weryfikacja tożsamości i ograniczenia masowego pobierania danych

Na początku bieżącego roku Ministerstwo Sprawiedliwości zapowiedziało zmiany legislacyjne dotyczące dostępu do ksiąg wieczystych. Planowane przepisy mają wprowadzić obowiązkową weryfikację użytkowników pragnących uzyskać dostęp do treści ksiąg. Oznacza to, że każda osoba będzie musiała potwierdzić swoją tożsamość poprzez:

• elektroniczną identyfikację – np. za pomocą Krajowego Węzła Identyfikacji Elektronicznej,
• osobistą wizytę – w ekspozyturze Centralnej Informacji, po okazaniu dowodu osobistego.

Nowe rozwiązania mają na celu:

• uniemożliwienie zbiorczego pobierania danych przez nieuprawnione podmioty,
• blokowanie automatycznych (masowych) zapytań składanych przez tzw. roboty,
• zwiększenie ochrony prywatności i danych osobowych poprzez eliminację anonimowego dostępu do ksiąg.

Choć planowane zmiany ograniczą swobodny dostęp do informacji, to jednocześnie zapewnią większe bezpieczeństwo danych oraz uniemożliwią ich nieuprawnione wykorzystywanie przez podmioty prywatne.

Ochrona prywatności a bezpieczeństwo transakcji na rynku nieruchomości - jak zachować równowagę?

Orzeczenie NSA niewątpliwie wymusi dostosowanie procedur związanych z obrotem nieruchomościami do bardziej restrykcyjnych zasad ochrony danych osobowych. Jawność ksiąg wieczystych, uregulowana m.in. art. 2 ustawy z 6 lipca 1982 r. o księgach wieczystych i hipotece, pełni kluczową rolę w zapewnieniu bezpieczeństwa transakcji na rynku nieruchomości. Umożliwia ona realizację funkcji informacyjnej i ochronnej, pozwalając potencjalnym nabywcom na weryfikację stanu prawnego nieruchomości, ustalenie jej właściciela oraz sprawdzenie ewentualnych obciążeń, takich jak hipoteki czy roszczenia osób trzecich. Transparentność tych danych stanowi fundament bezpiecznego obrotu, chroniąc uczestników rynku przed oszustwami, np. sprzedażą nieruchomości przez osoby nieuprawnione lub ukrywaniem istniejących zobowiązań.

Ważne! Obecnie każdy uczestnik transakcji ponosi ryzyko, jeśli nie zapozna się osobiście z treścią księgi wieczystej. W sytuacji gdy strona dokonująca czynności prawnej nie sprawdza dokumentu, a jedynie opiera się na oświadczeniach kontrahenta, działa na własne ryzyko.

Stanowisko to potwierdza orzecznictwo Sąd Najwyższego, które wskazuje, iż strona umowy dotyczącej nieruchomości nie może opierać się wyłącznie na zapewnieniach kontrahenta, lecz powinna samodzielnie zweryfikować treść wpisów w księdze wieczystej. Zaniedbanie tego obowiązku skutkuje utratą prawa do późniejszego powoływania się na ewentualne nieścisłości.

W konsekwencji nadmierne ograniczenie jawności danych istotnych dla rynku nieruchomości budzi uzasadnione obawy. Kluczowe będzie opracowanie rozwiązań technologicznych i prawnych, które umożliwią rzetelną ocenę ryzyka oraz kontrolowany dostęp do informacji, nie naruszając przy tym swobody działania uczestników rynku i zasady jawności ksiąg.

Analizując proponowane zmiany legislacyjne, takie jak obowiązkowa weryfikacja tożsamości użytkowników przeglądających księgi, warto zauważyć, że stanowią one próbę znalezienia kompromisu między transparentnością rynku a ochroną prywatności. Nowe rozwiązania zredukują możliwość anonimowego pozyskiwania danych, jednocześnie umożliwiając weryfikację informacji przez osoby zainteresowane legalnym obrotem nieruchomościami.

W naszej opinii, wprowadzenie Krajowego Węzła Identyfikacji Elektronicznej – wykorzystującego takie narzędzia jak profil zaufany czy e-dowód – to krok w dobrą stronę, jednak nie powinien on stanowić bariery dla przeciętnego obywatela. Warto rozważyć model warstwowy lub system wielopoziomowej autoryzacji, umożliwiający podstawowy dostęp bez logowania oraz rozszerzony po potwierdzeniu tożsamości.

Kolejnym problemem pozostaje wykorzystywanie danych z ksiąg wieczystych przez firmy operujące poza polskim porządkiem prawnym. Zamiast drastycznego ograniczenia dostępu dla użytkowników indywidualnych, należałoby skupić się na wdrożeniu skutecznych zabezpieczeń technicznych, blokujących masowe, automatyczne pobieranie danych (tzw. web scraping). Można tu zastosować limity zapytań, dynamiczne progi dostępu, system CAPTCHA, analizę nietypowych wzorców ruchu, dynamiczne zmiany struktury strony, blokowanie automatycznych zapytań poprzez tzw. honeypoty czy tokenizację dostępu. Dodatkowo, wprowadzenie sankcji administracyjnych i karnych za nieuprawnione przetwarzanie oraz masową odsprzedaż danych osobowych z ksiąg wieczystych mogłoby skutecznie ograniczyć nadużycia, nie wpływając negatywnie na legalny obrót nieruchomościami.

Praktyczne wskazówki dla sprzedających i kupujących - jak legalnie udostępniać i pozyskiwać dane z ksiąg wieczystych

Wspomniany wyrok NSA może zasadniczo wpłynąć na sposób, w jaki strony transakcji nieruchomościowych powinny dbać o ochronę informacji. Zarówno sprzedający, jak i kupujący mają określone obowiązki związane z udostępnianiem danych, które muszą być zgodne zarówno z zasadą jawności ksiąg, jak i wymogami RODO.

Sprzedający powinien zachować szczególną ostrożność przy udostępnianiu informacji dotyczących nieruchomości. Przekazanie numeru księgi wieczystej potencjalnemu nabywcy powinno nastąpić dopiero po upewnieniu się, że druga strona jest rzeczywiście zainteresowana zakupem oraz że udostępnienie tych danych jest uzasadnione w kontekście negocjacji. W praktyce oznacza to, że numer księgi nie powinien być publikowany w ogłoszeniach sprzedaży, na przykład na portalach nieruchomościowych, gdyż może to prowadzić do niekontrolowanego rozpowszechniania informacji. Zamiast tego, przekazywanie numeru powinno odbywać się bezpośrednio – najlepiej w ramach umowy rezerwacyjnej, listu intencyjnego, umowy o zachowaniu poufności lub po wcześniejszej weryfikacji tożsamości i podpisaniu oświadczenia określającego cel wykorzystania danych.

Kupujący natomiast ma prawo do weryfikacji stanu prawnego nieruchomości przed dokonaniem transakcji, jednak powinien korzystać z otrzymanych danych wyłącznie w ramach ich przeznaczenia. Uzyskanie numeru księgi nie oznacza swobody jego dalszego rozpowszechniania osobom trzecim, szczególnie w celach niezwiązanych z konkretną transakcją. Sprzedający, przekazując numer, mogą wprowadzić dodatkowe mechanizmy zabezpieczające, zobowiązując kupującego do ograniczenia kręgu osób, którym zostaną ujawnione te dane – wyłącznie do kancelarii notarialnej lub doradców prawnych. Na etapie umów przedwstępnych kupujący mogą również oświadczyć, że dane te będą wykorzystywane wyłącznie do celów transakcyjnych, zobowiązując się do ich nieudostępniania osobom trzecim, przy czym naruszenie tego zobowiązania powinno skutkować nałożeniem odpowiednich sankcji umownych lub odpowiedzialnością cywilną.

Wprowadzenie takich rozwiązań nie tylko zwiększy bezpieczeństwo obrotu nieruchomościami, ale również ochroni dane osobowe sprzedających przed ich niekontrolowanym rozpowszechnianiem. Profesjonalne wsparcie ekspertów, w tym przygotowanie stosownych umów, klauzul informacyjnych oraz procedur minimalizujących ryzyko nieuprawnionego dostępu do danych, przyczyni się do zapewnienia zgodności procesu sprzedaży z wymogami RODO. ©℗