… o ujawnieniu przez Dyrekcję Rozbudowy Miasta Gdańska danych osobowych mieszkańców

W środę, 23 lipca 2025 r., wieczorem, przesłaliśmy do Dyrekcji Rozbudowy Miasta Gdańska (DRMG) zgłoszenie naruszenia ochrony danych osobowych w dokumentacji przetargowej dotyczącej budowy linii tramwajowej GP-W.

W ogłoszeniu o przetargu nr 55/BZP-U.500.4.2025/KB na budowę linii tramwajowej w ramach Gdańskiego Projektu Komunikacji Miejskiej (etap VA), opublikowanym 18 czerwca 2025 r. na platformie zakupowej, udostępniono uproszczony wypis z ewidencji gruntów. Zawierał on pełne dane właścicieli nieruchomości zlokalizowanych na trasie planowanej inwestycji. Oznacza to, że dane te były publicznie dostępne przez ponad miesiąc.

Następnego dnia DRMG usunęła dane ze strony i opublikowała lakoniczny komunikat, z którego nie wynikało, na czym polegał problem i kogo dotyczył.

O sprawie napisał:

• wbijamszpile.pl: https://wbijamszpile.pl/wyciek-danych-z-gdanskiego-urzedu-setki-nazwisk-i-adresow-w-sieci/
• Radio Gdańsk: https://radiogdansk.pl/wiadomosci/region/trojmiasto/2025/07/24/wyciek-danych-w-gdansku-urzednicy-opublikowali-miedzy-innymi-poufne-informacje-o-mieszkancach/ oraz https://radiogdansk.pl/wiadomosci/region/trojmiasto/2025/07/25/wyciekly-dane-setek-gdanszczan-urzednicy-przyznaja-sie-do-bledu/
• TVP3 Gdańsk: https://gdansk.tvp.pl/88060681/wyciek-danych-kilkuset-mieszkancow-gdanska-urzednicy-przepraszaja

Szczegóły naruszenia

W dokumentacji do przetargu ujawnione zostało ponad 300 stron uproszczonego wypisu z ewidencji gruntów, obejmujących imiona, nazwiska, imiona rodziców, adresy zamieszkania i zameldowania oraz numery ksiąg wieczystych dla prawie 200 adresów. Wyciek dotyczy następujących ulic:

• Morenowej,
• Dobrowolskiego,
• Do Studzienki,
• Grunwaldzkiej,
• Rakoczego,
• Schuberata,
• Grodzieńskiej,
• Fiszera
• Arctowskiego
• Matejki
• Sobieskiego
• Uphagena
• Jarowej
• Jaśkowej Doliny
• Krętej,
• Politechnicznej
• Raciborskiego,
• Traugutta,
• Gojawiczyńskiej,
• Pasteura
• Miszewskiego
• Politechnicznej,
• Edisona,
• Wileńskiej,
• Bohaterów Getta Warszawskiego
• Nałkowkiej
• Edisona
• Jarowej

Zarówno ilość, jak i rodzaj ujawnionych danych wskazują na poważne naruszenie. Sytuacja jest tym bardziej niepokojąca, że za wyciek odpowiada instytucja zaufania publicznego, która, jak się wydaje, nie traktuje sprawy z należytą powagą.

Jak już wspomniano, dane były publicznie dostępne przez ponad miesiąc i w tym czasie pobierano je wielokrotnie. Strona internetowa przetargu cieszyła się dwudziestokrotnie większym zainteresowaniem niż inne postępowania prowadzone przez DRMG.

Jakie kroki powinien podjąć mieszkaniec

Poniżej cytujemy komunikat DRMG, która do tej pory nie poinformowała bezpośrednio mieszkańców dotkniętych wyciekiem danych:

W związku z tą sytuacją istnieje ryzyko pozyskania przez osobę trzecią danych osobowych właścicieli nieruchomości, co mogłoby doprowadzić do posłużenia się tymi danymi. Administrator danych, mając na celu zapewnienie jak najwyższych standardów bezpieczeństwa przetwarzania danych osobowych, informuje o konsekwencjach i negatywnych skutkach, jakie mogą potencjalnie wystąpić w związku naruszeniem ochrony danych. Wyżej opisane naruszenie, może potencjalnie skutkować powstaniem szkód majątkowych lub niemajątkowych, takich jak np.:

• podszycie się pod inną osobę lub instytucję w celu wyłudzenia dodatkowych, określonych informacji,
• osoby trzecie mogą podjąć próbę zawarcia umów cywilno-prawnych przy użyciu metod, w których tożsamość nie jest weryfikowana za pomocą dokumentu tożsamości,
• dane mogą zostać wykorzystane np. do oddania głosu w głosowaniu nad budżetem obywatelskim.

W celu zminimalizowania ewentualnych negatywnych skutków naruszenia zalecamy aby osoby, których dane ujawniono:

• ignorowały nieoczekiwane przesyłki listowne lub paczki,
• założyły konto w systemie informacji kredytowej lub gospodarczej w celu dodatkowego zabezpieczenia swoich danych przed nieuprawnionym wykorzystaniem, a także sprawdzenia dotychczasowej historii kredytowej,
• zastrzegły numer PESEL.

Przede wszystkim warto skontaktować się bezpośrednio z DRMG, aby zweryfikować, czy doszło do naruszenia naszych danych osobowych. Można to zrobić telefonicznie (58 320 51 20) lub mailowo (iod.drmg@gdansk.gda.pl). Należy jednak uzbroić się w cierpliwość – na nasze zgłoszenie wysłane w środę wciąż nie otrzymaliśmy odpowiedzi.

Zgłoszenie do Urzędu Ochrony Danych Osobowych

Można też samodzielnie wysłać skargę do UODO - co zostało opisane tutaj: https://uodo.gov.pl/pl/526/2464

Można to zrobić poprzez ePUAP wysłać informację następującej treści.

Tytuł: Naruszenie przepisów OODO przez DRMG w Gdańsku

W dniu 18 czerwca 2025 roku Dyrekcja Rozbudowy Miasta Gdańska ogłaszając przetarg 55/BZP-U.500.4.2025/KB Gdański Projekt Komunikacji Miejskiej etap VA - budowa linii tramwajowej Gdańsk Południe Wrzeszcz na platformie https://platformazakupowa.pl/transakcja/1102102 opublikowała w załącznikach uproszczony wypis z ewidencji gruntów wraz ze wszystkimi danymi właścicieli nieruchomości będących w linii budowanej trasy, obejmujące: imię, nazwisko, nazwiska rodziców, adres zameldowania oraz informację o księdze wieczystej nieruchomości. Tym samym, umożliwiając niezwykle proste odnalezienie numeru PESEL osoby.

Dokument był dostępny w " 5. Załączniki do OPZ.zip" w katalogu: Załącznik nr 1 dokumentacja projektowa > 4. inne opracowania > Inwentaryzacja i ocena stanu technicznego w pliku 22_NP_I_Rew.0.pdf

W załączeniu zrzut ekranu z pliku - dostęp z dnia 25 czerwca 2025.

Wnoszę o wszczęcie postępowania administracyjnego wobec Dyrekcji Rozbudowy Miasta Gdańska oraz zastosowanie środków przewidzianych w art. 58 ust. 2 RODO, w tym nałożenie administracyjnej kary pieniężnej, z uwagi na:

• brak indywidualnego poinformowania osób, których dane dotyczą,
  • zgodnie z art. 34 RODO urząd powinien poinformować każdą osobę indywidualnie, jeśli istnieje wysokie ryzyko naruszenia jej praw lub wolności;
  • samo umieszczenie komunikatu na stronie nie spełnia wymogu „poinformowania każdej osoby” – jest to zbyt ogólne i może być uznane za niewystarczające. Komunikat nie zawiera nawet listy ulic, których mieszkańcy zostali dotknięci bezprawnym ujawnieniem danych.
• skalę i charakter naruszenia (ujawnienie danych adresowych wielu osób przez ponad miesiąc - od ogłoszenia postępowania w dniu 18 czerwca 2025 do dnia usunięcia wrażliwych danych 23 lipca 2025).

Zgodnie z wyrokiem z dnia 26 września 2017 r. (sygn. akt I SAB/Wa 250/17), w którym Wojewódzki Sąd Administracyjny w Warszawie wyraźnie wskazał: „(…) aby podaniu można było nadać dalszy bieg winno ono zawierać adres osoby je wnoszącej, który może być adresem zamieszkania, pobytu bądź do korespondencji. Niespełnienie zaś tego wymogu nakłada na organ obowiązek pozostawienia podania bez rozpoznania”

Wskazuje adresu poczty tradycyjnej w celu zindywidualizowania mnie jako strony postępowania.

[imię i nazwisko oraz adres korespondencyjny]

Załaczniki:

• Fragment udostępnionej ewidencji gruntów, będącej naruszeniem ochrony danych osobowych
• Zawiadomienie DRMG nie obejmujące informacji o poszkodowanych - dostęp z dnia 28-07-2025
• Informacja DRMG o zmianie SWZ ze względu na ochronę danych osobowych

Nie mamy pewności, czy DRMG miało prawo przetwarzać dane osobowe w takiej formie. Wystąpiliśmy już do Wydziału Geodezji Urzędu Miasta, który udostępnił te dane, z prośbą o wyjaśnienia.

Dodatkowo, wspólnie ze specjalistami z zakresu ochrony danych, analizujemy możliwe dalsze kroki w tej sprawie.