RODO a wspólnoty mieszkaniowe i spółdzielnie mieszkaniowe

ochrona danych osobowychDnia 25 maja 2018 roku weszły w życie nowe przepisy o ochronie danych osobowych. Wprowadzone zostały unijnym Rozporządzeniem zastępującym polską ustawę. Są one jednolite dla całej Unii Europejskiej. Te same nowe przepisy mają zastosowanie do pozyskiwania i przetwarzania danych osobowych zarówno przez pojedyncze osoby, o ile tylko ich działalność przekracza czysto domowy i osobisty charakter, jak również do takich potentatów, jeśli chodzi o skale przetwarzanych danych jak Google i Facebook. Ilość obowiązków zależy jednak od skali przetwarzania danych. Inne obowiązki będzie miała mała wspólnota kilku właścicieli, inne spółdzielnia mieszkaniowa prowadząca monitoring obejmujący tysiące przypadkowych osób oraz rozliczająca tysiące mieszkańców.

Przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – zwanego (dalej „RODO”) mają zastosowanie także do wspólnot mieszkaniowych, spółdzielni mieszkaniowych. Dotyczy zatem zarządzania nie tylko budynkami zarządzanymi przez spółdzielnię lub wspólnoty, ale także budynków wielorodzinnych bez wyodrębnionych lokali zarządzanych przez właściciela – wynajmującego lub zarządcę. Niniejszy artykuł będzie skupiał się na dwóch pierwszych kategorii podmiotów.

Kto jest administratorem danych osobowych?

Administratorem danych osobowych w zakresie zarządzania nieruchomością wspólną (lub mieniem spółdzielni) jest zawsze spółdzielnia mieszkaniowa lub wspólnota mieszkaniowa. Wszelkie obowiązki ciążą na zarządzie. Ewentualnie na osobie sprawującej stanowisko zarządy, jeśli zmieniono umownie sposób zarządu we wspólnocie. Jeżeli została podpisana umowa o zarządzanie z zewnętrznym podmiotem – administratorem (co dotyczy najczęściej wspólnot z zarządem właścicielskim), konieczne jest podpisanie umowy powierzenia przetwarzania danych osobowych z takim administratorem. Możliwe jest też dostosowanie dotychczasowej umowy. Doradzam jednak, aby nazwa takiej umowy obejmowała powierzenia przetwarzania danych osobowych. W odróżnieniu od poprzednich przepisów, RODO dokładnie wymienia elementy, które muszą znaleźć się w takiej umowie.

Wymaganych do podpisania umów może być więcej. Przykładowo, jeśli istnieje platforma internetowa, na którym znajdują się elektroniczne konta mieszkańców, będziemy mieli do czynienia z prawdziwym łańcuszkiem powierzenia przetwarzania danych osobowych. Musi się to wiązać z zawarciem odpowiedniej ilości umów i upoważnień.

Jeżeli jednak administrator będzie świadczył pewne usługi na rzecz mieszkańców samodzielnie ( nie tylko w imieniu), może także być administratorem lub współadminsitratorem. W tym wypadku nie będzie podmiotem przetwarzającym dane i musi uzgodnić zakres swojej odpowiedzialności.

Czy konieczne jest powołanie inspektora danych osobowych?

Zarówno administrator jak i podmiot przetwarzający muszą, zgodnie z art. 37 ust. 1 RODO, ustanowić inspektora danych osobowych, jeśli główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Co to właściwie oznacza?

W RODO nie zawarta precyzyjnych kryteriów tego obowiązku tylko dość niejasną klauzulę generalną, która może być różnie interpretowana. Nie ma więc jednolitego stanowiska prawników. Wydaje się natomiast, że rozliczanie mieszkańców znacznej części osiedla lub skupiska kilku bloków mieszkalnych, jak również obsługa dużej ilość wspólnot mieszkaniowych oznacza istnienie takiego obowiązku. Prowadzi to do wniosku, że każda firma administrująca nieruchomościami przetwarzająca na dużą skale dane mieszkańców i kontrolująca ich płatności, wysyłająca systematyczne zawiadomienia i wezwania, będzie musiała wyznaczyć inspektora ochrony danych. Musi także zgłosić jego ustanowienie Prezesowi Urzędu Ochrony Danych Osobowych.

Nieco trudniej jest ocenić obowiązki samej spółdzielni, czy wspólnoty. Należy zaznaczyć, że głównym celem tych podmiotów jest zarządzanie nieruchomością wspólną (mieniem Spółdzielni). Niemniej jednak w tym zakresie spółdzielnie i wspólnoty mogą przetwarzać dane swoich członków na dużą skalę. Stąd wskazane jest ustanowienie inspektora także dla dużych spółdzielni, a w przypadku wspólnot także dla nich, skoro firma administrująca może wyznaczyć inspektora na swoje potrzeby i nie ma przeszkód, aby jeden inspektor został wyznaczony dla firmy administrującej i wszystkich obsługiwanych wspólnot.

Zgoda na przetwarzanie danych

Samo zarządzanie nieruchomością wspólną, a w tym realizowanie wszelkich praw i obowiązków pomiędzy wspólnotą mieszkaniową jest uregulowane w przepisach prawa (ustawie o własności lokali). Podobnie jest w przypadku spółdzielni mieszkaniowych (ustawa o spółdzielniach mieszkaniowych). W tym zakresie nie ma potrzeby uzyskiwania od członków zgód na przetwarzanie.

Obowiązki informacyjne

Wspólnoty i spółdzielnie muszą natomiast wykonać obowiązki informacyjne, jeśli zechcą zbierać od swoich członków dane osobowe. Zgodnie z art. 13 RODO takie obowiązki ciążą w związku z pozyskiwaniem danych. Wbrew powszechnemu mniemaniu nie ma zatem bezwzględnego obowiązku wysyłania do członków spółdzielni czy wspólnoty jakichkolwiek pism informacyjnych w związku z samym wejściem w życie RODO. Taki obowiązek pojawi się najpóźniej w przypadku potrzeby pozyskiwania danych np. od nowego właściciela lokalu albo zmiany danych obecnego członka. Od wspólnoty i spółdzielni zależy, jak organizacyjnie rozwiąże ten problem. Obecnie jesteśmy „bombardowani” zawiadomieniami o RODO od takich podmiotów jak dostawcy mediów. Taka masowa wysyłka ma swoje praktyczne uzasadnienie. Podmioty te w łatwy sposób udowodnią, że wykonały odpowiednie obowiązki, niż gdyby zawiadamiały o tych prawach każdorazowo gdyby coś się zmieniało.

Pomoc prawnika

W niniejszym artykule zarysowałem jedynie niektóre problemy związane z wdrożeniem RODO we wspólnotach mieszkaniowych i spółdzielniach mieszkaniowych. Poruszyłem kilka, moim zdaniem, najbardziej problematycznych kwestii. Nie poruszyłem natomiast między innymi kwestii sposobów zapewnienia bezpieczeństwa danych, oceny skutków przetwarzania, prowadzenia rejestrów i innych dokumentów, czy zgłaszania naruszeń związanych z ochroną danych, ani także udostępniania danych na żądanie osób trzecich. Warto pomyśleć o zamówieniu szkoleń dla swoich pracowników, w szczególności pracownika, któremu powierzymy rolę inspektora. W razie jakichkolwiek wątpliwości warto skorzystać z pomocy adwokata lub radcy prawnego. RODO nie należy się bać, ale warto poświęcić trochę czasu, aby nie narazić na konsekwencje prawne związane z jego nieprzestrzeganiem.

Dodaj komentarz

Przeczytaj regulamin komentowania treści bloga.