RODO a wspólnoty mieszkaniowe i spółdzielnie mieszkaniowe

ochrona danych osobowych

ochrona danych osobowychDnia 25 maja 2018 roku weszły w życie nowe przepisy o ochronie danych osobowych. Wprowadzone zostały unijnym Rozporządzeniem zastępującym polską ustawę. Są one jednolite dla całej Unii Europejskiej. Te same nowe przepisy mają zastosowanie do pozyskiwania i przetwarzania danych osobowych zarówno przez pojedyncze osoby, o ile tylko ich działalność przekracza czysto domowy i osobisty charakter, jak również do takich potentatów, jeśli chodzi o skale przetwarzanych danych jak Google i Facebook. Ilość obowiązków zależy jednak od skali przetwarzania danych. Inne obowiązki będzie miała mała wspólnota kilku właścicieli, inne spółdzielnia mieszkaniowa prowadząca monitoring obejmujący tysiące przypadkowych osób oraz rozliczająca tysiące mieszkańców.

Przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – zwanego (dalej „RODO”) mają zastosowanie także do wspólnot mieszkaniowych, spółdzielni mieszkaniowych. Dotyczy zatem zarządzania nie tylko budynkami zarządzanymi przez spółdzielnię lub wspólnoty, ale także budynków wielorodzinnych bez wyodrębnionych lokali zarządzanych przez właściciela – wynajmującego lub zarządcę. Niniejszy artykuł będzie skupiał się na dwóch pierwszych kategorii podmiotów.

Kto jest administratorem danych osobowych?

Administratorem danych osobowych w zakresie zarządzania nieruchomością wspólną (lub mieniem spółdzielni) jest zawsze spółdzielnia mieszkaniowa lub wspólnota mieszkaniowa. Wszelkie obowiązki ciążą na zarządzie. Ewentualnie na osobie sprawującej stanowisko zarządy, jeśli zmieniono umownie sposób zarządu we wspólnocie. Jeżeli została podpisana umowa o zarządzanie z zewnętrznym podmiotem – administratorem (co dotyczy najczęściej wspólnot z zarządem właścicielskim), konieczne jest podpisanie umowy powierzenia przetwarzania danych osobowych z takim administratorem. Możliwe jest też dostosowanie dotychczasowej umowy. Doradzam jednak, aby nazwa takiej umowy obejmowała powierzenia przetwarzania danych osobowych. W odróżnieniu od poprzednich przepisów, RODO dokładnie wymienia elementy, które muszą znaleźć się w takiej umowie.

Wymaganych do podpisania umów może być więcej. Przykładowo, jeśli istnieje platforma internetowa, na którym znajdują się elektroniczne konta mieszkańców, będziemy mieli do czynienia z prawdziwym łańcuszkiem powierzenia przetwarzania danych osobowych. Musi się to wiązać z zawarciem odpowiedniej ilości umów i upoważnień.

Jeżeli jednak administrator będzie świadczył pewne usługi na rzecz mieszkańców samodzielnie ( nie tylko w imieniu), może także być administratorem lub współadminsitratorem. W tym wypadku nie będzie podmiotem przetwarzającym dane i musi uzgodnić zakres swojej odpowiedzialności.

Czy konieczne jest powołanie inspektora danych osobowych?

Zarówno administrator jak i podmiot przetwarzający muszą, zgodnie z art. 37 ust. 1 RODO, ustanowić inspektora danych osobowych, jeśli główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Co to właściwie oznacza?

W RODO nie zawarta precyzyjnych kryteriów tego obowiązku tylko dość niejasną klauzulę generalną, która może być różnie interpretowana. Nie ma więc jednolitego stanowiska prawników. Wydaje się natomiast, że rozliczanie mieszkańców znacznej części osiedla lub skupiska kilku bloków mieszkalnych, jak również obsługa dużej ilość wspólnot mieszkaniowych oznacza istnienie takiego obowiązku. Prowadzi to do wniosku, że każda firma administrująca nieruchomościami przetwarzająca na dużą skale dane mieszkańców i kontrolująca ich płatności, wysyłająca systematyczne zawiadomienia i wezwania, będzie musiała wyznaczyć inspektora ochrony danych. Musi także zgłosić jego ustanowienie Prezesowi Urzędu Ochrony Danych Osobowych.

Nieco trudniej jest ocenić obowiązki samej spółdzielni, czy wspólnoty. Należy zaznaczyć, że głównym celem tych podmiotów jest zarządzanie nieruchomością wspólną (mieniem Spółdzielni). Niemniej jednak w tym zakresie spółdzielnie i wspólnoty mogą przetwarzać dane swoich członków na dużą skalę. Stąd wskazane jest ustanowienie inspektora także dla dużych spółdzielni, a w przypadku wspólnot także dla nich, skoro firma administrująca może wyznaczyć inspektora na swoje potrzeby i nie ma przeszkód, aby jeden inspektor został wyznaczony dla firmy administrującej i wszystkich obsługiwanych wspólnot.

Zgoda na przetwarzanie danych

Samo zarządzanie nieruchomością wspólną, a w tym realizowanie wszelkich praw i obowiązków pomiędzy wspólnotą mieszkaniową jest uregulowane w przepisach prawa (ustawie o własności lokali). Podobnie jest w przypadku spółdzielni mieszkaniowych (ustawa o spółdzielniach mieszkaniowych). W tym zakresie nie ma potrzeby uzyskiwania od członków zgód na przetwarzanie.

Obowiązki informacyjne

Wspólnoty i spółdzielnie muszą natomiast wykonać obowiązki informacyjne, jeśli zechcą zbierać od swoich członków dane osobowe. Zgodnie z art. 13 RODO takie obowiązki ciążą w związku z pozyskiwaniem danych. Wbrew powszechnemu mniemaniu nie ma zatem bezwzględnego obowiązku wysyłania do członków spółdzielni czy wspólnoty jakichkolwiek pism informacyjnych w związku z samym wejściem w życie RODO. Taki obowiązek pojawi się najpóźniej w przypadku potrzeby pozyskiwania danych np. od nowego właściciela lokalu albo zmiany danych obecnego członka. Od wspólnoty i spółdzielni zależy, jak organizacyjnie rozwiąże ten problem. Obecnie jesteśmy „bombardowani” zawiadomieniami o RODO od takich podmiotów jak dostawcy mediów. Taka masowa wysyłka ma swoje praktyczne uzasadnienie. Podmioty te w łatwy sposób udowodnią, że wykonały odpowiednie obowiązki, niż gdyby zawiadamiały o tych prawach każdorazowo gdyby coś się zmieniało.

Pomoc prawnika

W niniejszym artykule zarysowałem jedynie niektóre problemy związane z wdrożeniem RODO we wspólnotach mieszkaniowych i spółdzielniach mieszkaniowych. Poruszyłem kilka, moim zdaniem, najbardziej problematycznych kwestii. Nie poruszyłem natomiast między innymi kwestii sposobów zapewnienia bezpieczeństwa danych, oceny skutków przetwarzania, prowadzenia rejestrów i innych dokumentów, czy zgłaszania naruszeń związanych z ochroną danych, ani także udostępniania danych na żądanie osób trzecich. Warto pomyśleć o zamówieniu szkoleń dla swoich pracowników, w szczególności pracownika, któremu powierzymy rolę inspektora. W razie jakichkolwiek wątpliwości warto skorzystać z pomocy adwokata lub radcy prawnego. RODO nie należy się bać, ale warto poświęcić trochę czasu, aby nie narazić na konsekwencje prawne związane z jego nieprzestrzeganiem.

8 opinii na temat “RODO a wspólnoty mieszkaniowe i spółdzielnie mieszkaniowe

  1. Jestem członkiem małej wspólnoty mieszkaniowej, czy sąsiad ma prawo w naszym zarządzie przeglądać moje dokumenty, typu akta notarialne, wycena lokalu itp?

    1. Właściciel lokalu i tak wie z ksiąg wieczystych kto jest właścicielem sąsiedniego lokalu oraz jego podstawowe dane. Zarząd wspólnoty powinien natomiast chronić pozostałe dane wynikające z aktu, czyli dane adresowe oraz numery dokumentów. W ogóle nie ma potrzeby przechowywania aktów i wycen, chyba że w akcie są zawarte jakieś postanowienia dotyczące części wspólnej nieruchomości. W takiej sytuacji najlepsze byłoby zanonimizowanie aktu przed udostępnieniem.

  2. jestem członkiem wspólnoty mieszkaniowej , ostatni otrzymaliśmy rozliczenie roczne w którym zarządca zarządał od nas opłaty za wdrożenie systemu RODO , czy wdrożenie tego systemu jest płatne przez właścicieli lokali we wspólnocie ? proszę o informację , pozdrawiam

    1. Czy wiadomo, czy ta opłata jest przeniesieniem na właścicieli kosztów, jakie poniósł zarządca (np. kosztów porady prawnej lub kosztów ekspertów od RODO, kosztów wydruku dokumentów i ich doręczenia właścicielom), czy jego dodatkowym wynagrodzeniem (zyskiem)?

  3. Dzień dobry,
    nurtuje mnie pewnie problem. Spółdzielnia Mieszkaniowa udostępniła treść oraz dokladne dane osobowe mojej wiadomości mailowej wysłanej na konto spóldzielni sąsiadowi. Czy taka sytuacja może mieć miejsce? Czy w tej sytuacji można domagać się praw w wyniku naruszenia RODO?

    1. Mieli prawo podac Pani dane sasiadowi:

      1. Administratorem danych członków wspólnoty mieszkaniowej, czyli podmiotem
      decydującym o celach i sposobach przetwarzania danych osobowych (art. 4 pkt 7
      RODO), jest ta wspólnota, nie zaś jej zarządca (wyrok WSA w Gliwicach z 26 czerwca
      2018 r., sygn. akt IV SAB/Gl 101/18, wyrok NSA z 15 października 2019 r., sygn. akt I
      OSK 2148/17, decyzja GIODO z 28 czerwca 2013 r., znak DOLiS/DEC-695/13/40985,
      decyzja PUODO z 17 maja 2019 r., znak ZSPU.440.156.2019).
      2. Zarządca może przetwarzać dane osobowe właścicieli lokali tylko na podstawie
      zawartej ze wspólnotą umowy powierzenia przetwarzania tych danych. Jest on
      zatem zgodnie z art. 4 pkt 8 RODO nie administratorem danych osobowych, a
      podmiotem przetwarzającym te dane na zlecenie, czyli procesorem (decyzje
      PUODO: z 16 kwietnia 2019 r., znak ZSPU.440.131.2019, z 25 kwietnia 2019 r., znak
      ZSPU.440.469.2018, z 17 maja 2019 r., znak ZSPU.440.156.2019).
      Zgodnie z art. 29 RODO podmiot przetwarzający oraz każda osoba działająca z
      upoważnienia administratora danych lub procesora i mająca dostęp do danych
      osobowych przetwarzają je wyłącznie na polecenie administratora. W związku z
      powyższym procesor (zarządca) nie ma prawa ukrywać danych osobowych przed ich
      administratorem, którym jest wspólnota, czyli ogół właścicieli lokali (art. 6 zd. 1 uwl).

    2. Z uwagi na komentarz, który się przed chwilą pojawił, a nie był w pełni na temat – dotyczył ogólnej możliwości przetwarzania danych i to przez wspólnotę a nie spółdzielnię, a nie udostępnienia konkretnych danych w konkretnej sytuacji – pragnę wyjaśnić:

      Przekazanie danych osobowych poprzez udostępnienie (nie zbioru danych tylko konkretnej danej) osobie trzeciej czy nawet członkowi swojej organizacji (w tym wypadku członkowi spółdzielni) należy rozpatrywać w kontekście art. 6 RODO:

      1.Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
      a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
      b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
      c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
      d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
      e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
      f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

      Zatem spółdzielnia nie może bez powyższych przyczyn przekazywać takich danych i powinna stosować zasady polegające na minimalizowaniu takich danych (zasłanianiu), gdy ich przekazanie nie wynika z jakiegoś obowiązku lub nie jest to konieczne do ochrony ww. interesów spółdzielni.

      Przy okazji warto też zauważyć, że jeden członek spółdzielni ma prawo przeglądać dane w rejestrze członków innego członka. Wynika to wprost z ustawy Prawo spółdzielcze.

  4. Dzień dobry,
    Dostałam informację od pracodawcy, że spółdzielnia wystawiła wezwanie do zapłaty za nieuprawnione parkowanie na terenie spółdzielni. Mandatu fizycznie nie otrzymałam a spółdzielnia nie chce mi go okazać i żąda ode mnie danych adresowych. Nie ukrywam, że nie chce ich podawać, gdyż spółdzielnia nie jest instytucją państwową. Czy spoldzielnia może żądać podania danych adresowych ode mnie lub firmy, w której pracuje?

Dodaj komentarz