INFORMACJE OGÓLNE

 

Na wstępie wyjaśnić należy sam przytoczony skrót. Chodzi tu oczywiście o rozporządzenie ogólne dotyczące ochrony danych osobowych, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, Dz.Urz. UE L 119/1 z 04.05.2016 roku, które wchodzi w życie z dniem 25 maja 2018 roku.

Skutkiem jego wejścia w życie jest uchylenie polskiej ustawy o ochronie danych osobowych z 1997 roku. Zamiast niej na terenie całej Unii Europejskiej będą obowiązywać jednolite zasady przetwarzania i ochrony danych osobowych regulowane właśnie przez RODO.

Wspólnota mieszkaniowa jest bez wątpienia administratorem danych osobowych, czyli podmiotem decydującym o celach i sposobach przetwarzania danych osobowych swoich członków.

Ze względu na fakt, że wspólnota mieszkaniowa powstaje z mocy prawa oraz ma określone prawa i obowiązki względem właścicieli lokali ją tworzących, przyjąć należy że podstawą do przetwarzania przez nią danych osobowych tychże podmiotów jest ustawa o własności lokali. Stąd też nie jest konieczne odbieranie przez wspólnotę mieszkaniową dodatkowych zgód od swoich członków na przetwarzanie ich danych osobowych. Należy bowiem wskazać, że RODO wymienia kilka alternatywnych przesłanek legalizujących przetwarzanie danych osobowych, z których tylko jedną jest zgoda. Jej brak zatem, przy jednoczesnym istnieniu innej przesłanki (np. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze), nie uniemożliwia przetwarzania danych osobowych przez wspólnotę mieszkaniową.

RODO wprowadza wszakże dodatkowe obowiązki, które każdy administrator danych osobowych powinien spełnić. Pierwszym z nich jest konieczność wypełnienia obowiązku informacyjnego, czyli przekazania członkom wspólnoty ogólnych informacji o przetwarzaniu ich danych osobowych przez wspólnotę mieszkaniową. Zakres tychże informacji wskazany został wprost w RODO i obejmuje, prócz danych o samym administratorze, również m.in. cel, zakres i podstawę prawną przetwarzania danych, a także wskazanie podstawowych praw osób, których dane osobowe są przetwarzane.

Ustawodawca rozróżnia przy tym dwa zakresy przekazywanych klauzul informacyjnych. Pierwszy dotyczy przypadków, gdy dane osobowe są zbierane przez administratora bezpośrednio od konkretnych osób fizycznych. Drugi zaś, gdy wspólnota mieszkaniowa uzyskuje te dane osobowe za pośrednictwem innej osoby, np. od dewelopera albo przy udziale administratora lub zarządcy nieruchomości. W tym drugim przypadku, tj. pośrednim pozyskiwaniu danych osobowych, obowiązek informacyjny jest szerszy.

Jeżeli dane osobowe zbierane są w trybie bezpośrednim, obowiązek informacyjny należy wykonać w trakcie takiego zbierania. Natomiast w drugim ze wskazanych przypadków, w terminie 30 dni od otrzymania danych osobowych przez wspólnotę mieszkaniową. RODO nie nakazuje przy tym aby obowiązek informacyjny wykonywany był w formie pisemnej. Wystarczające będzie zatem wysłanie maila ze stosowną informacją do poszczególnych członków wspólnoty mieszkaniowej.

Kolejnym obowiązkiem ciążącym na wspólnocie, jako administratorze danych osobowych, jest obowiązek prowadzenia rejestru czynności przetwarzania, do którego wpisywane są ogólne informacje dotyczące zbiorów danych osobowych administrowanych przez wspólnotę mieszkaniową. Do rejestru takiego wpisywane są podstawowe informacje, takie jak chociażby nazwa zbioru, cele przetwarzania, kategorie przetwarzanych danych, planowany termin usunięcia danych, czy też ogólny opis technicznych i organizacyjnych środków bezpieczeństwa stosowanych przez wspólnotę względem poszczególnych zbiorów danych osobowych.

Odnośnie zaś samego bezpieczeństwa danych osobowych wskazać należy, że RODO odchodzi od wprowadzania sztywnych wymogów w tym zakresie. To każdy administrator samodzielnie zobligowany będzie do ustalenia środków zabezpieczenia przetwarzanych danych osobowych. Aby ułatwić dobór tego typu środków RODO wymaga przeprowadzenia tzw. procedury projektowania ochrony danych osobowych. Procedurę tą można przyrównać do audytu istniejącego systemu zabezpieczeń, rozpisania ścieżki i schematów przepływu danych osobowych oraz wyznaczenia obszarów, w których pojawia się ryzyko naruszenia bezpieczeństwa tychże danych. Względem zidentyfikowanych w ten sposób ryzyk, administrator powinien ustanowić środki mające minimalizować ich wystąpienie oraz skutki ich zaistnienia. Środki takie mogą przybrać postać środków organizacyjnych (np. wewnętrznych procedur przetwarzania danych), środków fizycznych (np. blokad i zamków w drzwiach i szafach), środków informatycznych (np. programów antywirusowych, zapór internetowych, szyfrowania).

RODO wprowadza również dodatkowe uprawnienia osób, których dane dotyczą. Osoby takie będą miały prawo, nie tylko do żądania udzielenia informacji o zakresie przetwarzanych danych, zaktualizowania ich, ograniczenia ich przetwarzania, czy też przekazania innemu administratorowi ich kopii, ale także żądania usunięcia (tzw. prawo do zapomnienia). Słów kilka powiedzieć należy na temat ostatniego z tych uprawnień. Mianowicie, nie jest ono bezwzględne, gdyż administrator nie będzie zobligowany się do niego zastosować, gdy będzie dysponował przesłanką legalizującą przetwarzanie danych osobowych. Z drugiej wszakże strony, gdy uzna żądanie takie za zasadne, będzie zobowiązany do poinformowania o nim wszystkich podmiotów, którym przekazał albo udostępnił dane osobowe, aby i one dokonały ich usunięcia.

Na zakończenie wspomnieć należy o jeszcze dwóch kwestiach związanych z ochroną danych osobowych we wspólnotach mieszkaniowych. Pierwszą z nich jest rola administratora albo zarządcy zatrudnionego przez wspólnotę. Będzie on pełnił, względem niej i jej danych osobowych, funkcję tzw. podmiotu przetwarzającego (procesora). Jest to podmiot, któremu administrator powierza przetwarzanie konkretnych kategorii danych osobowych w konkretnych, jasno sprecyzowanych celach. Procesor bowiem, w odróżnieniu od administratora nie określa samodzielnie celów przetwarzania danych osobowych, a jedynie przetwarza je w oparciu o umowę z administratorem. Procesor zobligowany jest do prowadzenia własnego rejestru operacji przetwarzania danych osobowych.

Co ważne, przekazanie danych osobowych procesorowi nie wymaga uzyskania zgody osób, których dane dotyczą. Jeżeli wszakże, zarządca chciałby przekazać ww. dane osobowe jeszcze innemu podmiotowi, musi mieć na to zgodę wspólnoty mieszkaniowej.

Ostatnią kwestią, o której należy wzmiankować, jest przetwarzanie danych osobowych różnego typu podmiotów współpracujących ze wspólnotą mieszkaniową. Pod rządami RODO bowiem osoby prowadzące jednoosobową działalność gospodarczą na podstawie wpisu do CEiDG zostaną objęte systemem ochrony danych osobowych. Dane tychże osób tworzyć będą zatem odrębny zbiór danych osobowych podlegający przepisom RODO.

Ochrona danych właścicieli lokali we wspólnocie mieszkaniowej

Wejście w życie RODO, czyli ogólnego rozporządzenia o ochronie danych osobowych dało początek wielu wątpliwościom dotyczącym gromadzenia i administrowania tego typu informacji. Jednym z rodzajów instytucji upoważnionych do przetwarzania danych osobowych swoich członków są wspólnoty mieszkaniowe. W jaki sposób powinny one chronić ich personalia i komu mogą je udostępniać?

RODO, czyli unijne rozporządzenie o ochronie danych osobowych obowiązujące od 25 maja 2018 roku, wywołało spory popłoch wśród administratorów informacji dotyczących osób prywatnych. Przez przetwarzanie danych osobowych rozumiemy operacje takie jak ich zbieranie, przechowywanie, usuwanie, opracowywanie oraz udostępnianie. Rozporządzenie dopuszcza możliwość wykonywania tych czynności m.in. wtedy, gdy osoba, której dotyczą dane, wyrazi na to zgodę lub gdy administrator wykaże się jedną z przesłanek legalizujących przetwarzanie danych.

Czy wspólnota ma prawo przetwarzać dane osobowe swoich członków?

Wspólnotę mieszkaniową tworzy ogół właścicieli lokali, w związku z czym prawo upoważnia ją do przetwarzania danych osobowych dotyczących jej członków. Identyczna sytuacja dotyczy zarządu wspólnoty, o ile w jego skład wchodzą współwłaściciele nieruchomości.

Prawidłowe wykonywanie obowiązków spoczywających na zarządcy lub zarządzie wspólnoty wręcz zobowiązuje do gromadzenia informacji na temat jej członków. Jednocześnie organy te mają prawo do wglądu w treść aktów notarialnych, natomiast nie mogą ich gromadzić ani przechowywać.

Wszyscy członkowie wspólnoty mieszkaniowej udostępniają swoje dane zarządcy, który staje się ich administratorem. Kwestie te można uregulować za pośrednictwem umowy zarządzania nieruchomością wspólną. Jeżeli zarządca udostępnia wspomniane informacje jakiemukolwiek innemu podmiotowi (np. zatrudnionemu pracownikowi), musi wystawić mu odpowiednie upoważnienie. Dodatkowo należy również prowadzić ewidencję osób mających możliwość przetwarzania tych danych. Ponadto w sytuacji, kiedy zarządca zleca realizację określonych zadań zewnętrznemu podmiotowi, co wiąże się z przekazaniem danych osobowych członków wspólnoty, jest zobowiązany do zawarcia z nim umowy powierzenia przetwarzania danych osobowych. 

Zasada minimalizacji danych

Tzw. zasada minimalizacji danych została uwzględniona w art. 5 ust. 1 rozporządzenia RODO. Zgodnie z tym zapisem gromadzone dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Dodatkowo okres ich przechowywania nie może być dłuższy niż to konieczne. Warunki te stanowią jeden ze środków ochrony informacji na temat właścicieli lokali. Oczywiście, im mniej danych znajduje się w posiadaniu wspólnoty, tym mniejsze szkody w przypadku ich ujawnienia. Oprócz tego administrator ma obowiązek wdrożenia nieodzownych sposobów na zabezpieczenie posiadanych przez siebie informacji. Zwykle jest to kombinacja trzech różnych ich rodzajów: organizacyjnego (czyli wewnętrznych procedur przetwarzania danych), fizycznego (np. zamykane szafki, blokady w drzwiach) oraz informatycznego (m.in. programy antywirusowe, sieć VPN).

Dostęp do dokumentów wspólnoty mieszkaniowej

Każdy właściciel lokalu ma prawo do kontroli działalności zarządu wspólnoty mieszkaniowej, w tym dostępu do dokumentacji związanej z zarządzaniem nieruchomością (np. zawierającej dane na temat kosztów zarządzania nieruchomością). Jednocześnie administrator zobowiązany jest do ochrony praw i interesów osób, których dotyczą udostępniane dane. Oznacza to, że ich zakres powinien być ograniczony do tych, które są niezbędne do współdziałania w zarządzaniu nieruchomością lub kontrolowania jego poprawności.

Członek wspólnoty ma prawo żądać nie tylko wglądu w informacje zawarte w dokumentach, ale także otrzymania ich kopii. Dzięki takiemu uprawnieniu może np. zasięgnąć opinii prawnika w sprawie uzyskanych danych. Zapoznanie się z dokumentacją często jest możliwe dopiero po złożeniu odpowiedniego wniosku, w którym należy zawrzeć dane wnioskodawcy oraz podstawę uprawnień kontrolnych (np. informację o tym, że jest się członkiem wspólnoty).

Wśród dokumentów, które można udostępnić członkom wspólnoty mieszkaniowej, znajdują się informacje o wysokości zadłużenia poszczególnych członków, kosztorysy, porozumienia, umowy, oferty, uchwały, regulaminy, dokumentacja techniczna, faktury, rachunki, rozliczenia, a także korespondencja z kontrahentami lub urzędami. Natomiast niedozwolone jest udostępnianie wyciągów bankowych zawierających numery rachunków innych właścicieli, kopii aktów notarialnych, danych kontaktowych członków wspólnoty oraz informacji o zużyciu mediów w konkretnych lokalach.

Warto pamiętać, że prawo do wglądu w dokumenty wspólnoty przysługuje bardzo ograniczonemu gronu. Nie należy udostępniać ich osobom do niej nienależącym. Oznacza to, iż publiczne wywieszanie pewnych informacji (np. listy dłużników) w takich miejscach jak klatka schodowa (z której mogą korzystać również osoby nieposiadające lokalu w danym budynku, np. goście lokatorów) jest niedozwolone.