Wspólnoty mieszkaniowe, zarządcy wspólnot oraz spółdzielnie mieszkaniowe, coraz częściej stają przed wyzwaniami jakie niesie ze sobą ochrona danych osobowych. Przepisy RODO wymagają przestrzegania określonych zasad, a za ich naruszenie grożą kary nakładane przez Prezesa Urzędu Ochrony Danych Osobowych.
Jakie błędy najczęściej popełniają wspólnoty i spółdzielnie mieszkaniowe? Jak ich uniknąć? Oto najważniejsze wnioski z ostatniego sprawozdania z działalności Prezesa UODO!
1. Udostępnianie danych na tablicach ogłoszeń – czy każdą informację można wywiesić na tablicy na klatce schodowej?
Skarga wpłynęła na wspólnotę i spółdzielnię mieszkaniową. Wspólnota mieszkaniowa udostępniła na tablicy ogłoszeń dane osobowe mieszkańca, w tym imię i nazwisko, co miało na celu poinformowanie członków wspólnoty o podjęciu uchwały w sprawie przeznaczenia środków z konta eksploatacyjnego na wynagrodzenie adwokata w postępowaniu karnym przeciwko temu mieszkańcowi. Wydaje się to praktycznym rozwiązaniem, jednak UODO uznał to za naruszenie RODO.
Dlaczego to był błąd?
Dane osobowe nie mogą być upubliczniane w sposób, który nie spełnia przesłanek z art. 6 ust. 1 RODO, czyli nie było żadnej podstawy do udostępnienia tych danych na tablicy ogłoszeń na klatce schodowej. Informowanie o tak wrażliwych sprawach powinno odbywać się w sposób dyskretny, na przykład poprzez indywidualną korespondencję z członkami wspólnoty. Prezes UODO skierował do wspólnoty mieszkaniowej upomnienie w związku z zaistniałym naruszeniem.
Jak to zrobić prawidłowo?
- Unikaj podawania danych osobowych na ogólnodostępnych tablicach ogłoszeń.
- Używaj indywidualnych powiadomień: listownie lub przez systemy online z dostępem chronionym hasłem.
Pamiętaj!
Dostęp do tablic informacyjnych znajdujących się w budynku wspólnoty mieszkaniowej mają nie tylko członkowie wspólnoty, ale także osoby postronne, jak np. osoby odwiedzające mieszkańców czy też osoby świadczące różne usługi na rzecz mieszkańców. Zatem publikowanie pewnych informacji na tablicy ogłoszeń, które powinny być znane tylko członkom wspólnoty, będzie powodować udostępnienie danych osobowych osobom nieuprawnionym, co w konsekwencji może prowadzić do naruszenia danych osobowych oraz wystąpienia negatywnych konsekwencji dla osoby, której dane znajdą się w wywieszonej informacji. Taka osoba może zetknąć się np. z dyskryminacją wśród lokalnej społeczności.
2. Korespondencja mailowa – uważaj, jakie dane wysyłasz e-mailem!
Sytuacja 1. Zarządca wspólnoty wysłał e-maila do wszystkich członków wspólnoty mieszkaniowej z informacją o zadłużeniu jednej osoby. W wiadomości zawarto pełne dane osobowe w zakresie imienia, nazwiska, numeru lokalu (adres), adresu e-mail oraz informacji dotyczących zadłużenia, co Prezes UODO uznał za naruszenie przepisów RODO.
Sytuacja 2. Zarządca wspólnoty wysłał e-maila do wszystkich członków wspólnoty mieszkaniowej informującego o wniesieniu przez skarżącą przeciwko ww. wspólnocie pozwu do sądu o uchylenie uchwał wspólnoty mieszkaniowej. Do wiadomości e-mail został załączony skan pozwu wraz z załącznikami zawierający dane osobowe w postaci numeru PESEL, stałego adresu zamieszkania i numeru rachunku bankowego.
Dlaczego to był błąd?
Sytuacja 1. Nie było podstawy prawnej do udostępnienia takich informacji wszystkim członkom wspólnoty w celu poinformowania ich o przebiegu windykacji zadłużenia w ww. wspólnocie. Żaden przepis prawa, w szczególności ustawy o własności lokali, nie nakładał na wspólnotę obowiązku, którego realizacja wymagałaby udostępnienia tych danych.
Sytuacja 2. Udostępnienie danych osobowych skarżącej, zawartych we wniesionym przez nią pozwie o uchylenie uchwał wspólnoty mieszkaniowej, na rzecz pozostałych członków tej wspólnoty nie było niezbędne powiadomienia członków wspólnoty o wniesieniu przeciwko niej pozwu. Udzielenie tej informacji było możliwe bez udostępniania danych skarżącej.
Jak to zrobić prawidłowo?
- Informacje o zadłużeniach przekazuj tylko zainteresowanym osobom, bez ujawniania danych osobowych innym członkom wspólnoty.
- Jeśli korzystasz z korespondencji e-mailowej, używaj adresów w polu UDW (ukryta kopia), aby nie ujawniać danych innych odbiorców.
- Dane, które przetwarzasz jako administrator, musisz przetwarzać zgodnie z prawem w zakresie ograniczonym do tego, co niezbędne dla realizacji celów przetwarzania.
- Zanim udostępnisz dane członka wspólnoty pozostałym właścicielom, zastanów się czy jest naprawdę konieczne.
Pamiętaj!
Za działania zarządcy nieruchomości wspólnej, działającego jako podmiot przetwarzający, odpowiedzialna jest wspólnota mieszkaniowa, jako administrator danych osobowych. Dlatego w tym przypadku, mimo że maila wysłał zarządca, to wspólnota została ukarana – Prezes UODO udzielił wspólnocie upomnienia.
3. Monitoring – czy każdy ma prawo do dostępu do nagrań?
Mieszkaniec wspólnoty poprosił o dostęp do nagrań z monitoringu, na których był widoczny jego wizerunek. Wspólnota odmówiła, uzasadniając to ochroną prywatności innych osób. UODO uznał to za naruszenie RODO.
Dlaczego to był błąd?
Osoba, której dane dotyczą (w tym wizerunek), ma prawo do dostępu do swoich danych. Wspólnota powinna była udostępnić te fragmenty nagrań, na których widoczna jest wyłącznie osoba wnioskująca o nagrania.
Jak to zrobić prawidłowo?
- Udzielaj dostępu do nagrań tylko osobie, której dane dotyczą, dbając o anonimizację wizerunków innych osób.
- Zastosuj techniki anonimizacji, np. zamazywanie twarzy innych osób lub usunięcie fragmentów nagrania.
- Administrator ma obowiązek dokonać anonimizacji w taki sposób, aby zabieg ten był zabiegiem nieodwracalnym, czyli tak, aby osoba otrzymująca nagranie nie mogła cofnąć wprowadzonych zmian.
Pamiętaj!
Zgodnie z art. 15 ust. 3 RODO wspólnota mieszkaniowa miała obowiązek dostarczenia osobie, której dane dotyczą, kopii danych osobowych podlegających przetwarzaniu, także tych pozyskiwanych za pomocą monitoringu wizyjnego. Osoba, której wizerunek jest nagrywany, ma zagwarantowaną możliwość realizowania swoich uprawnień wynikających z RODO i nie musi wykazywać interesu w uzyskaniu nagrania. Wspólnota powinna wdrożyć odpowiednie środki techniczne i organizacyjne zapewniające realizację tych uprawnień. Jaki był efekt złożonej skargi na odmowę udostępnienia nagrań przez wspólnotę? Prezes UODO skierował do wspólnoty upomnienie.
4. Kradzież dokumentów z danymi osobowymi – zgłaszaj, nie ukrywaj!
Wspólnota mieszkaniowa padła ofiarą kradzieży dokumentów, w tym kopii aktu notarialnego, znajdujących się u zarządcy wspólnoty, ale nie zgłosiła tego incydentu do UODO. Prezes UODO nałożył na wspólnotę administracyjną karę pieniężną w wysokości 1 556,28 PLN oraz nakazał powiadomienie osób poszkodowanych, których dane przetwarzane były na skradzionej kopii aktu notarialnego.
Dlaczego to był błąd?
Zgodnie z przepisami RODO, naruszenia ochrony danych osobowych należy zgłaszać do UODO w ciągu 72 godzin od momentu ich stwierdzenia. Ponadto do kradzieży doszło u zarządcy wspólnoty, z którym wspólnota nie miała zawartej umowy powierzenia przetwarzania danych osobowych oraz nie zweryfikowała, czy zarządca zapewnia wystarczające gwarancje by dane członków wspólnoty były przetwarzane w bezpieczny sposób i zgodny z RODO.
Jak to zrobić prawidłowo?
- Przygotuj wewnętrzną procedurę zgłaszania incydentów.
- W przypadku kradzieży lub wycieku danych niezwłocznie powiadom UODO oraz osoby, których dane dotyczą.
- Pamiętaj o umowie powierzenia i weryfikacji podmiotu przetwarzającego dane.
- Przetwarzaj tylko te dane, których potrzebujesz – nie kseruj aktów notarialnych.
Pamiętaj!
Po pierwsze – umowa cywilnoprawna opisująca wzajemne prawa i obowiązki wyłącznie w odniesieniu do zarządu nieruchomością wspólną nie jest wystarczająca – w odniesieniu do danych osobowych przetwarzanych przez zarządcę wspólnota powinna zawrzeć z nim stosowną umowę powierzenia przetwarzania danych osobowych po wcześniej ocenie wdrożenia przez zarządcę wystarczających środków technicznych i organizacyjnych w zakresie bezpiecznego przetwarzania danych osobowych.
Po drugie – wspólnota mieszkaniowa (a więc również jej zarządca) nie ma prawa do przechowywania aktów notarialnych poszczególnych lokali, w których zawarte są dane osobowe ich właścicieli.
5. Ujawnianie danych mediom – nie zawsze wolno!
Spółdzielnia mieszkaniowa przekazała dane członkini spółdzielni dziennikarzom, nie informując o tym ani osoby poszkodowanej, ani UODO. W wyniku tego nałożono na spółdzielnię administracyjną karę pieniężną w wysokości 51.876,- PLN oraz nakazano zawiadomienie osoby o naruszeniu poufności jej danych.
Dlaczego to był błąd?
Udostępnienie danych osobowych osobom trzecim wymaga zgody osoby, której dane dotyczą lub innej podstawy prawnej. W tej sytuacji doszło do tego, że dane członkini spółdzielni (imię i nazwisko, adres zamieszkania i numer PESEL) otrzymała osoba związana z mediami informacyjnymi, która o ich udostepnienie w ogóle nie wnioskowała.
Ponadto spółdzielnia nie zgłosiła tego naruszenia do Prezesa UODO ani nie zawiadomiła o zaistniałym naruszeniu osoby, której dane znalazły się w udostępnionym dokumencie.
Jak to zrobić prawidłowo?
- Nie udostępniaj danych osobowych mediom bez zgody zainteresowanej osoby.
- W przypadku zapytań medialnych udzielaj informacji ogólnych, bez wskazywania konkretnych danych osobowych.
Pamiętaj!
W ocenie Prezesa UODO, naruszenia dotyczące takich kategorii danych, jak imię, nazwisko i numer PESEL, co do zasady wiążą się z wysokim ryzykiem dla osób, których dane dotyczą. Dlatego zarówno organ jak i osoby dotknięte naruszeniem powinny być zawiadamiane o naruszeniach związanych z ujawnieniem tego numeru.
Krótkie podsumowanie
Dbanie o bezpieczeństwo danych osobowych we wspólnotach i spółdzielniach mieszkaniowych wymaga odpowiedzialności oraz znajomości przepisów RODO. Najczęstsze błędy to:
- Upublicznianie danych na tablicach ogłoszeń,
- Niewłaściwe używanie korespondencji e-mailowej,
- Odmowa dostępu do danych z monitoringu,
- Brak zgłoszenia incydentów związanych z ochroną danych do Prezesa UODO,
- Nieuprawnione udostępnianie danych osobom trzecim,
- Niezawiadomienie osób poszkodowanych o naruszeniu.
Jak bezpiecznie przetwarzać dane osobowe mieszkańców?
Co zrobić, aby przetwarzać dane osobowe mieszkańców zgodnie z prawem? Oto kilka rekomendacji dla zarządów wspólnot, spółdzielni oraz zarządców nieruchomości:
- Regularne szkolenia z zakresu ochrony danych osobowych – aby zwiększyć świadomość i unikać najczęstszych błędów.
- Opracowanie procedur dotyczących przetwarzania danych osobowych – w tym polityk bezpieczeństwa i instrukcji postępowania w razie incydentów.
- Zasada minimalizacji danych – przetwarzaj wyłącznie te dane, które są niezbędne do realizacji celów.
- Wdrażanie odpowiednich zabezpieczeń technicznych i organizacyjnych – np. szyfrowanie danych, zabezpieczenia hasłami, kontrola dostępu.
- Umowy powierzenia przetwarzania danych – aby uregulować warunki, na jakich zarządca może przetwarzać dane osobowe w imieniu administratora wspólnoty i czy gwarantuje bezpieczeństwo tych danych.
Szkolenie CompNet – Twoja droga do zgodności z RODO!
Chcesz zgłębić temat ochrony danych osobowych we wspólnotach i spółdzielniach mieszkaniowych? Nasz nagrany kurs „Prawidłowe zarządzanie danymi osobowymi we wspólnotach mieszkaniowych i spółdzielniach: Aspekty Praktyczne” jest idealnym wyborem!
Kliknij CompNet – Szkolenie dla wspólnot mieszkaniowych i poznaj 6 korzyści, dzięki którym lepiej zrozumiesz i skuteczniej będziesz zarządzał danymi osobowymi przetwarzanymi we wspólnotach i spółdzielniach mieszkaniowych.
Autor: Monika Kowalik | Dyrektor Projektu w CompNet Sp. z o.o.