RODO we Wspólnocie Mieszkaniowej

Jest to jedno z najczęstszych pytań, jakie zadają sobie członkowie wspólnot i zarządcy nieruchomości. Zgodnie z art. 4 ust. 7 RODO administratorem danych jest ten podmiot, który: „ustala cele i sposoby przetwarzania danych osobowych”.

W przypadku wspólnoty mieszkaniowej administratorem danych osobowych jest zarząd wspólnoty, czyli organ powołany w trybie art. 20 ustawy o własności lokali. To on wykazuje działania w imieniu wspólnoty i podejmuje decyzje m.in. o tym::

• jak przetwarzane są dane właścicieli lokali,

• kto ma dostęp do rejestru lokatorów,

• na jakich zasadach działa monitoring,

• komu i w jakim zakresie można udostępnić dane.

W przypadku tzw. zarządu powierzonego (powierzenie zarządu osobie fizycznej lub prawnej zgodnie z art. 18 ustawy o własności lokali), administratorem danych nadal pozostaje wspólnota mieszkaniowa, która jest reprezentowana przez zarządcę powołanego do sprawowania zarządu.

Jeśli wspólnota wybrała zarząd właścicielski, ale dodatkowo powierza bieżącą obsługę osobie trzeciej (np. firmie zarządzającej lub administratorowi technicznemu), taka osoba działa jako podmiot przetwarzający. Przetwarza dane osobowe wyłącznie na podstawie umowy powierzenia zawartej z zarządem wspólnoty (podstawa prawna: art. 28 RODO).

Zarządca natomiast, jako podmiot zewnętrzny, wykonuje czynności techniczne lub organizacyjne w imieniu wspólnoty na podstawie zawartej umowy powierzenia przetwarzania danych (podstawa prawna: art. 28 RODO). Bez niej zarządca nie może legalnie przetwarzać danych mieszkańców.

Uwaga! Wspólnota zawiera z zarządcą zwykłą umowę o administrowanie, bez klauzul RODO. Brakuje też dokumentu powierzającego przetwarzanie danych? Jest to sytuacja całkowicie niezgodna z przepisami, która może skutkować sankcjami ze strony UODO.

Jednym z najczęstszych źródeł sporów i naruszeń przepisów RODO w budynkach wspólnotowych jest niewłaściwie wdrożony system monitoringu osiedlowego.

Zgodnie z wytycznymi UODO i art. 6 ust. RODO, monitoring może być legalny tylko wtedy, gdy:

1. Ma prawnie uzasadniony cel. Może to być przykładowo ochrona mienia, zwiększenie bezpieczeństwa na osiedlu mieszkaniowym.

2. Nie narusza nadmiernie prywatności mieszkańców.

3. Obejmuje tylko przestrzenie wspólne. Nie może obejmować np. drzwi do mieszkań.

4. Mieszkańcy zostali o nim poinformowani, np. za pomocą tabliczek informacyjnych i klauzul RODO.

5. Nagrania są przechowywane przez ograniczony czas – maksymalnie 3 miesiące (chyba że są potrzebne jako dowód w sprawie).

Przykładowa sytuacja, która jest niezgodna z przepisami RODO: Kamera obejmuje drzwi do konkretnego lokalu lub balkon mieszkańca. Wspólnota naraża się wówczas na zarzut przetwarzania danych z naruszeniem prywatności. Może więc zostać ukarana przez UODO, nawet jeśli kamera została zamontowana w celu poprawy bezpieczeństwa.

W praktyce funkcjonowania wspólnot mieszkaniowych można zaobserwować wiele powtarzających się błędów związanych z przetwarzaniem danych osobowych. Ich źródłem jest najczęściej brak wiedzy o obowiązkach wynikających z RODO lub mylne przekonanie, że rozporządzenie nie dotyczy wspólnoty jako podmiotu nieprowadzącego działalności gospodarczej. Niestety takie podejście może prowadzić do poważnych naruszeń prawa.

Jednym z najczęstszych błędów jest brak rozróżnienia rodzaju zarządu we wspólnocie mieszkaniowej. Zgodnie z ustawą o własności lokali możemy wyróżnić:

• Zarząd właścicielski (własny) – powołany przez właścicieli. Administratorami danych są członkowie zarządu wspólnoty. Jeśli korzystają z pomocy administratora nieruchomości, koniecznością jest zawarcie umowy powierzenia.

• Zarząd powierzony – wykonywany przez zarządcę wpisanego do księgi wieczystej. W tym przypadku to zarządca jest administratorem danych osobowych i sam odpowiada za ich przetwarzanie zgodnie z RODO.

Problemem jest sytuacja, w której np. przy zarządzie właścicielskim administrator nieruchomości (firma zewnętrzna) przetwarza dane bez podpisanej umowy powierzenia. Stanowi to naruszenie przepisów, za które odpowiada cały zarząd wspólnoty.

2. Problemem jest również nieprawidłowe udostępnianie danych osobowych wszystkim mieszkańcom.

Może się to odbywać np. poprzez publikowanie list dłużników na ogólnodostępnej tablicy ogłoszeń. Ujawnianie imienia, nazwiska i numeru lokalu zadłużonych właścicieli może zostać uznane za nieuprawnione przetwarzanie danych i naruszenie zasady minimalizacji oraz legalności.

3. Kolejną istotną nieprawidłowością jest stosowanie monitoringu bez właściwego poinformowania mieszkańców.

Kamery są zainstalowane, ale wspólnota zapomina o obowiązku oznakowania obszaru monitorowanego i udostępnienia klauzuli informacyjnej. Jest to wymagane na podstawie art. 13 RODO. Brak takiej informacji uniemożliwia osobom, których dane są przetwarzane, realizację ich podstawowych praw.

4. Często spotykanym błędem jest również przechowywanie nagrań z monitoringu przez zbyt długi czas.

Nagrania są przechowywane przez 6 miesięcy lub nawet dłużej, bez uzasadnienia w przepisach prawa czy w wewnętrznej analizie ryzyka. Tymczasem standardowo okres retencji nie powinien przekraczać 3 miesięcy, chyba że konkretny incydent uzasadnia dłuższe przechowywanie materiału.

5. Niepokojąca jest też praktyka udzielania dostępu do danych osobowych osobom nieupoważnionym.

Dostęp jest przekazywany pracownikom technicznym lub konserwatorom, którzy nie powinni mieć wglądu do systemu monitoringu, baz danych mieszkańców czy rejestru płatności. Brak odpowiedniego zarządzania dostępami narusza zasady poufności i integralności danych.

6. Ostatecznie wiele wspólnot nie reaguje w sposób prawidłowy na wnioski mieszkańców dotyczące realizacji ich praw.

Właściciel lokalu zwraca się z pytaniem o to, kto przetwarza jego dane lub prosi o kopię informacji, a zarząd nie udziela odpowiedzi w wymaganym terminie lub ignoruje żądanie. A zgodnie z art. 12 ust. 3 RODO administrator ma obowiązek odpowiedzi w terminie do 30 dni od otrzymania żądania.

…..Przykłady naruszeń RODO we wspólnotach mieszkaniowych z praktyki UODO

1. Brak zgłoszenia naruszenia po kradzieży dokumentów

W jednej ze wspólnot zarządca przechowywał kopie aktów notarialnych właścicieli lokali. Po kradzieży tych dokumentów nie zgłoszono incydentu do UODO ani nie poinformowano osób, których dane dotyczyły. Było to poważne naruszenie art. 33 i 34 RODO – administrator miał obowiązek zgłoszenia naruszenia ochrony danych w ciągu 72 godzin i poinformowania mieszkańców o możliwych skutkach. UODO nałożył na wspólnotę karę finansową w wysokości 1556 zł i wskazał na brak analizy ryzyka i nieprawidłową reakcję na incydent.

2. Monitoring bez umowy powierzenia i zabezpieczeń technicznych

Spółka zarządzająca nieruchomością instalowała i obsługiwała monitoring bez zawartej umowy powierzenia przetwarzania danych, a także bez wdrożenia odpowiednich środków bezpieczeństwa. Zarówno wspólnota, jak i zarządca nie potrafili wskazać, kto faktycznie odpowiada za dane z kamer. UODO stwierdził naruszenie art. 28 ust. 3 RODO i nałożył karę 8000 zł. Sąd administracyjny, który rozpatrywał skargę, podkreślił, że każda wspólnota – niezależnie od tego, kto pełni funkcję zarządu – musi prawidłowo uregulować przetwarzanie danych w ramach monitoringu. Wyrok: Sygn.akt: II SA/Wa 310/20.

3. Nadmierne udostępnianie danych dłużników

Nierzadką praktyką we wspólnotach jest publikowanie na tablicach ogłoszeń list dłużników z imieniem, nazwiskiem i numerem lokalu. Choć wspólnota może informować o zaległościach, zakres ujawnianych danych musi być zgodny z zasadą minimalizacji (art. 5 ust. 1 lit. c RODO) i opierać się na uzasadnionym interesie prawnym (art. 6 ust. 1 lit. f RODO). W jednym z przypadków UODO uznał, że zakres udostępnionych danych był zbyt szeroki i nieadekwatny. Mogło to doprowadzić do naruszenia dóbr osobistych mieszkańców. Prezes Urzędu jasno stwierdził, że nawet ujawnienie zanonimizowanych dłużników na małych osiedlach umożliwia identyfikację konkretnych osób, co narusza zasadę minimalizacji i może naruszać dobra osobiste

4. Ignorowanie wniosku mieszkańca o dostęp do danych

Właściciel lokalu złożył do wspólnoty wniosek o dostęp do nagrań z monitoringu, na których mógł być widoczny jego wizerunek. Zarząd wspólnoty nie udzielił odpowiedzi, powołując się na ochronę danych osobowych innych mieszkańców. Jednak zgodnie z art. 15 w zw. z art. 12 ust. 3 RODO, administrator ma obowiązek odpowiedzieć na żądanie osoby, której dane dotyczą, nie później niż w ciągu 30 dni. UODO uznał, że wspólnota naruszyła przepisy rozporządzenia i nie zapewniła mieszkańcowi możliwości realizacji jego praw.