Ochrona danych osobowych w spółdzielniach mieszkaniowych – obowiązki i wyzwania
Spółdzielnia, jako administrator danych osobowych swoich członków, musi przestrzegać licznych obowiązków związanych z ochroną danych osobowych. Przetwarzanie danych członków jest niezbędne do prawidłowego funkcjonowania organów spółdzielni. W praktyce pojawia się wiele pytań dotyczących legalności i zakresu tego przetwarzania, zwłaszcza w kontekście dostępu do informacji, publikacji danych oraz ochrony danych wrażliwych.
Dostęp do informacji i rejestru członków
Zgodnie z prawem, członkowie spółdzielni mieszkaniowej mają prawo dostępu do określonych dokumentów. Art. 30 Prawa spółdzielczego przewiduje możliwość przeglądania rejestru członków spółdzielni, jednakże nie ma możliwości wykonywania jego fotokopii. Przemawia za tym konieczność ochrony danych osobowych innych członków spółdzielni wpisanych do rejestru.
Spółdzielnia musi również zapewnić bezpieczeństwo danych udostępnianych przez platformy takie jak konto eBOK. We wniosku o dostęp do konta członkowie podają dane osobowe. Należy tu odpowiedzieć sobie na pytanie, czy pozyskiwane dane osobowe są niezbędne do prawidłowego funkcjonowania eBOK. Jeżeli tak, wówczas należy powołać się na art. 6 ust. 1 lit. f RODO, tj. konieczność realizacji uzasadnionego interesu administratora.
Zasada ograniczonego przetwarzania danych oznacza, że dane osobowe mogą być przetwarzane tylko w celu, dla którego je zgromadzono, do czasu jego wyczerpania. Końcową datą okresu przetwarzania będzie zatem każdorazowo osiągnięcie celu przetwarzania, czy to poprzez zdezaktualizowanie się informacji zawartych w danym dokumencie, czy też wygaśnięcie roszczeń, jakie mogą z niego wynikać.
Uwaga: Nie da się określić jednego okresu przetwarzania danych osobowych w dokumentach spółdzielni. Jeżeli z dokumentem wiążą się lub mogą wiązać roszczenia cywilnoprawne, należy stosować okresy przedawnienia z Kodeksu cywilnego.
Spółdzielnia mieszkaniowa prowadzi stronę internetową, na której opublikowane są dokumenty zawierające dane osobowe. Publikacja takich dokumentów w internecie wymaga ich zabezpieczenia przed dostępem nieuprawnionych osób. Członkowie spółdzielni mają oczywiście prawo wglądu do dokumentacji spółdzielni.
Przetwarzanie danych osobowych w szczególnych sytuacjach
Spółdzielnia musi zweryfikować treść pełnomocnictwa oraz potwierdzić tożsamość pełnomocnika, jak również sprawdzić go pod kątem ustawowych ograniczeń. Pełnomocnik może reprezentować tylko jednego członka spółdzielni. Pełnomocnikiem nie może być członek zarządu spółdzielni. Ponadto spółdzielnia zobligowana jest dołączyć pełnomocnictwo do protokołu z walnego zgromadzenia. To wszystko oznacza, że spółdzielnia przetwarza dane osobowe pełnomocnika w realizacji obowiązku prawnego (art. 6 ust. 1 lit. c RODO).
Nie ma możliwości udostępniania notatek dotyczących interwencji policyjnych w klatce schodowej, jeżeli zawierają one informacje o naruszeniu prawa. Są to bowiem dane szczególnej kategorii, dotyczące czynów zabronionych, a na podstawie art. 10 RODO, udostępnianie tego typu danych jest zabronione. W innym przypadku należałoby udostępnić dane tylko wtedy, gdyby członek spółdzielni wykazał podstawę prawną swojego żądania.
Urząd może wystąpić do spółdzielni z wnioskiem o udzielenie informacji, komu przysługuje tytuł prawny do lokalu. Organ ma podstawę przetwarzania danych, a mianowicie art. 6 ust. 1 lit. c RODO w zw. z art. 31 lub art. 35 ustawy o ewidencji ludności i dowodach osobistych oraz art. 61 § 4 i art. 10 Kodeksu postępowania administracyjnego. Organ wydaje bowiem decyzję administracyjną w sprawie wymeldowania po przeprowadzeniu postępowania w tej sprawie. Zgodnie zaś z zasadą prawdy obiektywnej, organ ten musi zweryfikować istnienie podstawy do wydania takiej decyzji.
Ochrona danych wrażliwych i prawo do bycia zapomnianym
Niedawno pojawiły się informacje o planowanych przez GIODO kontrolach w spółdzielniach mieszkaniowych w związku z sygnałami o przetwarzaniu przez spółdzielnie bez podstaw prawnych tzw. danych wrażliwych, o których mowa w art. 27 ust. 1 ustawy o ochronie danych osobowych (chodzi w szczególności o dane dotyczące stanu zdrowia, skazań, czy nałogów). Żądanie przez spółdzielnię od wszystkich członków lub lokatorów wyrażenia zgody na przetwarzanie danych wrażliwych faktycznie nie znajduje uzasadnienia w aktualnie obowiązujących przepisach prawa. Po pierwsze, zgoda taka może być uznana za wyrażoną „pod przymusem” (a zatem nie będzie ona dobrowolna), co stanowi naruszenie art. 7 pkt 5 ustawy o ochronie danych osobowych (dalej UODO). Po drugie, w zdecydowanej większości przypadków należałoby uznać, że zbieranie tego typu danych prowadziłoby do naruszenia zasady adekwatności przetwarzania danych o której mowa w art. 5 ust. 1 lit. c RODO.
Najwięcej danych tzw. „wrażliwych” aktualnie przetwarzanych przez Spółdzielnie to dane dotyczące orzeczeń wydanych w postępowaniu sądowym (przetwarzane w szczególności na podstawie art. 27 ust. 2 pkt 5 i pkt 10 UODO). Są to dane osób zalegających z opłatami, wobec których zapadło orzeczenie (np. wyrok zasądzający określoną wierzytelność).
Tzw. prawo do bycia zapomnianym nie może być stosowane, jeżeli dane osobowe są przetwarzane dalej przez administratora m.in. w celu wywiązania się z prawnego obowiązku (np. w celu dochodzenia roszczeń). Co więcej, prawo to przysługuje, gdy dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane. Tym samym, inne, legalne przetwarzanie danych osobowych (w innym celu lub na innej podstawie prawnej) także wyklucza możliwość domagania się usunięcia danych osobowych.
Udostępnianie danych dłużników i umów
Spółdzielnia mieszkaniowa nie może podawać do publicznej wiadomości informacji o zadłużeniach czynszowych członków spółdzielni (np. poprzez wywieszanie ich w gablotach informacyjnych na klatkach schodowych). Działanie takie można by uznać za zgodne z prawem tylko wtedy, gdyby osoby, których informacje dotyczą, wyraziły na to zgodę. Zaznaczyć przy tym należy, iż nawet wprowadzenie do statutu spółdzielni postanowienia umożliwiającego podawanie do publicznej wiadomości informacji o zadłużeniach członków spółdzielni czy też podjęcie uchwały w tej sprawie, nie legalizuje takiego działania.
Informacje o zadłużeniach czynszowych poszczególnych członków spółdzielni mieszkaniowej mogą być istotne dla każdego z jej członków, gdyż dotyczą również jego majątku. Jednak tryb i forma ich udostępniania powinny być szczegółowo uregulowane w statucie spółdzielni. Do statutu spółdzielni mogą być zatem wprowadzone postanowienia, zgodnie z którymi informacje o zaległościach na rzecz spółdzielni zamieszczane będą w rejestrze jej członków. Jednak dostęp do tych danych powinny mieć jedynie osoby uprawnione do przeglądania rejestru, tj. członek spółdzielni, jego małżonek i wierzyciel członka lub spółdzielni. To te osoby - jako uprawnione do przeglądania rejestru - wymienia art. 30 Prawa spółdzielczego.
W kontekście udostępniania faktur i umów zawartych z osobami trzecimi, należy sprecyzować zakres pojęcia „osoba trzecia”. W przypadku relacji, w których członek spółdzielni występuje wobec niej jako osoba trzecia (np. wynajmuje spółdzielni lokal, poręcza za jej dług), jest on traktowany tak, jakby nie należał do spółdzielni. Podstawą prawną kształtowania tych stosunków są umowy.
Obowiązki informacyjne i odpowiedzialność spółdzielni
Na zarządzie spółdzielni mieszkaniowej, zgodnie z obowiązującymi przepisami prawa, ciąży obowiązek informacyjny wobec członków spółdzielni. Obejmuje on m.in. udostępnianie statutu, regulaminów, uchwał organów spółdzielni, protokołów obrad, protokołów lustracji, rocznych sprawozdań finansowych, faktur i umów zawieranych przez spółdzielnię z osobami trzecimi.
Spółdzielnia jako administrator danych osobowych musi mieć na względzie zasadę ograniczonego przetwarzania. Zgodnie z tą regułą dane osobowe mogą być przetwarzane tylko w celu, dla którego je zgromadzono, do czasu jego wyczerpania. Końcową datą okresu przetwarzania będzie zatem każdorazowo osiągnięcie celu przetwarzania, czy to poprzez zdezaktualizowanie się informacji zawartych w danym dokumencie, czy też wygaśnięcie roszczeń, jakie mogą z niego wynikać.
W przypadku naruszenia przepisów o ochronie danych osobowych, spółdzielnia może ponosić odpowiedzialność. Sąd Najwyższy w wyroku z dnia 14 marca 2008 r. podkreślił, że udostępnianie informacji o zadłużeniach członków innym osobom niż uprawnione przez prawo stanowi naruszenie przepisów o ochronie danych osobowych.
Naczelny Sąd Administracyjny w jednym ze swoich orzeczeń potwierdził, że nawet jeśli właściciel domu nie był już członkiem spółdzielni mieszkaniowej, ale nadal ponosił koszty utrzymania swojego lokalu i części wspólnych budynku, to przetwarzanie jego danych osobowych w rejestrze członków było legalne. Jednakże ujawnienie jego nazwiska innym członkom spółdzielni bez jego zgody było złamaniem prawa.
tags: #ochrona #danych #osobowych #w #spoldzielniach #mieszkaniowych