Obowiązek informacyjny wobec członków wspólnoty mieszkaniowej
Do stworzenia tego wpisu zainspirował mnie pewien zarządca wspólnoty mieszkaniowej, który uraczył swoich członków naprawdę zabawnym obowiązkiem informacyjnym. Oczywiście mówiąc zabawny jestem dość delikatna, bo zarządca to podmiot przetwarzający dane w imieniu wspólnoty, który powinien być w stanie zapewnić zgodność z przepisami RODO w realizowanych przez siebie czynnościach.
Zacznę od tego co w obowiązku było niepoprawne, bo najlepiej uczyć na błędach 🙂 Gdy poniżej mówię o administratorze, mam na myśli administratora w rozumieniu art. 4 RODO.
1) Jako administrator danych została wskazana (cytuję): „Wspólnota Mieszkaniowa”. Obowiązek był częścią oświadczenia, w którym ani razu nie wskazano pełnej nazwy i danych kontaktowych wspólnoty. Trudno więc uznać, że zostałam skutecznie poinformowana o tym, kto przetwarza moje dane.
2) Co ciekawe, od razu przy danych administratora został wskazany zarządca (tutaj pełna nazwa, adres, dane kontaktowe), wraz z informacją, że zostało mu powierzone przetwarzanie danych. Z punktu widzenia osoby, która otrzymuje tę informację, można odnieść wrażenie, że to zarządca jest administratorem danych – wynika to z dziwnej konstrukcji przekazywanych informacji.
3) Cel i podstawa prawna przetwarzania zostały podane w odniesieniu do zarządcy, tzn. wskazano, że podstawą do przetwarzania danych przez zarządcę jest art. 6 ust. 1 lit. c RODO. To administrator danych powinien wskazać cel przetwarzania danych. Dla zarządcy podstawę stanowi umowa powierzenia danych ze wspólnotą (zazwyczaj jest to po prostu umowa powierzenia zarządu z odpowiednimi zapisami). Wskazywanie podstawy przetwarzania danych osobowych przez zarządcę, zamiast przez wspólnotę, wprowadza w błąd osobę, której dane dotyczą, sugerując że to zarządca jest administratorem jej danych osobowych.
4) Wskazując czas przechowywania danych, zarządca odniósł się tylko do tego wynikającego z przepisów prawa, zapominając, że w oświadczeniu pozyskiwał zgodę na przetwarzanie danych kontaktowych, która może być wycofana, tym samym w tym zakresie dane mogą być przechowywane krócej. Warto także zwrócić uwagę, że zarządca zapomniał wskazać zgodę (art. 6 ust. 1 lit. a RODO), jako jedną z podstaw przetwarzania danych członków wspólnoty.
5) Członkom wspólnoty przekazano informację, że ich dane nie będą udostępniane do podmiotów trzecich. Stoi to w oczywistej sprzeczności do faktu, że dane członków są udostępniane zarządcy nieruchomości.
6) Wśród praw przysługujących członkom wspólnoty wskazano „prawo do ochrony przed ryzykami ograniczenia praw i wolności związanymi z przetwarzaniem danych osobowych”. Przyznam, że naprawdę nie rozumiem na czym polega to prawo 🙂
7) Wskazano, że podanie przez członka wspólnoty jego danych osobowych jest niezbędnym warunkiem do realizacji obowiązków Wspólnoty mieszkaniowej wynikających z przepisów prawa. Warto zwrócić uwagę, że część danych jest pozyskiwana na podstawie zgody, więc stoi to w sprzeczności z podaną informacją. Nie wskazano konsekwencji nie podania danych.
8) W obowiązku informacyjnym znalazło się zobowiązani zarządcy do zabezpieczenia przetwarzanych danych przed dostępem osób nieupoważnionych.
Ufff, aż trudno uwierzyć, że to wszystko w jednym obowiązku informacyjnym. Mam nadzieję, że dobrze się bawiliście, a na osłodę dołączam przykładowy, moim zdaniem poprawny:
a także
Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie
Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!
We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.