Kto jest administratorem danych – wspólnota czy zarządca?
Wspólnoty mieszkaniowe w celu realizacji zadań związanych z zarządzaniem części wspólnej nieruchomości mogą zdecydować się na wyłonienie zarządu wśród swoich członków lub powierzenie zarządu innemu podmiotowi. Zdarza się też, że zarząd wspólnoty decyduje się na podjęcie współpracy z licencjonowanym administratorem (zarządcą) nieruchomości. Niezależnie od wybranego rozwiązania, nie ulega wątpliwości, że wspólnota mieszkaniowa przetwarza dane osobowe, w szczególności dane członków wspólnoty, kontrahentów, korespondentów, dłużników. Administratorem danych osobowych, zgodnie z art. 7 ust. 4 ustawy o ochronie danych osobowych (Dz.U. 2015 poz. 2135) jest organ, jednostka organizacyjna podmiot lub osoba decydujące o celach i środkach przetwarzania danych osobowych., czyli wspólnota mieszkaniowa.
Wybór sposobu zarządzania częścią wspólną nieruchomości a określenie administratora danych
Czy powołując zarząd wspólnota ustanawia nowego administratora danych?
Nie, ponieważ zarząd wspólnoty nie stanowi samodzielnego podmiotu, nie decyduje o celach i środkach przetwarzania danych osobowych, gdyż to zawsze pozostaje w gestii całej wspólnoty, zarząd natomiast będzie działał w jej imieniu, czyli w imieniu administratora danych. Warto jeszcze zwrócić uwagę na fakt, że co do zasady administrator danych pozostaje niezmienny, a zarząd jest wybierany na ustalony okres czasu. Zarząd może ustanowić administratora, czyli licencjonowanego zarządcę, który w jego imieniu będzie zajmował się sprawami administracyjnymi wspólnoty. Wówczas taka osoba lub podmiot realizuje zadania zlecone przez zarząd na podstawie umowy. A w celu przekazania mu dostępu do danych osobowych, konieczne jest zawarcie umowy powierzenia danych osobowych (lub zapisów powierzenia w zawartej umowie). Administratorem danych w dalszym ciągu pozostaje wspólnota mieszkaniowa.
Innym rozwiązaniem jest powierzenie zarządu, najczęściej w formie umowy notarialnej. Jeżeli administrator danych zleca innemu podmiotowi realizację swoich zadań, mamy do czynienia z powierzeniem danych osobowych, którego zasady są określone w art. 31 ustawy o ochronie danych osobowych (dalej UODO). Ustawodawca narzuca na administratorów obowiązek zawarcia na piśmie umowy powierzenia danych osobowych, która określa cel i zakres powierzonych danych oraz obowiązki i odpowiedzialność obu stron. Warto tutaj podkreślić, że jeżeli umowa powierzenia zarządu zawiera wszystkie elementy właściwe dla umowy powierzenia danych osobowych wynikające z UODO, nie ma potrzeby zawierania dwóch odrębnych umów. Potwierdza to stanowisko GIODO: http://www.giodo.gov.pl/364/id_art/3352/j/pl/
Czy powierzenie zarządu innemu podmiotowi ustanawia go nowym administratorem danych? Wspólnota mieszkaniowa powierzając zarząd innemu podmiotowi, ustanawia zasady przetwarzania przez ten podmiot danych, jednak nie czyni to go nowym administratorem. Owszem, zarządca ponosi odpowiedzialność za powierzone mu dane w równym stopniu jak administrator danych, ale nie zwalania to wspólnoty mieszkaniowej z jej odpowiedzialności za poufność, rozliczalność i integralność tych danych. W zakresie powierzonych danych przysługuje jej prawo kontroli, czy zarządca przetwarza je właściwie i zapewnił im odpowiedni poziom bezpieczeństwa.
Obowiązki wspólnoty oraz zarządcy
Należy podkreślić, że niezależnie od wyboru formy zarządzania częścią wspólną nieruchomości, administratorem danych osobowych zawsze pozostaje wspólnota. Zarząd wybrany przez wspólnotę działa w imieniu administratora danych i podejmuje w jego imieniu działania. Administrator oraz zarządca są podmiotami, którym powierzono dane osobowe, ale nie stają się administratorami danych. Zarówno wspólnota, administrator i zarządca muszą posiadać dokumentację przetwarzania danych osobowych, o której mowa w art. 36 ust. 2 UODO, na którą składają się polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym. Zarządca i administrator w wykazie przetwarzanych przez siebie danych, który należy prowadzić w polityce bezpieczeństwa muszą uwzględnić zbiory danych przetwarzane w związku z powierzeniem danych. Jeżeli obsługują więcej niż jedną wspólnotę, to o ile nie zmienia się cel i kategoria przetwarzanych danych, nie muszą rozdzielać zbiorów na poszczególne wspólnoty, tylko mogą traktować je jak jeden zbiór, np. członków wspólnot mieszkaniowych, dłużników wspólnot mieszkaniowych, itd.
A kto powinien wydać upoważnienia do przetwarzania danych osobowych? Zarząd wybrany przez wspólnotę jest upoważniony działa w imieniu administratora danych, więc nie musi sam siebie upoważniać. Natomiast powinien wydać upoważnienia do przetwarzania danych osobowych pracownikom zarządcy oraz administratorowi, jednak może określić inne zasady w umowie powierzenia, w szczególności określić, że podmiot, któremu dane powierza jest uprawniony do wydania upoważnień w jego imieniu. Jednakże zawsze administrator danych powinien pozostawić sobie możliwość kontroli w tym zakresie.
Spodobał Ci się ten wpis? Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!