Ochrona danych osobowych w spółdzielni mieszkaniowej – poradnik

Spółdzielnie mieszkaniowe to administratorzy danych przetwarzający zazwyczaj bardzo duże ilości danych osobowych w związku ze swoją działalnością statutową. Głównym celem działania spółdzielni mieszkaniowej jest zaspakajanie potrzeb mieszkaniowych jej członków przez dostarczanie członkom samodzielnych lokali mieszkalnych lub domów jednorodzinnych, a także lokali o innym przeznaczeniu.

W Spółdzielni znajdują się dane osobowe członków Spółdzielni, osób niebędących członkami, którym przysługuje tytuł prawny do lokalu znajdującego się w zasobach Spółdzielni, dane osobowe najemców, osób zajmujących lokal bez tytułu prawnego, dane osobowe kontrahentów, dane osobowe pracowników czy też inne jeszcze dane. Są to min.:

  • dane  identyfikacyjne takie jak imię, nazwisko, numer pesel, adres zamieszkania, numer telefonu, adres e-mail,
  • informacje dotyczące tytułu prawnego do lokalu (określenie rodzaju prawa do lokalu)
  • informacje związane z rozliczaniem kosztów związanych z eksploatacją i utrzymaniem lokalu oraz nieruchomości wspólnych,
  • informacje związane z windykacją należności (m.in. wykaz zadłużeń, analiza dłużnika, wezwania do zapłaty, naliczanie odsetek) i inne.

Spółdzielnia przetwarza dane osobowe w zbiorach w szczególności przy pomocy dedykowanych systemów informatycznych. Jako administrator danych spółdzielnia jest podmiotem odpowiedzialnym za przetwarzanie danych zgodnie z przepisami o ochronie danych osobowych.

Ważną kwestią jest obowiązek zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych czyli obowiązek ich przeszkolenia. Jest to o tyle ważne, że od osób upoważnionych odbierane są oświadczenia o zachowaniu tajemnicy i zapoznaniu z zasadami ochrony danych osobowych wraz z pouczeniem o odpowiedzialności w przypadku niedochowania tajemnicy.

Osoby upoważnione do przetwarzania powinny więc dysponować wiedzą na temat zasad ochrony danych osobowych w spółdzielni. Zapoznanie osób upoważnionych może nastąpić w ramach wewnętrznie prowadzonych szkoleń, przez udostępnienie szkoleń e-learningowych czy dedykowanych spółdzielniom poradników.

W celu spełnienia obowiązku w zakresie zapoznania osób upoważnionych z zasadami ochrony danych zachęcam do zapoznania się z ofertą poradnika “Ochrona danych osobowych w spółdzielniach mieszkaniowych”, który w prosty i przejrzysty sposób omawia wszystkie najważniejsze zagadnienia z zakresu prawa ochrony danych osobowych z odniesieniem do branży spółdzielczej.

Szczegółowa oferta tutaj.

Przetwarzanie danych w celach marketingowych

Wpis dotyczy Spółdzielni mieszkaniowych, które  przetwarzają dane osobowe swoich członków a także innych osób, którym przysługuje tytuł prawny do lokalu w związku ze swoją działalnością statutową.

Podstawą przetwarzania danych osobowych są przepisy prawa spółdzielczego czy ustawy o spółdzielniach mieszkaniowych, które określają sposoby i cele przetwarzania danych w związku z działalnością spółdzielni mieszkaniowej.

Spółdzielnie mieszkaniowe przetwarzają dane osobowe w związku z realizacją praw lub obowiązków związanych ze statusem członka, ale także w związku z obowiązkiem uczestniczenia właścicieli lokali w pokrywaniu wydatków związanych z utrzymaniem tychże lokali.

Zasadniczo więc spółdzielnie nie potrzebują zgody osób, których dane przetwarzają w związku z wyżej określonymi celami. Jednak są wyjątki. Zdarza się bowiem w praktyce, nie tak znowu rzadko, że spółdzielnie prowadzą też działania marketingowe.

I tak na przykład umieszczanie reklam na spersonalizowanych książeczkach opłat zostało przez GIODO uznane za przetwarzanie  danych w celach marketingowych. Na takie przetwarzanie wymagana jest zgoda podmiotu danych.

Jeśli więc na książeczkach opłat wręczanym członkom spółdzielni umieszczane są jakiekolwiek materiały promocyjne takie jak reklama banku czy towarzystwa ubezpieczeniowego, mamy do czynienia z przetwarzaniem danych osobowych w celach marketingowych, na które wymagana jest zgoda osób, których dane dotyczą.

Ochrona danych osobowych w spółdzielni mieszkaniowej

Nie ma najmniejszej wątpliwości, że spółdzielnia mieszkaniowa jest administratorem danych osobowych. Głównym zadaniem spółdzielni mieszkaniowych jest zaspakajanie potrzeb mieszkaniowych swoich członków. Buduje więc spółdzielnia lokale mieszkalne, do których prawa nabywają członkowie zawierający ze spółdzielnią stosowne umowy. Jak wiadomo zarządza później tymi nieruchomościami a często całymi osiedlami, co związane jest z przetwarzaniem setek i tysięcy danych osobowych lokatorów.

Członkowie spółdzielni udostępniają jej swoje dane osobowe w celu uzyskania statusu członka oraz w związku z obowiązkiem uczestniczenia w wydatkach dotyczących eksploatacji i utrzymania lokali oraz ponoszeniem innych wydatków związanych z działalnością spółdzielni.

Spółdzielnia więc jako administrator danych osobowych tysięcy danych osobowych swoich członków zobowiązana jest przetwarzać dane osobowe zgodnie z przepisami prawa o ochronie danych osobowych.

Podstawą prawną przetwarzania danych przez spółdzielnię najczęściej będzie realizacja obowiązku lub prawa wynikającego z  przepisów prawa spółdzielczego czy ustawy o spółdzielniach mieszkaniowych. Przetwarzanie danych przez spółdzielnię może też być niezbędne dla realizacji umowy pomiędzy spółdzielnią a członkiem np. umowy o wybudowanie lokalu mieszkalnego, umowy o ustanowienie spółdzielczego prawa do lokalu czy umowy najmu.

Niejednokrotnie spółdzielnia może powołać się na usprawiedliwiony cel przetwarzania danych osobowych jak w przypadku dochodzenia roszczeń z tytułu zaległych opłat eksploatacyjnych. Niewykluczone, że dla przetwarzania w szerszym zakresie lub w innych niż wymienione wyżej cele spółdzielnia będzie pozyskiwała odrębną zgodę uprawniającą ją do tego przetwarzania.

Oprócz legitymowania się podstawą prawną uprawniającą do przetwarzania danych osobowych spółdzielnia musi wypełnić wszystkie obowiązki ciążące na administratorze danych osobowym w tym dotyczące zabezpieczenia danych przed nieuprawnionym dostępem.

Ostatnia nowelizacja przepisów o ochronie danych osobowych wprowadziła dla administratorów danych osobowych nowe obowiązki. Administrator danych osobowych ma obowiązek sprawdzania zgodności przetwarzania danych z przepisami o ochronie danych osobowych, obowiązek nadzoru nad dokumentacją w zakresie przetwarzania danych osobowych jak również obowiązek zapoznawania osób upoważnionych do przetwarzania danych z przepisami.

Spółdzielnia, która powołała i zarejestrowała administratora bezpieczeństwa informacji w wykonywaniu wyżej opisanych obowiązków jest przez niego wyręczana. Jednak spółdzielnia, która nie powołała ABI jest odpowiedzialna za wykonywanie tych obowiązków.

Zważywszy, że skarga jednego lokatora może sprowadzić do spółdzielni kontrolę GIODO ryzyko kontroli w spółdzielniach, gdzie lokatorów są setki i tysiące,  jest znacząco wyższe niż w innych podmiotach. Pamiętając o tym oraz dla poszanowania praw swoich lokatorów spółdzielnie powinny przetwarzać ich dane zgodnie z przepisami o ochronie danych osobowych uwzględniając najnowsze w tym zakresie obowiązki.