Czy spółdzielnia mieszkaniowa musi wyznaczyć inspektora ochrony danych

Monika Brzozowska-Pasieka

Autor: Wioleta Szczygielska

Dodano: 29 marca 2018
Czy spółdzielnia mieszkaniowa musi wyznaczyć inspektora ochrony danych
Pytanie:  Ogólne rozporządzenie o ochronie danych (RODO) zobowiązuje do wyznaczenia inspektora ochrony danych. O ile pierwsza przesłanka, jest jasna – wiadomo, że inspektora wyznaczają podmioty i organy publiczne – o tyle pozostałe dwie przesłanki wyznaczenia inspektora sprawiają problemy. Czy inspektora ochrony danych powinna wyznaczyć spółdzielnia mieszkaniowa?
Odpowiedź: 

Spółdzielnia mieszkaniowa musi rozważyć, czy regularnie i systematycznie monitoruje osoby, których dane dotyczą (członków spółdzielni, mieszkańców), czy przetwarza szczególne kategorie danych wymienione w art. 9 i 10 RODO, czy powyższe działania są jej główną działalnością oraz czy działania te odbywają się na dużą skalę? Jeżeli odpowiedź na te pytania będzie pozytywna, należy wyznaczyć inspektora ochrony danych.

Zgodnie z art. 37 ogólnego rozporządzenia o ochronie danych (RODO) inspektora ochrony danych obowiązkowo muszą wyznaczyć:

  • organy lub podmioty publiczne, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
  • podmioty, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub
  • podmioty, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Które organy i podmioty publiczne wyznaczą inspektora ochrony danych

To, jak rozumieć organy i podmioty publiczne określa projekt ustawy o ochronie danych osobowych z 16 marca 2018 r. (projekt został przyjęty przez rząd). Zgodnie z nim przez organy i podmioty publiczne zobowiązane do wyznaczenia inspektora ochrony danych rozumie się:

  • jednostki sektora finansów publicznych, o których mowa w art. 9 ustawy o finansach publicznych (organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały, jednostki samorządu terytorialnego oraz ich związki, związki metropolitalne, jednostki budżetowe, samorządowe zakłady budżetowe, agencje wykonawcze, instytucje gospodarki budżetowej, państwowe fundusze celowe, ZUS, KRUS, NFZ, samodzielne publiczne zakłady opieki zdrowotnej, uczelnie publiczne, PAN, państwowe i samorządowe instytucje kultury, inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych),
  • instytuty badawcze, o których mowa w ustawie o instytutach badawczych,
  • Narodowy Bank Polski.

Co trzeba wziąć pod uwagę przed wyznaczeniem inspektora ochrony danych

Pierwsza przesłanka nie odnosi się do spółdzielni mieszkaniowej. Należy więc przeanalizować pozostałe dwie. Takiej analizy musi dokonać sama spółdzielnia mieszkaniowa, odpowiadając sobie na następujące pytania:

  • Czy regularnie i systematycznie monitoruje osoby, których dane dotyczą (członków spółdzielni, mieszkańców)?
  • Czy przetwarza szczególne kategorie danych wymienione w art. 9 i 10 RODO (np. informacje o stanie zdrowia, dane biometryczne, dane o przekonaniach religijnych, informacje na temat wyroków)?
  • Czy powyższe działania są jej główną działalnością?
  • Czy działania te odbywają się na dużą skalę?

Jeżeli odpowiedź na te pytania będzie pozytywna, należy wyznaczyć inspektora ochrony danych.

W odpowiedzi na te pytania mogą pomóc wytyczne Grupy Roboczej Art. 29 dotyczące inspektorów ochrony danych (WP 243). Zgodnie z nimi, ustalając, czy przetwarzanie odbywa się na dużą skalę, trzeba wziąć pod uwagę:

  • liczbę osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa,
  • zakres przetwarzanych danych osobowych,
  • okres, przez jaki dane są przetwarzane,
  • zakres geograficzny przetwarzania danych osobowych.

Sprawdzając, czy powyższe działania są główną działalnością spółdzielni, trzeba odpowiedzieć na pytanie, czy przetwarzanie danych to zasadnicze, a nie poboczne czynności. Przykładowo głównym zadaniem szpitala jest świadczenie opieki medycznej, prowadzenie takiej opieki nie byłoby jednak możliwe bez przetwarzania danych pacjentów, w związku z tym takie przetwarzanie danych przez szpital jest jego główną działalnością. Natomiast takie działania związane z przetwarzaniem danych, jak prowadzenie listy płac, należy uznać za działalność poboczną.

Mogą pojawić się również wątpliwości, kiedy dochodzi do regularnego i systematycznego monitorowania osób. RODO wskazuje, że pojęcie to obejmuje wszelkie formy śledzenia i profilowania w sieci, w tym na potrzeby reklam behawioralnych. Jednak zdaniem Grupy Roboczej Art. 29 pojęcie monitorowania nie jest ograniczone jedynie do środowiska online i śledzenie w sieci powinno być traktowane jedynie jako jeden z przykładów monitorowania zachowań osób, których dane dotyczą. Jako przykłady takiego monitorowania Grupa Robocza Art. 29 wymienia:

  • obsługę sieci telekomunikacyjnej,
  • świadczenie usług telekomunikacyjnych,
  • przekierowywanie poczty elektronicznej,
  • działania marketingowe oparte na danych,
  • profilowanie i ocenianie w celach oceny ryzyka (na przykład oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy),
  • śledzenie lokalizacji, na przykład przez aplikacje mobilne,
  • programy lojalnościowe,
  • reklama behawioralna,
  • monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych,
  • monitoring wizyjny,
  • urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatyka domowa.

W przypadku spółdzielni mieszkaniowej monitoring wizyjny jest najbardziej prawdopodobnym sposobem monitorowania osób. Należy sobie odpowiedzieć na pytanie, czy odbywa się to regularnie i systematycznie, na dużą skalę i czy jest główną działalnością spółdzielni. Na podstawie odpowiedzi na powyższe pytania i po analizie przytoczonych przepisów spółdzielnia powinna ocenić zasadność wyznaczenia inspektora ochrony danych.

Monika Brzozowska-Pasieka

Autor: Wioleta Szczygielska

Specjalista z zakresu prawa ochrony danych osobowych. Wieloletni redaktor fachowych publikacji związanych z tematyką ochrony danych osobowych.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel