Prezes UODO nałożył karę administracyjną w wysokości 5 tys. zł na wspólnotę mieszkaniową za niezachowanie 72 godzin na zgłaszanie naruszenia ochrony danych osobowych. Sprawa pokazuje, jak kluczowa jest rzetelna analiza ryzyka RODO – nawet przy "danych zwykłych" i jednej osobie poszkodowanej.
Wspólnota mieszkaniowa, jako administrator danych, przekazała nieuprawnionej osobie "zawiadomienie o rozliczeniu opłat za użytkowanie lokali mieszkaniowych". Dokument zawierał następujące informacje:
Błąd wynikł z umowy z zewnętrzną spółką administrującą nieruchomością. Spółka uznała, że nie ma naruszenia, bo obie osoby to właściciele lokali i mają prawo wglądu w dokumenty na podstawie ustawy o własności lokali. Wspólnota dodała, że dane to "zwykłe dane" jednej osoby, więc nie zgłosiła incydentu.
Prezes UODO nie zgodził się: przepisy o własności lokali nie uzasadniają udostępniania danych wbrew woli właściciela. To bezpodstawne przetwarzanie, wymagające zgłoszenia.
Przepis art. 33 ust. 1 i 3 RODO nakazuje administratorowi zgłaszać naruszenie organowi nadzorczemu bez zbędnej zwłoki, nie później niż w 72 godziny po stwierdzeniu. Wyjątek? Tylko gdy naruszenie jest "mało prawdopodobne" dla praw i wolności osób (ang. "unlikely" – niemal niemożliwe).
W tej sprawie UODO podkreślił: ryzyko nie musi się zmaterializować. Wystarczy samo zagrożenie. Zgłaszanie naruszeń poprawia bezpieczeństwo – pozwala organowi zareagować, ocenić rozwiązania i zapobiec recydywom. Administrator musi też powiadomić osoby, jeśli ryzyko jest wysokie.
Ignorowanie analizy ryzyka tylko dlatego, że dotyczy jednej osoby, jest niedopuszczalne i sprzeczne z celami RODO.
UODO wezwał najpierw spółkę, potem wspólnotę. Obie zbagatelizowały incydent, powołując się na ustawę o własności lokali. Organ stwierdził jednak:
Dla IOD to lekcja: należy dokumentować analizę ryzyka pisemnie, nawet przy "małych" naruszeniach w wspólnotach mieszkaniowych.
Pobierz e-booka:
Źródło: UODO, DKN.5131.16.2025
Zapraszamy na webinar prowadzony w konwencji warsztatowej z wykorzystaniem praktycznych przykładów, pytań i odpowiedzi. Dedykowany jest zarówno do osób początkujących, rozpoczynających lub pełniących funkcję IOD od niedawna, jak również do osób pragnących ugruntować posiadaną wiedzę w zakresie odpowiedniego nadzoru przestrzegania zasad i przepisów z zakresu ochrony danych osobowych w organizacji.
© Portal Poradyodo.pl