RODO, czy można lepiej?
Doświadczenie pokazuje, że zaledwie nieliczne zarządy spółdzielni i wspólnot mieszkaniowych zdecydowały się na dokonanie oceny procesu przetwarzania danych osobowych
fot. pixabay
Za niespełna pół roku minie pięć lat od uchwalenia RODO. Warto zatem zadać pytanie, czy spółdzielnie i wspólnoty mieszkaniowe dobrze wykorzystały ten czas na przygotowanie, utrzymanie i rozwijanie procesu ochrony danych osobowych swoich członków?
Zobacz także
Manage - nowoczesne zarządzanie nieruchomościami
Spółdzielnie i Wspólnoty Wszystkie kluczowe elementy zarządzania nieruchomościami w jednym miejscu: automatyzacja procesów, nieograniczone możliwości konfiguracji, monitoring inwestycji oraz ich finansów....
Spółdzielnie i Wspólnoty Wszystkie kluczowe elementy zarządzania nieruchomościami w jednym miejscu: automatyzacja procesów, nieograniczone możliwości konfiguracji, monitoring inwestycji oraz ich finansów. Sprawne przeprowadzanie uchwał zaoszczędzi Twój cenny czas i pozwoli na pełną kontrolę w administrowaniu budynków.
Bank Pocztowy S.A. Kredyt na OZE dla spółdzielni i wspólnot
Wysokie ceny energii, termomodernizacji oraz ogólnego utrzymania budynków będą dla spółdzielni i wspólnot mieszkaniowych coraz większym wyzwaniem. W obliczu takiej sytuacji Bank Pocztowy wychodzi naprzeciw...
Wysokie ceny energii, termomodernizacji oraz ogólnego utrzymania budynków będą dla spółdzielni i wspólnot mieszkaniowych coraz większym wyzwaniem. W obliczu takiej sytuacji Bank Pocztowy wychodzi naprzeciw potrzebom lokalnych społeczności, oferując korzystne rozwiązanie w postaci Kredytu na OZE (Odnawialne Źródła Energii).
KHG FINANSE SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ W jaki sposób obecnie podchodzi się do windykacji?
Jeszcze do niedawna wydawało się, że sądy i postępowania przed różnymi organami to nadal domena tradycyjnych dokumentów oraz pism. Natomiast obecnie wszystko przechodzi etap cyfryzacji. Nie inaczej jest...
Jeszcze do niedawna wydawało się, że sądy i postępowania przed różnymi organami to nadal domena tradycyjnych dokumentów oraz pism. Natomiast obecnie wszystko przechodzi etap cyfryzacji. Nie inaczej jest w przypadku, kiedy pomiędzy dłużnika, a wierzyciela wkracza sąd i komornik. Jak więc dochodzić należności w dzisiejszych czasach? Jak skutecznie odzyskać swoje pieniądze?
Nie jest tajemnicą, że o ile spółdzielnie mieszkaniowe starają się podchodzić z wyważoną starannością do problematyki ochrony danych osobowych (choć nie wszystkie i nie w pełnym zakresie – niektóre traktują RODO i konieczność ochrony prywatności członków spółdzielni jak zło konieczne obarczone stygmatem „niechcianego kosztu”), to już we wspólnotach mieszkaniowych sytuacja nie jest tak jednoznaczna. Podobnie z resztą jak wymagania stawiane administratorom danych osobowych w treści wspomnianego w pierwszym akapicie Rozporządzenia (RODO).
Publikacje specjalistyczne wsparciem dla administratorów
Zestawiając praktyczną działalność w zarządzaniu procesem ochrony danych osobowych w spółdzielniach i wspólnotach mieszkaniowych z zawartością merytoryczną materiałów informacyjnych, publikowanych przez polski organ nadzorczy właściwy do monitorowania przestrzegania wymagań określonych w przepisach prawa normujących ochronę danych osobowych (prezes Urzędu Ochrony Danych Osobowych – UODO), adresowanych do tej grupy administratorów danych osobowych dostrzec można obszary, które wymagają pogłębionych działań o charakterze organizacyjnym i administracyjnym, w tym te przysparzające najwięcej kontrowersji interpretacyjnych.
Dlatego też, w kontekście jednoznacznych zapisów RODO i Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, traktujących o wysokich i nieuchronnych karach za naruszenia w obszarze ochrony danych osobowych, niezrozumiałym jawi się podejście niektórych administratorów danych osobowych do omawianej problematyki przez pryzmat filozofii „jakoś to będzie”. Kolejne kary pieniężne nakładane przez Prezesa UODO na podmioty z najróżniejszych branż ukazują następującą alternatywę – albo proces ochrony danych osobowych zorganizowany będzie zgodnie z wymaganiami określonymi w przepisach prawa, albo podmioty administrujące danymi osobowymi narażone będą na wielomilionowe kary pieniężne i sankcje karne. I nie ma co liczyć na łut szczęścia.
Jest zatem pożądane, by w bieżącej działalności spółdzielnie i wspólnoty mieszkaniowe wykorzystywały w pełnym zakresie instrukcje i wskazówki publikowane przez pracowników Urzędu Ochrony Danych Osobowych (także na stronie www.uodo.gov.pl), które ukierunkowane są na zgodne z prawem przetwarzanie danych osobowych, także w procesach właściwych dla spółdzielni i wspólnot mieszkaniowych.
Warto także skorzystać z publikowanych przez ostatnie miesiące na łamach „Administratora” wskazówek ekspertów zajmujących się profesjonalnym, kompleksowym wsparciem zarządów spółdzielni i wspólnot mieszkaniowych w codziennym prowadzeniu procesu ochrony danych osobowych. Dzięki nim zainteresowani Czytelnicy mogą poszerzyć swoją wiedzę o tematy związane, z m.in.: zasadami ochrony danych osobowych w procesach stosowania monitoringu wizyjnego; upublicznianiem i udostępnieniem danych osobowych; przetwarzaniem danych osobowych przez organy samorządowe; problematyką administrowania danymi osobowymi przez podmioty zarządzające parkingami społecznymi, czy ochrona danych osobowych podczas pracy zdalnej.
Czy zapowiedzi kontroli sektorowych dopingują administratorów?
Planowane w ostatnim czasie przez Urząd Ochrony Danych Osobowych kontrole sektorowe adresowane do spółdzielni i wspólnot mieszkaniowych obejmowały następujące zagadnienia:
- sposób prowadzenia i zabezpieczenia Rejestru członków,
- przetwarzanie danych osobowych w związku z korzystaniem z systemów zdalnego odczytu wodomierzy (tzw. inteligentne liczniki).
Choć wspomniane powyżej obszary planowane do kontroli nie wymagają nadmiernych wyjaśnień i specjalnego podejścia to już ich przegląd w kontekście procesu ochrony danych osobowych tak. Doświadczenie pokazuje, że zaledwie nieliczne zarządy spółdzielni i wspólnot mieszkaniowych zdecydowały się na dokonanie oceny ex ante procesu przetwarzania danych osobowych in total. Oczywiście wszystko to przy uwzględnieniu założeń wynikających z udostępnionego planu kontroli sektorowych. Te podmioty, które zdecydowały się na przeprowadzenie kompleksowej oceny procesu ochrony danych osobowych skupiały się w szczególności na weryfikacji wymagań prawnych odnoszących się, m.in. do aspektów:
- administracyjnych i ewidencyjnych, np. prowadzenie wszelkich wymaganych rejestrów, czy działań odnoszących się do inspektora ochrony danych (art. 5 ust. 2; art. 24; art. 30; art. 37 RODO),
- zawartości umów z kontrahentami, w tym umów powierzenia przetwarzania danych osobowych (art. 28 RODO),
- faktu posiadania upoważnienia do przetwarzania danych osobowych (art. 5 ust. 2; art. 24; art. 29 RODO),
- realizacji obowiązku informacyjnego (art. 13; art. 14 RODO),
- zabezpieczenia przetwarzanych danych osobowych (art. 32 RODO),
- budowania świadomości ochrony danych osobowych, np. faktu prowadzenia szkoleń (art. 24; art. 39 RODO),
- aktualności procedur, w tym procedur opisujących proces ochrony danych osobowych (art. 24 RODO).
Niestety wydaje się, że istnieje jednak znaczna grupa administratorów, która czekając biernie na inspektorów z Urzędu Ochrony Danych Osobowych, zdecydowała się wcielić w praktyce słowa Georg’a Christoph’a Lichtenberga …lepiej jest nie badać w ogóle jakiejś sprawy, niż uczynić to powierzchownie…
A może profesjonalny IOD pomoże?
Zgodnie z art. 37 ust. 6 RODO inspektor ochrony danych może być członkiem personelu administratora (spółdzielni, wspólnoty mieszkaniowej) lub wykonywać zadania na podstawie umowy o świadczenie usług. Przy czym niezwykle ważnym jest, by wyznaczając Inspektora ochrony danych administratorzy kierowali się kwalifikacjami zawodowymi kandydata na te funkcję, a w szczególności jego wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych osobowych.W praktyce dostrzec można trzy formy formalnych relacji łączących administratora i inspektora ochrony danych:
- „dołożenie” zadań, wynikających z przepisów prawa normujących ochronę danych osobowych, pracownikowi funkcjonującemu w strukturze organizacyjnej administratora (najczęściej specjaliście IT; rzadziej pracownikowi działu personalnego, czy księgowego),
- zatrudnienie pracownika na stanowisku inspektora ochrony danych (najczęściej na część etatu, co i tak generuje dla administratora znaczne koszty osobowe),
- zawarcie umowy z profesjonalnym podmiotem zewnętrznym zajmującym się zarządzaniem procesem ochrony danych osobowych.
Niezależnie od tego, na jaką formę współpracy z inspektorem ochrony danych zdecyduje się administrator warto, by przed podjęciem tej decyzji przeprowadził szczegółową analizę zadaniową i co najmniej szczątkowe studium wykonalności dla tej relacji, oparte o listę zadań przypisaną w przepisach prawa administratorowi i inspektorowi danych osobowych. Pomoże to wyeliminować w przyszłości spory kompetencyjne, przy jednoczesnym zagwarantowaniu poprawności działania procesu ochrony danych osobowych, co w konsekwencji zapewni należytą ochronę praw i wolności osób fizycznych, których danymi administrują spółdzielnie i wspólnoty mieszkaniowe.
Pamiętać należy, że proces ochrony danych osobowych, podobnie jak każdy inny proces biznesowy, podlega ciągłemu doskonaleniu, a sposób dochodzenia do pożądanej doskonałości uzależniony jest przede wszystkim od decyzji administratora oraz przygotowania i wiedzy fachowej podmiotu (inspektora ochrony danych) zarządzającego tym procesem. Niewątpliwie, w działaniach tym pomocnym będzie, np. cykl Deminga (PDCA), na który składają się następujące działania:
- PLANOWANIE (P), jako wynik analizy aktualnej sytuacji oraz skutków ewentualnych zmian,
- WYKONANIE (D), jako praktyczna realizacja zaplanowanych działań,
- SPRAWDZENIE (C), jako ocena jakościowa zaplanowanego działania,
- DZIAŁANIE (A), jako praktyczne wdrożenie działań przynoszących najbardziej pożądane efekty spełniania wymagań określonych w przepisach prawa normującego ochronę danych osobowych.
Trzeba zaznaczyć, że powyższe działania nie stanowią novum, a jedynie wymagają od spółdzielni i wspólnot mieszkaniowych wdrożenia odpowiednich środków technicznych i organizacyjnych (art. 24 ust. 1 RODO) gwarantujących ochronę praw i wolności ich członkom, a także zapewnienia podejmowania stałych działań zmierzających do przeglądu i aktualizacji procesu ochrony danych osobowych. Trzeba te działania pojąć i monitorować z pozycji administratora, gdyż jak mówi prawo Murphy`ego …jeśli wydaje Ci się, że wszystko idzie dobrze, to znaczy, że nie masz pojęcia, co się naprawdę dzieje.