RODO, czy można lepiej?

Nie jest tajemnicą, że o ile spółdzielnie mieszkaniowe starają się podchodzić z wyważoną starannością do problematyki ochrony danych osobowych (choć nie wszystkie i nie w pełnym zakresie – niektóre traktują RODO i konieczność ochrony prywatności członków spółdzielni jak zło konieczne obarczone stygmatem „niechcianego kosztu”), to już we wspólnotach mieszkaniowych sytuacja nie jest tak jednoznaczna. Podobnie z resztą jak wymagania stawiane administratorom danych osobowych w treści wspomnianego w pierwszym akapicie Rozporządzenia (RODO).

Publikacje specjalistyczne wsparciem dla administratorów

Zestawiając praktyczną działalność w zarządzaniu procesem ochrony danych osobowych w spółdzielniach i wspólnotach mieszkaniowych z zawartością merytoryczną materiałów informacyjnych, publikowanych przez polski organ nadzorczy właściwy do monitorowania przestrzegania wymagań określonych w przepisach prawa normujących ochronę danych osobowych (prezes Urzędu Ochrony Danych Osobowych – UODO), adresowanych do tej grupy administratorów danych osobowych dostrzec można obszary, które wymagają pogłębionych działań o charakterze organizacyjnym i administracyjnym, w tym te przysparzające najwięcej kontrowersji interpretacyjnych.

Dlatego też, w kontekście jednoznacznych zapisów RODO i Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, traktujących o wysokich i nieuchronnych karach za naruszenia w obszarze ochrony danych osobowych, niezrozumiałym jawi się podejście niektórych administratorów danych osobowych do omawianej problematyki przez pryzmat filozofii „jakoś to będzie”. Kolejne kary pieniężne nakładane przez Prezesa UODO na podmioty z najróżniejszych branż ukazują następującą alternatywę – albo proces ochrony danych osobowych zorganizowany będzie zgodnie z wymaganiami określonymi w przepisach prawa, albo podmioty administrujące danymi osobowymi narażone będą na wielomilionowe kary pieniężne i sankcje karne. I nie ma co liczyć na łut szczęścia.

Jest zatem pożądane, by w bieżącej działalności spółdzielnie i wspólnoty mieszkaniowe wykorzystywały w pełnym zakresie instrukcje i wskazówki publikowane przez pracowników Urzędu Ochrony Danych Osobowych (także na stronie www.uodo.gov.pl), które ukierunkowane są na zgodne z prawem przetwarzanie danych osobowych, także w procesach właściwych dla spółdzielni i wspólnot mieszkaniowych.

Warto także skorzystać z publikowanych przez ostatnie miesiące na łamach „Administratora” wskazówek ekspertów zajmujących się profesjonalnym, kompleksowym wsparciem zarządów spółdzielni i wspólnot mieszkaniowych w codziennym prowadzeniu procesu ochrony danych osobowych. Dzięki nim zainteresowani Czytelnicy mogą poszerzyć swoją wiedzę o tematy związane, z m.in.: zasadami ochrony danych osobowych w procesach stosowania monitoringu wizyjnego; upublicznianiem i udostępnieniem danych osobowych; przetwarzaniem danych osobowych przez organy samorządowe; problematyką administrowania danymi osobowymi przez podmioty zarządzające parkingami społecznymi, czy ochrona danych osobowych podczas pracy zdalnej.

Czy zapowiedzi kontroli sektorowych dopingują administratorów?

Planowane w ostatnim czasie przez Urząd Ochrony Danych Osobowych kontrole sektorowe adresowane do spółdzielni i wspólnot mieszkaniowych obejmowały następujące zagadnienia:

• sposób prowadzenia i zabezpieczenia Rejestru członków,
• przetwarzanie danych osobowych w związku z korzystaniem z systemów zdalnego odczytu wodomierzy (tzw. inteligentne liczniki).

Choć wspomniane powyżej obszary planowane do kontroli nie wymagają nadmiernych wyjaśnień i specjalnego podejścia to już ich przegląd w kontekście procesu ochrony danych osobowych tak. Doświadczenie pokazuje, że zaledwie nieliczne zarządy spółdzielni i wspólnot mieszkaniowych zdecydowały się na dokonanie oceny ex ante procesu przetwarzania danych osobowych in total. Oczywiście wszystko to przy uwzględnieniu założeń wynikających z udostępnionego planu kontroli sektorowych. Te podmioty, które zdecydowały się na przeprowadzenie kompleksowej oceny procesu ochrony danych osobowych skupiały się w szczególności na weryfikacji wymagań prawnych odnoszących się, m.in. do aspektów:

• administracyjnych i ewidencyjnych, np. prowadzenie wszelkich wymaganych rejestrów, czy działań odnoszących się do inspektora ochrony danych (art. 5 ust. 2; art. 24; art. 30; art. 37 RODO),
• zawartości umów z kontrahentami, w tym umów powierzenia przetwarzania danych osobowych (art. 28 RODO),
• faktu posiadania upoważnienia do przetwarzania danych osobowych (art. 5 ust. 2; art. 24; art. 29 RODO),
• realizacji obowiązku informacyjnego (art. 13; art. 14 RODO),
• zabezpieczenia przetwarzanych danych osobowych (art. 32 RODO),
• budowania świadomości ochrony danych osobowych, np. faktu prowadzenia szkoleń (art. 24; art. 39 RODO),
• aktualności procedur, w tym procedur opisujących proces ochrony danych osobowych (art. 24 RODO).

Niestety wydaje się, że istnieje jednak znaczna grupa administratorów, która czekając biernie na inspektorów z Urzędu Ochrony Danych Osobowych, zdecydowała się wcielić w praktyce słowa Georg’a Christoph’a Lichtenberga …lepiej jest nie badać w ogóle jakiejś sprawy, niż uczynić to powierzchownie…

A może profesjonalny IOD pomoże?

Zgodnie z art. 37 ust. 6 RODO inspektor ochrony danych może być członkiem personelu administratora (spółdzielni, wspólnoty mieszkaniowej) lub wykonywać zadania na podstawie umowy o świadczenie usług. Przy czym niezwykle ważnym jest, by wyznaczając Inspektora ochrony danych administratorzy kierowali się kwalifikacjami zawodowymi kandydata na te funkcję, a w szczególności jego wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych osobowych.W praktyce dostrzec można trzy formy formalnych relacji łączących administratora i inspektora ochrony danych:

• „dołożenie” zadań, wynikających z przepisów prawa normujących ochronę danych osobowych, pracownikowi funkcjonującemu w strukturze organizacyjnej administratora (najczęściej specjaliście IT; rzadziej pracownikowi działu personalnego, czy księgowego),
• zatrudnienie pracownika na stanowisku inspektora ochrony danych (najczęściej na część etatu, co i tak generuje dla administratora znaczne koszty osobowe),
• zawarcie umowy z profesjonalnym podmiotem zewnętrznym zajmującym się zarządzaniem procesem ochrony danych osobowych.

Niezależnie od tego, na jaką formę współpracy z inspektorem ochrony danych zdecyduje się administrator warto, by przed podjęciem tej decyzji przeprowadził szczegółową analizę zadaniową i co najmniej szczątkowe studium wykonalności dla tej relacji, oparte o listę zadań przypisaną w przepisach prawa administratorowi i inspektorowi danych osobowych. Pomoże to wyeliminować w przyszłości spory kompetencyjne, przy jednoczesnym zagwarantowaniu poprawności działania procesu ochrony danych osobowych, co w konsekwencji zapewni należytą ochronę praw i wolności osób fizycznych, których danymi administrują spółdzielnie i wspólnoty mieszkaniowe.

Pamiętać należy, że proces ochrony danych osobowych, podobnie jak każdy inny proces biznesowy, podlega ciągłemu doskonaleniu, a sposób dochodzenia do pożądanej doskonałości uzależniony jest przede wszystkim od decyzji administratora oraz przygotowania i wiedzy fachowej podmiotu (inspektora ochrony danych) zarządzającego tym procesem. Niewątpliwie, w działaniach tym pomocnym będzie, np. cykl Deminga (PDCA), na który składają się następujące działania:

• PLANOWANIE (P), jako wynik analizy aktualnej sytuacji oraz skutków ewentualnych zmian,
• WYKONANIE (D), jako praktyczna realizacja zaplanowanych działań,
• SPRAWDZENIE (C), jako ocena jakościowa zaplanowanego działania,
• DZIAŁANIE (A), jako praktyczne wdrożenie działań przynoszących najbardziej pożądane efekty spełniania wymagań określonych w przepisach prawa normującego ochronę danych osobowych.

Trzeba zaznaczyć, że powyższe działania nie stanowią novum, a jedynie wymagają od spółdzielni i wspólnot mieszkaniowych wdrożenia odpowiednich środków technicznych i organizacyjnych (art. 24 ust. 1 RODO) gwarantujących ochronę praw i wolności ich członkom, a także zapewnienia podejmowania stałych działań zmierzających do przeglądu i aktualizacji procesu ochrony danych osobowych. Trzeba te działania pojąć i monitorować z pozycji administratora, gdyż jak mówi prawo Murphy`ego …jeśli wydaje Ci się, że wszystko idzie dobrze, to znaczy, że nie masz pojęcia, co się naprawdę dzieje.

Chcesz być na bieżąco? Zapisz się do naszego newslettera!