Kary za nieprzestrzeganie RODO przez zarządców

W przypadku wprowadzenia monitoringu we wspólnocie konieczne jest zachowanie procedur. Jeżeli do monitoringu ma dostęp zewnętrzny podmiot, wówczas konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych. W przeciwnym razie administrator lub wspólnota mogą otrzymać karę, tak jak pewna wspólnota, która nie zawarta takiej umowy. Jej zarządca został obciążony karą administracyjną w kwocie 8 000 zł.

Naruszenie zasady zgodności z prawem

Orzekając o nałożeniu administracyjnej kary pieniężnej oraz określając jej wysokość, za najistotniejsze Prezes Urzędu Ochrony Danych Osobowych uznał poważny charakter uchybienia, wynikający z naruszenia zasady zgodności z prawem w związku z brakiem umowy powierzenia przetwarzania danych, pochodzących z monitoringu wizyjnego, a tym samym działaniem bez podstawy prawnej przetwarzania danych. Prezes UODO wziął również pod uwagę treść art. 83 ust. 3 i ust. 5 lit. a) ogólnego rozporządzenia o ochronie danych w związku z art. 103 UODO.

Za nieprzestrzeganie RODO kara pieniężna

Organ uznał, że kara będzie skuteczna, jeżeli jej nałożenie doprowadzi do tego, że administrator wspólnoty będzie realizować obowiązki podmiotu przetwarzającego w zakresie, w celu i w sposób wskazany w umowie powierzenia. Wskazał również, że zastosowana kara pieniężna jest proporcjonalna do stwierdzonego naruszenia, szczególnie ze względu na brak realizacji obowiązków spółki jako administratora w okresie od dnia (...) maja 2018 r. do dnia (...) września 2019 r., wynikających z ogólnego rozporządzenia o ochronie danych. Zdaniem organu, odstraszający charakter kary pieniężnej wiąże się z zapobieganiem naruszeń w przyszłości oraz przykładaniem większej wagi do realizacji zarówno zadań administratora, jak i zadań podmiotu przetwarzającego. Kara ma charakter represyjny (spółka naruszyła przepisy ww. rozporządzenia) i prewencyjny (zarówno spółka, jak i inne podmioty uczestniczące w przetwarzaniu danych osobowych, będą z większą uwagą i należytą starannością realizować swoje obowiązki, wynikające z ogólnego rozporządzenia o ochronie danych). Jej celem jest zobligowanie spółki do prowadzenia procesów przetwarzania danych zgodnie z obowiązującymi przepisami prawa.

Przetwarzanie danych na podstawie umowy

Stosownie do art. 28 ust. 1 ogólnego rozporządzenia o ochronie danych, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora (art. 28 ust. 3). Przy czym zgodnie z art. 28 ust. 9 ww. rozporządzenia, umowa, o której mowa w ust. 3, ma formę pisemną, w tym formę elektroniczną.

Ta umowa jest bardzo ważna i musi uwzględniać specyfikę danej wspólnoty, np. fakt, czy wspólnota posiada monitoring, w jakich programach przetwarzane są jej dane, czy np. korzysta z dostępu na odcisk palca czy z innych rozwiązań technicznych.

Ważna zasada rozliczalności

Podstawową zasadą przetwarzania danych osobowych jest zasada rozliczalności określona w art. 5 ust. 2 rozporządzenia. Przepis ten stanowi, że administrator danych jest odpowiedzialny za przestrzeganie wszystkich zasad przy przetwarzaniu danych osobowych (wymienionych w art. 5 ust. 1) i musi być w stanie wykazać ich przestrzeganie. Zdaniem Sądu (WSA Warszawa II SA/Wa 310/20) zasada rozliczalności bazuje na prawnej odpowiedzialności administratora za właściwe wypełnianie obowiązków i nakłada na niego obowiązek wykazania zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych.

Realizacji zasady rozliczalności służy zasada rzetelności i legalności oraz zasada przejrzystości wyrażone w art. 5 ust. 1 lit. a) rozporządzenia. Zgodnie z treścią tego przepisu dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Wymóg przetwarzania danych zgodnie z prawem oznacza zarówno konieczność spełnienia przesłanek legalności przetwarzania danych, jak również zapewnienia zgodności z pozostałymi przepisami o ochronie danych osobowych. Wymóg rzetelności odnosi się do wartości moralnych oraz do kryterium społecznej akceptacji operacji przetwarzania danych.

Zakres zarządzania nieruchomością określa umowa, zawarta z jej właścicielem, wspólnotą mieszkaniową albo inną osobą lub jednostką organizacyjną, której przysługuje prawo do nieruchomości, ze skutkiem prawnym bezpośrednio dla tej osoby lub jednostki organizacyjnej. Umowa wymaga formy pisemnej lub elektronicznej pod rygorem nieważności (art. 185 ust. 2 ww. ustawy).

Zarządca a kontrola przetwarzania danych

Zdaniem UODO administrator dopuścił się naruszenia przepisów o ochronie danych osobowych w procesie przetwarzania danych z monitoringu wizyjnego stosowanego w nieruchomości, poprzez:

• przetwarzanie danych pochodzących z monitoringu wizyjnego w ww. nieruchomości bez umowy powierzenia przetwarzania danych (art. 5 ust. 1 lit. a) ogólnego rozporządzenia o ochronie danych);
• niewdrożenie środków organizacyjnych i technicznych w związku ze stosowaniem monitoringu wizyjnego w ww. nieruchomości, zapewniających kontrolę nad udostępnianymi danymi osobowymi z monitoringu wspólnoty mieszkaniowej (art. 5 ust. 1 lit. f) rozporządzenia).

Z zapisów umowy o zarządzanie częścią wspólną i umowy o administrowanie nie wynikało, w jaki sposób oraz w jakim zakresie zarządca nieruchomości uczestniczy w procesie obsługi monitoringu nieruchomości wspólnej oraz w jakim zakresie zarządca nieruchomości powinien realizować czynności kontrolne i nadzorcze, aby przetwarzanie danych w związku z prowadzeniem monitoringu odbywało się w sposób zgodny z przepisami prawa.

Z umowy powierzenia przetwarzania danych nie wynikało, aby wspólnota mieszkaniowa powierzyła administratorowi przetwarzanie danych pochodzących z monitoringu wizyjnego, realizowanego na terenie nieruchomości wspólnej, jak również nie został określony cel przetwarzania danych pochodzących z monitoringu. Z umowy nie wynikało również, kto decydował w imieniu wspólnoty mieszkaniowej o udostępnianiu danych w związku z otrzymywanymi wnioskami o udostępnienie danych z monitoringu.

Z umowy o administrowanie wynikało natomiast, że administrator odpowiada za prowadzenie rejestru korespondencji dotyczącej wspólnoty mieszkaniowej, a wnioski o udostępnienie danych z monitoringu wpływały do wspólnoty na adres do doręczeń, tj. adres zarządcy nieruchomości.

W przypadku konieczności udostępniania danych z monitoringu funkcjonowała wyłącznie zwyczajowa procedura działania, w której rola administratora polegała na przekazywaniu informacji o konieczności udostępniania nagrania koordynatorowi wyznaczonemu przez podmiot świadczący usługę ochrony. Przyjęty sposób działania nie wynikał z zapisów umów, ani z przyjętych przez wspólnotę mieszkaniową procedur wewnętrznych. Organ zwrócił uwagę, że brak prowadzenia ewidencji wniosków o udostępnienie nagrań z monitoringu wspólnoty uniemożliwiał rozliczenie administratora z obsługi wniosków w zakresie, komu wniosek został przekazany, kto go zaakceptował oraz w jaki sposób był on procedowany.

W tych okolicznościach organ nałożył karę. Dlatego do umów powierzenia przetwarzania danych trzeba podchodzić możliwie skrupulatnie. W miarę rozwoju usług/relacji między danymi podmiotami, umowy te należy aktualizować.

Chcesz być na bieżąco? Zapisz się do naszego newslettera!