Zarządzanie nieruchomością wspólną to bez wątpienia kompilacja spraw administracyjno-techniczno-organizacyjnych. A przy tym wszystkim dochodzi oczywiście do przetwarzania danych osobowych i to nie byle jakich. Poza oczywistymi danymi identyfikującymi właścicieli (jak np. imię, nazwisko, adres), pojawiają się informacje o należnościach lub zadłużeniu czy wizerunki (w zakresie monitoringu).
Moja dotychczasowa współpraca z podmiotami zarządzającymi nieruchomością wspólną pozwoliła mi na poznanie „małego co nieco” z tego obszaru i na tej podstawie wyłoniłam subiektywną listę „TOP 4” błędów przy przetwarzaniu danych osobowych.
- Gdzie jest administrator?
Ten punkt jest mocnym liderem mojego zestawienia. Chodzi tu nie o administratora nieruchomości, tylko administratora danych. Okazuje się, że często w praktyce musimy cofnąć się do samego początku, czyli ustalenia, kto w ogóle odpowiada za wykonanie przepisów RODO w odniesieniu do danych osobowych przetwarzanych we wspólnocie mieszkaniowej?
Wyjaśnijmy, że nie jest to zarząd wspólnoty wyłoniony z grona właścicieli ani jego zarządca (np. zewnętrzny profesjonalista-osoba fizyczna lub firma, której powierzono zarządzanie nieruchomością), ani też podmiot administrujący nieruchomością. Administratorem danych członków wspólnoty mieszkaniowej jest… sama wspólnota! Nasz organ nadzorczy ma w tej sprawie jednoznaczne stanowisko od wielu lat i nie ma tutaj przestrzeni na wątpliwości. Można porównać chociażby archiwalne stanowiska jeszcze GIODO (dostępne np. tutaj[1]) albo nieco nowsze wypowiedzi PUODO dostępne tutaj[2].
W praktyce często spotykam w tym przypadku problemy, bo jak się okazuje poszukiwanie administratora danych we wspólnocie jest mało intuicyjne – słyszałam np. „Ale jak to? To my sami [właściciele] jesteśmy administratorem naszych danych [członków wspólnoty = właścicieli]? Tym bardziej, kiedy wspólnota nie ma osobowości prawnej?” Ale po przeczytaniu tego artykułu mam nadzieję, że nie będzie już wątpliwości.
- Dostęp wszystkich właścicieli do wszystkich danych innych właścicieli
Co prawda nie ulega wątpliwości, że właściciele powinni mieć dostęp do danych dotyczących wspólnoty, a w tym zawierają się dane osobowe innych właścicieli. Jednak nie może to być dostęp nieograniczony. Jak wskazuje PUODO, każdorazowo udostępnianie danych osobowych właścicielom należy uzasadnić pod kątem ich zakresu i celu uzyskania. Musi to być zakres niezbędny do wykonywania zarządu nieruchomością wspólną. W podobnym duchu Naczelny Sąd Administracyjny wydał orzeczenie w sprawie, dotyczącej żądania udostępnienia danych osobowych członków wspólnoty w zakresie: imię, nazwisko oraz adres zamieszkania. Skarżąca powoływała się na fakt, że te dane są jej niezbędne, aby mogła zrealizować prawo do kontroli zarządzania nieruchomością wspólną, wywodząc to prawo z art. 29 ust. 3 ustawy o własności lokali. Przepis ten stanowi, że prawo kontroli działalności zarządu służy każdemu właścicielowi lokalu. Przedsiębiorca, który zarządzał nieruchomością nie udostępnił tak wnioskowanych danych, nie zgadzając się z żądaniem Skarżącej. Sprawa ostatecznie trafiła przed Naczelny Sąd Administracyjny w wyniku złożenia przez Skarżącą skargi kasacyjnej. NSA wskazał, że art. 6 ust. 1 RODO upoważnia administratora danych do ich przetwarzania, w czym mieści się udostępnianie danych, jeżeli jest to niezbędne z uwagi na obowiązek wynikający z przepisu prawa. W ocenie NSA słuszne było jednak stanowisko sądu I instancji, że takim przepisem nie może być powoływany przez Skarżącą art. 29 ust. 3 ustawy o własności lokali. Zgodnie z tym przepisem prawo kontroli działalności zarządu służy każdemu właścicielowi lokalu. Nie budzi zatem wątpliwości, czego nie kwestionuje także sąd I instancji, że w oparciu o ten przepis Skarżąca ma prawo do żądania dostępu do dokumentacji związanej z zarządem nieruchomością wspólną, w tym uzyskania danych o zarządcy lub danych o osobach będących członkami zarządu wspólnoty. Nie sposób jednak wywieść, że uprawnienie określone w tym przepisie upoważnia do żądania od zarządcy, który – jak wskazano wyżej – jest podmiotem zewnętrznym w stosunku do Wspólnoty, podania danych osobowych wszystkich jej członków. Uzyskanie takich danych nie stanowi elementu kontroli nad wykonywaniem zarządu, gdyż członkowie wspólnoty uczestniczą w jej zarządzie wyłącznie w formie określonej przepisami ustawy o własności lokali podejmując stosowne uchwały. W żadnym wypadku także uzasadnieniem dla podania żądanych danych nie może być chęć „osobistego kontaktu z sąsiadami w celu omawiania bieżących spraw Wspólnoty”. Takie uzasadnienie żądania podanych danych osobowych w ogóle nie mieści się w przepisach prawa.[3]
W ramach dopuszczalnego zakresu dostępu do danych można w kontraście wskazać chociażby prawo do posiadania informacji na temat zadłużenia innych członków w danej wspólnocie, co miałoby oparcie w przepisach prawa – konkretnie powoływany wyżej art. 29 ust. 3 ustawy o własności lokali. Warto tutaj przytoczyć choćby stanowisko organu nadzorczego, w świetle którego poszczególni członkowie wspólnoty mieszkaniowej uprawnieni są do uzyskania informacji o zaległościach we wnoszeniu opłat eksploatacyjnych innych członków tej wspólnoty.[4]
- Zgoda właścicieli na udostępnienie danych do firmy, której powierzono zarządzanie lub administrowanie nieruchomością wspólną
To jest też można powiedzieć jeden z klasyków. Zdarzyło mi się analizować u klientów zgłoszenie skarg – zarówno kierowanych do administratora danych, firmy zarządzającej lub administrującej nieruchomością wspólną czy nawet do PUODO. Skarga dotyczyła nieuprawnionego udostępnienia danych osobowych do firmy, której powierzono zarządzanie i administrowanie sprawami i mieniem wspólnoty. Według zarzutów, takie nieuprawnione ujawnienie polegało na braku zgody właściciela – członka wspólnoty, na przekazanie jego danych do zewnętrznej firmy.
W tym miejscu chciałabym wyjaśnić, że brak zgody członka wspólnoty na przetwarzanie jego danych przez firmę, która na zlecenie wspólnoty administruje nieruchomością wspólną nie jest samo w sobie naruszeniem RODO. Zgoda nie jest tu wymagana, bo nie dochodzi także do udostępnienia danych, które wymagałoby odrębnej zgody, czy innej podstawy prawnej, o której mowa w art. 6 ust. 1 RODO. W takim razie, na jakich podstawach odbywa się takie przekazanie danych? O tym w punkcie poniżej.
- Brak umowy powierzenia z firmą administrującą nieruchomością wspólną
Jak wyjaśniłam powyżej, w przypadku powierzenia zewnętrznej firmie administrowania nieruchomością wspólną, nie dochodzi do udostępnienia danych innemu administratorowi danych, a zatem nie jest wymagana zgoda właściciela, ani inna podstawa prawna do takiego przekazania. Mamy tutaj relację powierzenia danych osobowych, gdzie firma administrująca nieruchomością działa jako podmiot przetwarzający. Konieczne jest zatem zawarcie umowy powierzenia pomiędzy wspólnotą a jej kontrahentem. Brak takiej umowy stanowi zdecydowanie naruszenie RODO, a potwierdza to chociażby decyzja UODO z dn. 7 lutego 2023 r., sygn: DKN.5131.31.2021[5]
Problematycznych kwestii przy okazji przetwarzania danych osobowych przy okazji zarządzania nieruchomością wspólną jest z pewnością więcej. Jednak mam nadzieję, że chociażby te cztery przypadki, z którymi często się spotykałam w praktyce, pozwolą Wam pewniej podejść do tematu.
[1] Archwialne stanowiska GIODO
[2] https://www.uodo.gov.pl/pl/138/2656
[3] wyrok NSA z 18 listopada 2022 r., sygn. akt III OSK 4597/21, prawomocny