W ostatnim czasie dotknęło Ciebie tsunami swoistego spamu z powodu RODO i masz już dość? A może odkryłeś również serwisy i sklepy, w których posiadasz konto, i uważasz, że RODO to najlepszy do tej pory filtr anty-spamowy EVER? Niezależnie od tego, do której grupy zaliczasz siebie, na pewno miałeś okazję trafić na wiadomości dotyczące RODO.
Obserwując poruszenie w Internecie dotyczące zmieniających się przepisów ochrony danych osobowych postanowiliśmy wyjść naprzeciw oczekiwaniom i przygotować krótki przewodnik dla zarządów i zarządców wspólnot mieszkaniowych.
Mamy nadzieję, że pomoże Ci w zrozumieniu, o co tak naprawdę chodzi w zmianach, które zaczną obowiązywać już od 25 maja 2018 roku.
Z przygotowanego krótkiego przewodnika dowiesz się:
- czym jest to całe RODO?
- czy wspólnota mieszkaniowa musi sobie zawracać głowę RODO?
- jakie obowiązki RODO nakłada na wspólnotę mieszkaniową?
- jak przygotować wspólnotę mieszkaniową do wchodzącego w życie rozporządzenia o ochronie danych?
Niewątpliwym atutem przewodnika jest jego zwięzłość oraz esencja-bonus w postaci gotowych szablonów wymaganych rejestrów do pobrania.
Autorem przewodnika jest Admify, które jako przedsiębiorca również było zobowiązane do wdrożenia stosownych praktyk, aby w zgodzie z RODO móc świadczyć usługi oraz obsługiwać swoich obecnych jak i potencjalnych Klientów. Możemy tylko dodać, że filozofia RODO towarzyszy nam od samego początku istnienia Admify.
ZASTRZEŻENIE: Niestety w tym miejscu musimy zrobić zastrzeżenie, że przewodnik nie jest oficjalną wykładnią w zakresie przepisów o ochronie danych osobowych. Warto pamiętać, że nikt jeszcze nie został skutecznie sprawdzony z wdrożenia RODO, gdyż na takie dopiero przyjdzie czas po wejściu w życie nowych przepisów. A podmioty certyfikujące dopiero będą ustanawiane.
Co to jest RODO?
Gdy czytasz lub słyszysz o RODO, możesz być pewny, że chodzi o rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
O RODO możesz myśleć również, gdy jest mowa o GDPR, czyli General Data Protection Regulation. Przepisy RODO zaczną obowiązywać od 25 maja 2018. Stąd to tsunami e-maili przetaczające się przez skrzynki pocztowe.
Przetwarzanie danych osobowych jest przedmiotem regulacji od ponad dwóch dekad. Z wejściem w życie RODO, regulacje te zostaną jedynie rozszerzone.
Ochrona danych osobowych – ale o jakie dane chodzi?
Dane osobowe to wszelkie dane, które odnoszą się do osób, m.in. Ciebie. Mówią kim jesteś, czym się zajmujesz, co robisz i wiele więcej. Korzystając z Internetu – czy to z użyciem komputera czy smartfonu – zostawiasz po sobie ślady zawierające Twoje dane osobowe (np. imię, nazwisko czy adres e-mail etc). Część danych zostawiasz świadomie, na przykład logując do różnych usług, a część „nieświadomie” na przykład w historii ciasteczka. Informacje te z kolei mogą być zbierane, agregowane, przetwarzane przez różne firmy.
Dane osobowe to informacje dotyczące osób fizycznych. Osoby prawne nie mają danych osobowych. 🙂
RODO klasyfikuje zbiory danych na dwie kategorie:
- dane osobowe zwykłe,
- szczególne dane osobowe lub dane wrażliwe.
Do kategorii danych wrażliwych zaliczamy dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej. Dane osobowe, które nie należą do żadnej z tych kategorii, to dane zwykłe.
Kogo dotyczy RODO?
W dużym skrócie, RODO dotyczy wszytkich podmiotów, które przetwarzają dane osobowe. Przy czym przez przetwarzanie danych osobowych należy rozumieć jakiekolwiek z następujących czynności:
- zbieranie danych,
- przechowywanie danych,
- usuwanie danych,
- opracowywanie danych,
- udostępnianie danych.
Dla porządku dodamy, że sposób przetwarzania nie ma tutaj znaczenia (niezautomatyzowany, częściowo lub całkowicie zautomatyzowany).
Czy współnota mieszkaniowa musi przejmować się RODO?
Jeżeli Twoja wspólnota mieszkaniowa realizuje którąkolwiek z powyższych czynności, to jest zobowiązana do wdrożenia RODO. Swoją drogą nie wierzymy – na podstawie przedstawionej definicji – że istnieje obecnie jakikolwiek przypadek wspólnoty, który nie wykonuje choć jednej z wymienionych czynności i może być zwolniona z takiego obowiązku.
Kto może przetwarzać dane osobowe?
Wspólnota mieszkaniowa jest administratorem danych osobowych, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Natomiast każda osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora jest podmiotem przetwarzającym.
Administrator danych może bowiem albo sam przetwarzać dane, albo skorzystać z usług zewnętrznego podmiotu, który te dane będzie przetwarzał dla niego.
Podmiot przetwarzający dane osobowe nie decyduje o celach i ani o środkach przetwarzania danych – działa na podstawie umowy z administratorem danych. W tym miejscu należy zwrócić uwagę na konieczność zawarcia umowy powierzenia przetwarzania danych osobowych, w której będą określone zasady przetwarzania danych osobowych.
Jakie obowiązki nakłada RODO?
RODO, w odróżnieniu poprzedniej ustawy z dnia 29 sierpnia 1997 roku, nie nakłada obowiązku przygotowania i wdrożenia dokumentacji ochrony danych osobowych, do których wcześniej zaliczano politykę bezpieczeństwa danych osobowych i instrukcję zarządzania systemem informatycznym, w którym przetwarzane są dane osobowe.
Jedyną explicite wskazaną i nakazaną czynnością jest prowadzenie rejestru czynności przetwarzania danych osobowych, który stanowi element.. dokumentacji ochrony danych osobowych. Tak, tak, tej samej, której obowiązku kontynuowania nie nakłada dla wspomnianych wcześniej dokumentów. Niemniej jednak warto zauważyć, że RODO często odwołuje się do „polityk ochrony danych”, co ze względu na obszerność interpretacyjną można podsumować rekomendacją dalszego jej prowadzenia. Ze szczególnym uwzględnieniem Rejestru Czynności Przetwarzania Danych Osobowych.
Jak zabezpieczać dane osobowe?
RODO odchodzi również od praktyki polegającej na wskazywaniu konkretnych środków zabezpieczenia danych osobowych, jakie mają zostać wdrożone przez administratora lub podmiot przetwarzający. W zamian za to, RODO wprowadza podejście oparte na ryzyku. Polega ono na tym, że każdy podmiot przetwarzający dane osobowe musi samodzielnie określić, jakie środki zabezpieczenia danych powinien zastosować w zależności od:
- charakteru, zakresu i celu przetwarzania,
- ryzyka naruszenia praw lub wolności osób fizycznych,
- stanu wiedzy technicznej,
- kosztu wdrażania.
Domyślna ochrona danych osobowych?
Cała filozofia RODO sprowadza się tak naprawdę do proaktywnego podejścia do ochrony danych osobowych. Do tej pory, o ochronie danych osobowych przypominano sobie dopiero w przypadku zaistnienia jakiegoś problemu z nieuprawnianym dostępem/udostępnieniem danych osobowych. RODO mówi stop takim praktykom i nakazuje już na etapie projektowania uwzględniać kwestie ochrony danych osobowych. Co w zamierzeniu twórców RODO ma przełożyć się na domyślną ochronę danych osobowych w postaci minimalizacji zakresu przetwarzanych danych osobowych przy jednoczesnym zachowaniu funkcjonalności poszczególnych produktów czy usług oraz ograniczeniu ryzyk. Im mniej niepotrzebnych danych, tym mniejsze ryzyko na ich nieuprawnione wykorzystanie. Tyle i aż tyle.
Obowiązek informacyjny?
Dane osobowe są uznawane obecnie za bardzo cenne dla współczesnych firm, szczególnie tych działających w obszarze nowych technologii i Internetu.
Dlaczego cenne? Ponieważ to na podstawie przetwarzanych zbiorów danych firmy mogą wyciągać wnioski i podejmować decyzje biznesowe. Co jest dozwolone i nie jest zabronione przez RODO, ale istotną zmianą jest to, że użytkownik musi być poinformowany o fakcie i celach przetwarzania danych.
Co istotne dla wspólnoty mieszkaniowej, ze względu na obowiązki wynikające z Ustawy o Własności Lokali – będącej podstawą prawną przetwarzania danych osobowych, wspólnota nie potrzebuje zgody na przetwarzanie danych osobowych członków wspólnoty ani nie musi o tym fakcie ich informować.
Jakie informacje powinien zawierać rejestr czynności przetwarzania danych osobowych?
Katalog informacji, jakie będą musiały znaleźć się w rejestrze czynności przetwarzania danych, w dużej mierze pokrywa się z informacjami, jakie dotychczas administratorzy danych podawali, zgłaszając zbiór do Generalnego Inspektora Ochrony Danych Osobowych. Zgodnie z art. 30 RODO rejestr czynności przetwarzania danych powinien zawierać:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora, a także wszelkich współadministratorów, i gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych,
- cel przetwarzania,
- opis kategorii osób, których dane dotyczą,
- opis kategorii danych osobowych,
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub organizacjach międzynarodowych,
- przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
- planowane terminy usunięcia poszczególnych kategorii danych,
- opis technicznych i organizacyjnych środków bezpieczeństwa mających zapewnić odpowiedni poziom bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO.
Sam rejestr może mieć dowolną formę – zarówno forma pisemna lub elektroniczna jest dozwolona. Istotne jest to by był po prostu sumiennie prowadzony.
Jak przygotować wspólnotę mieszkaniową do RODO?
Aby skutecznie wdrożyć RODO, wspólnota mieszkaniowa powinna wykonać następujące:
- Przeprowadzić wewnętrzny audyt przetwarzanych zbiorów danych osobowych z uwzględnieniem analizy ryzyka.
- Wdrożyć dokumenty i procedury opisujące politykę ochrony danych osobowych.
- Sporządzić i prowadzić rejestr czynności przetwarzania danych z określeniem podstaw prawnych dla każdej z kategorii danych.
- Sprawdzić i zaktualizować umowy powierzenia przetwarzania danych.
- Stosować minimalizację przetwarzanych danych – nie zbieramy danych, których nie potrzebujemy do funkcjonowania wspólnoty.
- Informować podmioty współpracujące o fakcie przetwarzania danych osobowych – spełnienie obowiązku informacyjnego, np. w postaci opracowanych stosownych klauzul.
Mamy nadzieję, że powyższe pomogło Ci w zrozumieniu, o co tak naprawdę chodzi w zmianach, które zaczną obowiązywać już od 25 maja 2018 roku. A diabeł RODO nie okazał się być taki straszny jak go malują.
Aha! Dla tych wszystkich zapisujących się do naszego newslettera, w podziękowaniu prześlemy link do pobrania szablonu rejestru czynności przetwarzania do samodzielnego uzupełnienia.
Grafika: „Rodos bez s” by Goorsky.pl
Jak to jest w przypadku dluznikow we wspólnocie? Czy zarzadca moze udostępniać info o zadluzeniu oraz o dłużnikach czlonkom danej wspólnoty?czy moze bronic sie przepisami Rodo?
Hej Marta!
Zgodnie z Ustawą o Własności Lokali (UoWL), każdy członek wspólnoty ma prawo uzyskać informację na temat kosztów utrzymania części wspólnej nieruchomości, a każdy zarząd czy zarządca musi mu taką informację udostępnić.
W naszym rozumieniu tematu, RODO w tej kwestii nic nie zmienia.
Warto dodać, że ta informacja jest jawna wewnątrz wspólnoty, a nie publicznie jawna. Informacja może być przedstawiona członkowi lub członkom wspólnoty, ale nie powinna być rozgłaszana np w postaci publicznie dostępnych list.
Wspólnoty, które znam, różnie podchodzą do tematu windykacji miękkiej dłużników (informowanie i przypominanie o zaległych płatnościach). Znam przypadki wskazywania na forum wspólnoty największych dłużników z imienia i nazwiska oraz numeru lokalu. Najczęstszą praktyką jednak jest przekazywanie informacji w sposób zagregowany ze wskazaniem poziomów zadłużenia, tzn nie wskazują dłużnika palcem, ale informują o liczbie dłużników z danym poziomem zadłużenia.
Pozdrawiam!
Czy mieszkaniec wspólnoty może mieć dostęp do adresów kontaktowych członków wspólnoty( nie mieszkających we wspólnocie)?
I jak to jest z dostępem do wyciągów bankowych? Pozdrawiam
Joanno, zgodnie z art. 29 ust. 3 UoWL traktującym o kontroli działalności zarządu wspólnoty, co w praktyce oznacza dostęp do de facto wszelkiej informacji, każdy członek wspólnoty (’mieszkaniec wspólnoty’ niekoniecznie musi być członkiem wspólnoty – po pytaniu wnoszę, że rozróżniasz te kwestie) ma prawo wglądu (czyli należy mu to umożliwić) do tej informacji. Osoba zamieszkującą na terenie wspólnoty mieszkaniowej, ale niebędąca jej członkiem, już takim prawem nie dysponuje.
Co do dostępu do wyciągu bankowych – odpowiedź jest identyczna – każdy członek wspólnoty mieszkaniowej ma prawo do kontroli działaności zarządu, a w szczególności do informacji finansowych (w tym wszelkich wyciągów bankowych). W przeciwnym razie sprawowanie kontroli byłoby bardzo utrudnione lub niemożliwe.
Czy pytania pochodzą z zebrania rocznego w Twojej wspólnocie?
Pozdrawiam serdecznie!
Tak z zebrania.Zasłaniając się przepisami RODO Zarząd nie chce udostępnić WB oraz danych kontaktowych do właścicieli.
Dobrze to nazwałaś – zdecydowanie jest to zasłanianie się. Odwołaj się do UoWL i żadne RODO nie będzie w stanie tutaj uniemożliwić Ci dostępu do informacji.
Dzień dobry,
mam pytanie czy w przypadku zmiany administratora , poprzedni administrator może otrzymać od nowego wyciąg bankowy Wspólnoty Mieszkaniowej za miesiąc w którym była on jeszcze administrowana przez niego w celu zaksięgowania go by wpłaty właścicieli były ujęte w saldzie na dzień przekazania administrowania nowemu właścicielowi? Są to moim zdaniem dane konieczne do prawidłowego sporządzenia sald i wywiązania się poprzedniego administratora z umowy o administrowanie ale on się zasłania RODO co spowodowało że się trochę waham.
z góry dziękuje za odpowiedz
Hej Kasiu, postaram się odpowiedzieć.
Mam nadzieję, że poprzedni administrator (tak przejmujący się RODO), ze względu na RODO przygotował dla Was odpowiednią umowę dot. przetwarzania danych osobowych. Jeżeli tak, to zasłanianie się RODO nic tu nie pomoże, ponieważ i tak już te dane przetwarza – argument nietrafiony moim zdaniem. Jeżeli nie, to możesz spróbować wystosować kontrargument w postaci, że skoro nie mieli stosownej umowy na przetwarzanie danych osobowych mieszkańców wspólnoty (upewnij się, że nowy administrator jest tego świadomy!), a przetwarzali dane, to odpowiedni urząd zajmie się tym tematem, więc te dane (wyciągi bankowe) mógłby jednak uwzględnić w przekazaniu salda 😉 (tu możesz dołożyć wygooglowany link dot. kar z powodu naruszeń RODO).
Co do samego przekazania informacji do następnego administratora, to niestety nie jest to uregulowana praktyka – ponieważ wynika bezpośrednio z umowy między stronami (oraz trybu wypowiedzenia umowy czy momentu kiedy zachodzi).
Z księgowego punktu widzenia, istotne jest by przekazać ostatnie (najbardziej aktualne) salda, aby przejmujący administrator mógł je odpowiednio wprowadzić, i ewentualnie następnie wprowadzić informacje z kolejnego wyciągu bankowego.
Co do zasady zgadzam się z Tobą, że dobrą praktyką powinno być zamknięcie ostatniego okresu np. ostatniego miesiąca, ale nie jest to obowiązująca praktyka czy reguła.
Niestety jest to klasyczny problem kiedy wspólnoty zmieniają dostawców usług i nie zarządają informacją po swojej stronie, co swoją drogą jest jednym z powodów, który doprowadził do powstania Admify.
Gdybyś miała więcej pytań, to pisz/dzwoń śmiało.
W dniu dzisiejszym poprzedni administrator dostarczył pismo iż doszło do naruszenia przepisów art.6 pkt 1 lit.a o ochronie danych osobowych, o których mowa w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46WE . Jak również powołuje się iż nie jest podmiotem w myśli definicji art.4 pkt 7 i art. 4 pkt 8 ogólnego rozporządzenia o ochronie danych osobowych i że nie ma podstaw prawnych na mocy których może te dane przetwarzać…
Ale rozliczenie mediów zrobili i przekazali 1 kwietnia 2019 r. wiec jedno wyklucza drugie moim zdaniem…
Jak to ugryźć?
Dziękuję bardzo za odpowiedz 🙂
Na chwile obecną zostało przekazane pismo wraz z wyciągiem bankowym. Czekamy no rozwinięcie się sytuacji.
Dzień dobry,
dostałam pismo od firmy zarządzającej nieruchomościami pismo o usunięcie przedmiotu z części wspólnych. Problem w tym, że to firma, która nie zarządza nieruchomością, w której mieszkam. Czy zarząd wspólnoty ma prawo podać moje dane innej firmie i zarządcy, żeby ten wysłał takie pismo?
Dzień dobry. Przyznam, że nie do końca rozumiem sytuację. Zakładam, że jest Pani członkiem wspólnoty mieszkaniowej. Zarząd wspólnoty jest upoważniony do dostępu Pani danych i podejmowania akcji w ramach sprawowanych kompetencji dot. części wspólnych.
Jeżeli zarząd wspólnoty do administrowania zatrudnia zewnętrzną firmę, to najprawdopodniej ma podpisaną umowę dot. przetwarzania danych osobowych przez firmę administrująca – sugeruje sprawdzić zakres umowy.
Najczęściej tego typu prośby są wysyłane, jeżeli wspomniane przedmioty (np wózki, rowery inne większe gabaryty) zalegające/znajdujące się w ramach części wspólnych (np na korytarzach klatek schodowych) mogą stwarzać zagrożenie (np podczas pożaru, utrudniając ewakuację).
Mam nadzieje, że pomogliśmy.
Dobry wieczór,
Ja z kolei mam pytanie czy moja wspólnota mieszkaniowa nie przesadza z udostępnianiem danych. Podczas rozliczenia rocznego kosztu utrzymania lokalu, każdy z mieszkańców dostał dane swoje jak i również innych mieszkańców. W piśmie otrzymanym od wspólnoty byli wypisani z imienia i nazwiska wszyscy właściciele lokali, stany liczników, zużycie, pobrane i rozliczone zaliczki. Czy to nie jest za dużo danych jakie udostępnia wspólnota?
Dzień dobry. O ile może wydawać się to faktycznie przesadne (coś na zasadzie „too much”), to jest to zgodne z UoWL i – w naszej ocenie – nie stanowi naruszenia RODO. Faktycznie rzadko spotyka się taką nadgorliwość w przekazywaniu informacji dot. rozliczeń rocznego kosztu utrzymania lokalu, ale w tym przypadku potraktowalibyśmy to jako prawo do kontroli zarządu (Art. 29 pkt. 3 UoWL). Być może ktoś ze członków wspólnoty chciałby wykonać sprawdzenie przekazanego rozliczenia? Może mieć taką ochotę, a na pewno ma do tego prawo. Wtedy na podstawie prawa do kontroli zarządu przysługującego na podstawie UoWL zarządca/administrator byłby zobligowany do przekazania takiej informacji. W tym przypadku proaktywnie po prostu umożliwiono Tobie i pozostałym członkom wspólnoty skorzystanie z tego prawa 😉
Warto pamiętać, że ta informacja jest 'publiczna’ tylko w ramach wspólnoty. Publikowanie tej informacji 'na zewnątrz’ wspólnoty stanowi już naruszenie RODO. A może Wasz Zarządca/Administrator chciał 'spersonalizować’ wysyłkę, ale mu nie wyszło / nie miał odpowiedniego narzędzia do wykonania takiej wysyłki?
Pozdrawiam serdecznie,
ML
Dzień dobry
Czy Wspólnota Mieszkaniowa zatwierdzając uchwałę o założeniu e-kartotek powinna mieć zgodę każdego właściciela na przetwarzanie danych RODO
Dzień dobry. Nie, wspólnota nie potrzebuje zgody właściciela, aby móc korzystać z rozwiązania wspierającego komunikację z członkami wspólnoty. Na pewno musi posiadać za to umowę powierzenia przetwarzania danych osobowych zawartą z administratorem/zarządcą proponującego korzystanie z takowego narzędzia (a sam administrator/zarządca powinien mieć rownież umowę z dostawcą rozwiązania).
Z jakiego narzędzia zdecydowano się u Was skorzystać? Wiesz może co było kryterium decydującym o wyborze rozwiązania?
Udanego dnia!
ML
Dzień dobry.
Kto powinien wdrożyć we wspólnocie dokumentację ochrony danych osobowych? Przyjmijmy, że zarząd został powierzony zarządcy w trybie art. 18 u.o.w.l. Zarzadca jest podmiotem przetwarzającym, na podstawie zawartej umowy powierzenia przetwarzania danych osobowych. Wspólnota jest administratorem danych członków wspólnoty. Kto fizycznie powinien przygotować dla wspólnoty dokumentację (polityki, rejestry, analizę ryzyka)? Czy te dokumenty powinny zostac przyjęte uchwałą właścicieli?