Stan faktyczny sprawy
Sprawa rozpoczęła się od wpływu do Prezesa UODO informacji o potencjalnym naruszeniu ochrony danych osobowych, polegającym na przesłaniu osobie nieuprawnionej dokumentu zawierającego rozliczenie opłat za użytkowanie lokalu mieszkalnego. Jak ustalono w toku postępowania, do ujawnienia danych doszło w związku z wykonywaniem przez spółkę administrującą nieruchomością umowy zawartej ze wspólnotą mieszkaniową.
Dokument przekazany niewłaściwemu odbiorcy zawierał m.in. imię i nazwisko członka wspólnoty, adres, numer lokalu, kwoty rozliczeń, numery liczników wraz z odczytami oraz numer rachunku bankowego do wpłat. Podmiot przetwarzający wskazywał, że po uzyskaniu informacji o incydencie przeprowadzono analizę dotyczącą sposobu wysyłki korespondencji oraz procesu pakowania przesyłek. Podkreślano przy tym, że listy były umieszczane w kopertach z okienkiem, a adresy na dokumentach i kopertach były zgodne. Spółka utrzymywała również, że w jej ocenie nie doszło do naruszenia ochrony danych osobowych, ponieważ zarówno osoba, której dane dotyczyły, jak i odbiorca korespondencji byli członkami tej samej wspólnoty mieszkaniowej. Wspólnota mieszkaniowa, jako administrator danych, podzieliła to stanowisko. W toku postępowania wskazywała, że dokument zawierał wyłącznie „dane zwykłe”, a incydent dotyczył jednej osoby, wobec czego – zdaniem administratora – nie było podstaw do zgłoszenia naruszenia organowi nadzorczemu. Prezes UODO nie podzielił tej argumentacji i wszczął wobec wspólnoty postępowanie administracyjne dotyczące naruszenia art. 33 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.42016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO) poprzez niezgłoszenie naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin od jego stwierdzenia.
Status wspólnoty jako administratora danych
W decyzji Organ szczegółowo odniósł się do statusu wspólnoty mieszkaniowej jako administratora danych osobowych. Prezes UODO wskazał, że to wspólnota ustala cele i sposoby przetwarzania danych osobowych związanych z funkcjonowaniem nieruchomości wspólnej, w tym rozliczaniem opłat za użytkowanie lokali. Tym samym spełnia definicję administratora z art. 4 pkt. 7 RODO.
Jednocześnie podkreślono, że spółka administrująca nieruchomością działała wyłącznie jako podmiot przetwarzający na podstawie umowy powierzenia przetwarzania danych osobowych. Nie zwalniało to jednak wspólnoty z odpowiedzialności za wykonanie obowiązków wynikających z art. 33 RODO.
Obowiązek zgłoszenia naruszenia do Prezesa UODO
Kluczowym elementem rozstrzygnięcia była ocena, czy w okolicznościach sprawy wspólnota miała obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu.
Prezes UODO przypomniał, że zgodnie z art. 33 ust. 1 RODO administrator jest zobowiązany zgłosić naruszenie ochrony danych osobowych, chyba że jest mało prawdopodobne, aby naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
Organ zaakcentował przy tym konieczność ścisłej interpretacji wyjątku przewidzianego w tym przepisie. W decyzji wskazano, że użyte w angielskiej wersji językowej RODO pojęcie „unlikely” należy rozumieć jako sytuację, w której ryzyko naruszenia praw lub wolności jest praktycznie wykluczone albo wysoce nieprawdopodobne. Tym samym obowiązek zgłoszenia powinien być wyłączony jedynie wyjątkowo. Prezes UODO podkreślił również, że dla powstania obowiązku notyfikacyjnego nie jest konieczne rzeczywiste wystąpienie szkody po stronie osoby, której dane dotyczą. Wystarczające jest samo istnienie ryzyka naruszenia jej praw lub wolności. W ocenie Organu ujawnienie danych obejmujących informacje identyfikacyjne, dane dotyczące rozliczeń finansowych oraz numer rachunku bankowego niewątpliwie wiązało się z takim ryzykiem. Choć Organ uznał, że nie wystąpiło wysokie ryzyko uzasadniające obowiązek zawiadomienia osoby, której dane dotyczą, to jednocześnie wskazał, że nie oznaczało to automatycznie braku obowiązku zgłoszenia incydentu Prezesowi UODO.
Dostęp członków wspólnoty do dokumentacji a ochrona danych osobowych
Istotnym elementem decyzji była również ocena argumentacji wspólnoty dotyczącej prawa właścicieli lokali do kontroli działalności zarządu nieruchomości wspólnej.
Administrator powoływał się na przepisy ustawy o własności lokali, zgodnie z którymi członkowie wspólnoty mają prawo dostępu do dokumentacji dotyczącej zarządzania nieruchomością.
Prezes UODO podkreślił jednak, że uprawnienia te nie mają charakteru nieograniczonego. Wskazał, że przepisy ustawy o własności lokali nie legalizują dowolnego ujawniania danych osobowych członków wspólnoty, zwłaszcza gdy przekazanie danych następuje w sposób przypadkowy i bez związku z realizacją celu wynikającego z przepisów prawa. W tym zakresie Organ powołał się również na orzecznictwo WSA w Warszawie oraz NSA, zgodnie z którym zakres danych udostępnianych współwłaścicielom musi być adekwatny i niezbędny do realizacji celu związanego z zarządem nieruchomością wspólną. Organ zwrócił również uwagę, że odbiorca korespondencji w ogóle nie wnioskował o udostępnienie tych danych, a administrator nie był w stanie wykazać, że dostęp do dokumentu nie został uzyskany przez osobę trzecią spoza wspólnoty, np. osobę upoważnioną do odbioru korespondencji.
Kara pieniężna i ocena naruszenia
W konsekwencji Prezes UODO stwierdził naruszenie art. 33 ust. 1 RODO i nałożył na wspólnotę administracyjną karę pieniężną w wysokości 4 852 zł.
Przy ustalaniu wysokości sankcji organ uwzględnił m.in. lokalny charakter działalności wspólnoty, niewielką skalę przetwarzania danych oraz brak komercyjnego charakteru działalności administratora. Jednocześnie za okoliczności obciążające uznano przede wszystkim długi czas trwania naruszenia oraz brak współpracy z organem nadzorczym. Prezes UODO podkreślił również, że po uzyskaniu od Organu wyjaśnień dotyczących obowiązku zgłoszenia naruszenia dalsze zaniechanie administratora miało już charakter umyślny.
Komentarz
Decyzja Prezesa UODO wpisuje się w coraz bardziej restrykcyjną linię interpretacyjną dotyczącą art. 33 RODO. Organ wyraźnie sygnalizuje, że wyjątek od obowiązku zgłaszania naruszeń powinien być stosowany bardzo wąsko, a administratorzy nie mogą utożsamiać „braku wysokiego ryzyka” z całkowitym brakiem obowiązku notyfikacyjnego.
Rozstrzygnięcie ma szczególne znaczenie dla wspólnot mieszkaniowych, spółdzielni, zarządców nieruchomości oraz podmiotów świadczących usługi administracyjne. W praktyce właśnie w tych sektorach często dochodzi do incydentów związanych z błędną wysyłką korespondencji, omyłkowym ujawnieniem rozliczeń czy przekazaniem dokumentów niewłaściwemu odbiorcy. Decyzja pokazuje, że nawet pojedynczy incydent dotyczący jednej osoby może wymagać zgłoszenia do organu nadzorczego.
Istotne znaczenie ma również stanowisko Prezesa UODO, dotyczące prawa dostępu członków wspólnoty do dokumentacji. Organ jednoznacznie wskazał, że przepisy ustawy o własności lokali nie stanowią podstawy do nieograniczonego ujawniania danych osobowych innych właścicieli lokali. Administratorzy powinni zatem każdorazowo oceniać zakres udostępnianych informacji przez pryzmat zasady adekwatności i minimalizacji danych.
W praktyce decyzja powinna skłonić administratorów do bardziej ostrożnego podejścia przy ocenie incydentów bezpieczeństwa oraz częstszego zgłaszania naruszeń do Prezesa UODO. Z perspektywy compliance oznacza to konieczność dokumentowania analizy ryzyka oraz wdrożenia procedur pozwalających na szybką kwalifikację zdarzeń pod kątem obowiązków wynikających z art. 33 i 34 RODO.
Artykuł pochodzi z Systemu Legalis. Bądź na bieżąco, polub nas na Facebooku →
