Naruszanie należy zgłaszać bez zbędnej zwłoki - kara dla wspólnoty mieszkaniowej

Prezes UODO Mirosław Wróblewski po przeprowadzeniu postępowania stwierdził naruszenie przepisów RODO oraz nałożył na wspólnotę mieszkaniową karę administracyjną w wysokości 5 tys. zł za niezgłoszenie naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia.

Do naruszenia danych doszło poprzez udostępnienie danych osobowych - administrator przekazał osobie nieuprawnionej - „zawiadomienie o rozliczeniu opłat za użytkowanie lokali mieszkaniowych”. Znajdowały się w nim następujące informacje:

• imię i nazwisko członka Wspólnoty,
• adres członka Wspólnoty,
• numer lokalu, którego dotyczy rozliczenie opłat,
• kwoty dotyczące rozliczenia opłat za użytkowanie lokalu,
• numery liczników oraz odczyty z tychże liczników,
• numer rachunku bankowego do wpłat.

Do błędnego udostępnienia danych osobowych członka wspólnoty mieszkaniowej doszło w związku z wykonywaniem przez spółkę umowy o administrowaniu nieruchomością zawartej ze wspólnotą mieszkaniową. Jako pierwszą Prezes UODO wezwał więc Spółkę i zażądał od niej złożenia wyjaśnień w celu ustalenia, czy przeprowadzono analizę ryzyka naruszenia praw lub wolności osób fizycznych. Spółka wyjaśniła, że w jej ocenie nie doszło do naruszenia ochrony danych osobowych, ponieważ obie osoby widniejące „na dokumencie są właścicielami nieruchomości tworzącej Wspólnotę, tym samym z mocy Ustawy o własności lokali nabywają uprawnienia do wglądu we wszystkie dokumenty wytworzone przez Wspólnotę”.

Prezes UODO zażądał następnie złożenia wyjaśnień przez wspólnotę mieszkaniową - administratora danych osobowych. W odpowiedzi administrator wskazał, że nie powiadomił Prezesa UODO o naruszeniu, ponieważ niewłaściwie udostępnione „zawiadomienie o rozliczeniu opłat za użytkowanie lokali mieszkaniowych” zawierało „tzw. dane zwykłe, zaś naruszenie dotyczyło jednego członka Wspólnoty”.

Po przeprowadzeniu postępowania administracyjnego Prezes UODO uznał, że w przedmiotowej sprawie doszło do bezpodstawnego udostępnienia danych osobowych osobie nieuprawnionej, a tym samym do naruszenia ochrony danych osobowych. Przepisy ustawy o własności lokali nie legitymizują w żaden sposób dowolnego udostępniania danych osobowych członków wspólnoty mieszkaniowej. Tym bardziej gdy czynione jest to wbrew ich woli – tak jak w przedmiotowej sprawie – gdy otrzymują błędnie nadesłaną korespondencję zawierającą dane osobowe innego członka wspólnoty.

• Art. 33 ust. 1 i 3 RODO stanowi, że w przypadku naruszenia ochrony danych osobowych, administrator danych zgłasza je organowi nadzorczemu. Jest również zobowiązany do działania bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - chyba że jest mało prawdopodobne, by naruszenie to skutkowało naruszeniem praw lub wolności osób, których dane dotyczą.
• „Małe prawdopodobieństwo” powinno być utożsamiane z sytuacją, gdy przesłanki wskazują, że naruszenie praw lub wolności osób, których dane dotyczą – w ogóle się nie urzeczywistnią. W polskim tłumaczeniu RODO użyto sformułowania „mało prawdopodobne”, zaś w angielskiej - „unlikely”. Wyraz ten ma silniejsze znaczenie niż nasz rodzimy odpowiednik i służy do określenia czegoś, co jest raczej nieprawdopodobne, wątpliwie lub niemal niemożliwe.
• Warte podkreślenia jest to, że potencjalne konsekwencje zdarzenia nie muszą się zmaterializować. W art. 33 ust. 1 RODO wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, niesie ze sobą obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu.

Zgłaszanie naruszeń ochrony danych osobowych przez administratorów stanowi skuteczne narzędzie przyczyniające się do poprawy bezpieczeństwa przetwarzania danych osobowych. Zgłaszając naruszenie, administratorzy informują Prezesa UODO, czy w ich ocenie wystąpiło wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą oraz - jeżeli takie ryzyko wystąpiło - czy przekazali stosowne informacje osobom fizycznym, na które naruszenie wywiera wpływ.

Zgłaszanie naruszeń pozwala organowi nadzorczemu na właściwą reakcję mogącą ograniczyć ich skutki, bowiem administrator ma obowiązek podjęcia skutecznych działań zapewniających ochronę osobom fizycznym i ich danym osobowym. Z jednej strony pozwala to na kontrolę skuteczności dotychczasowych rozwiązań, a z drugiej na ocenę modyfikacji i usprawnień służących zapobieżeniu na przyszłość podobnym nieprawidłowościom.

W przedmiotowej sprawie osoba, której udostępniono dane osobowe innego członka wspólnoty mieszkaniowej, w ogóle nie wnioskowała o przekazania jej danych. Organ nadzorczy stwierdził, że ich udostępnienie nastąpiło bez związku z celami określonymi w ustawie o własności lokali.

Niedopuszczalne jest ignorowanie obowiązku rzetelnego przeprowadzenia analizy ryzyka naruszenia praw lub wolności osób fizycznych tylko dlatego, że naruszenie to dotyczyło jednej osoby. Uchylenie się przez Administratora od obowiązku zgłoszenia naruszenia osobowych, ponieważ nie znajduje oparcia w RODO i jest sprzeczne z podstawowym celami RODO, tj. ochroną praw podstawowych praw i wolności osób fizycznych, a w szczególności ich prawa do ochrony danych osobowych.

DKN.5131.16.2025