ZSPU.440.156.2019
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.) w zw. z art. 12 pkt 2, art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) oraz art. 57 ust. 1 lit. a) i f) i art. 6 ust. 1 lit. c) i f) oraz art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 i Dz.U.UE.L.2018.127.2) po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani M. G. zam. w G., dotyczącej nieprawidłowości w procesie przetwarzania jej danych osobowych przez Panią G. A. jako podmiot prowadzący działalność gospodarczą pod firmą G. z siedzibą w G. oraz przez Wspólnotę Mieszkaniową S. z siedzibą w G., Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (aktualnie: Urząd Ochrony Danych Osobowych) wpłynęła skarga Pani M. G. zam. w G., zwanej dalej Skarżącą, dotycząca nieprawidłowości w procesie przetwarzania jej danych osobowych przez Panią G. A. jako podmiot prowadzący działalność gospodarczą pod firmą G. z siedzibą w G., zwaną dalej Zarządcą oraz przez Wspólnotę Mieszkaniową S. z siedzibą w G., zwaną dalej Wspólnotą. W treści ww. skargi Skarżąca podniosła w szczególności cyt.: „(…) Firma W. nie posiada żadnych uprawnień powierzenia do przetwarzania naszych danych osobowych, nie wiadomo, kto roznosi aneksy, czy posiada upoważnienie do przetwarzania danych osobowych od Wspólnoty (…)”. Skarżąca zakwestionowała także przetwarzanie jej danych osobowych przez odwołanych członków Zarządu Wspólnoty w osobach Pana B. C. i Pana A. C. W piśmie z dnia […] marca 2014 r. skierowanym do organu Skarżąca dodatkowo podniosła, że Wspólnota cyt.: „(…) podaje {się} do publicznej wiadomości dane o moim rzekomym zadłużeniu (…)”. Następnie w piśmie z dnia […] czerwca 2014 r. skierowanym do organu Skarżąca zarzuciła, że Zarząd Wspólnoty udostępnia dane cyt.: „(…) firmie W., która to bez żadnych uprawnień posiadane dane osobowe udostępnia firmom, jak też G. R. (…)”.W ww. piśmie z dnia […] czerwca 2014 r. Skarżąca dodała również cyt.: „(…) w protokołach z zebrań rocznych Wspólnoty Mieszkaniowej w dniu […] marca 2014 r. bez mojej zgody przetwarzane są dane osobowe w postaci szkalowania, które następnie przekazywane są do W. i innych podmiotów (…)”. W kolejnym piśmie z dnia […] sierpnia 2014 r. skierowanym do organu Skarżąca podniosła, iż Zarząd Wspólnoty udostępnił jej dane Pani M. W. W piśmie z dnia […] grudnia 2014 r. Skarżąca wskazała, iż wodomierze odczytywała nieznana osoba w imieniu Zarządcy, cyt.: „(…) jak ustaliłam ta kobieta nie miała żadnego upoważnienia od Zarządu Wspólnoty Mieszkaniowej S. w G. Nie okazała też żadnego upoważnienia ze strony firmy W. (…)”. W piśmie z dnia […] lipca 2015 r. Skarżąca podniosła cyt.: „(…) kolejny raz została zatrudniona nowa osoba do odczytu wodomierzy w lokalach mieszkalnych Wspólnoty (…) V. F., która posiadała listę z chronionymi danymi osobowymi, do których nie posiadała żadnych prawnych uprawnień (…)”. Reasumując, Skarżąca w piśmie z dnia […] sierpnia 2017 r. skierowanym do organu powtórzyła swoje stanowisko prezentowane w toku postępowania prowadzonego w niniejszej sprawie i wskazała cyt.: „(…) Zarząd Wspólnoty Mieszkaniowej S. w G. nadal przekazuje moje dane jak też innych członków Wspólnoty coraz to nowym osobom – pod szyldem W. bez uchwał właścicieli lokali.(…). Zarząd Wspólnoty (…) zawarł umowę z firmą W., która nie zawierała żadnych zapisów odnośnie przetwarzania danych członków i moich, nie ma żadnych zabezpieczeń danych przed ich udostępnianiem, zabraniem, zniszczeniem, uszkodzeniem, nie prowadzi się ewidencji osób upoważnionych do ich przetwarzania. (…). Osoby, które roznoszą korespondencję nie zostały nadane upoważnienia do przetwarzania danych osobowych moich i nie są chronione w żaden sposób. (…). I tak przedstawiam jako dowód umowę zawartą przez Zarząd Wspólnoty Mieszkaniowej bez uchwały właścicieli oraz aneksy wystawiane mi przez osobę zupełnie nieznaną, dzieje się tak przy każdym odczycie wodomierzy, przeglądach kominiarskim, elektrycznym i innych, gdzie na listach widnieją dane osobowe oraz wymagane są podpisy (…). Jak dotąd nieznane przedstawiam aneksy opłat czynszowych wystawiane przez M. M., odczytująca M. W. wodomierze nie dość, że arogancka to nadal dysponuje wszelkimi danymi osobowymi bez uprawnień (…)”.
W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny.
- Skarżąca jest członkiem Wspólnoty.
- W skład Zarządu Wspólnoty wchodzili: Pani H. I., Pan B. C. i Pan A. C. - pismo Wspólnoty z dnia […] grudnia 2014 r. skierowane do Generalnego Inspektora Ochrony Danych Osobowych (aktualnie: Prezesa Urzędu Ochrony Danych Osobowych) – w aktach sprawy.
- W dniu […] czerwca 2009 r. pomiędzy Wspólnotą a Zarządcą została zawarta na czas nieokreślony umowa o zarządzanie nieruchomością Wspólnoty - umowa w aktach sprawy.
- W dniu […] kwietnia 2010 r. pomiędzy Wspólnotą a Zarządcą została zawarta umowa powierzenia przetwarzania danych osobowych w celu administrowania nieruchomością Wspólnoty – umowa w aktach sprawy.
- Pani M. H., zatrudniona u Zarządcy na stanowisku księgowego posiadała upoważnienie do przetwarzania danych osobowych znajdujących się u Zarządcy w okresie od dnia […] kwietnia 2010 r. do dnia […] grudnia 2015 r. – upoważnienie z dnia […] kwietnia 2010 r. – w aktach sprawy.
- Pani M. W., zatrudniona u Zarządcy na stanowisku administratora nieruchomości posiadała upoważnienie do przetwarzania danych osobowych znajdujących się u Zarządcy w okresie od dnia […] czerwca 2014 r. do dnia […] grudnia 2015 r. – upoważnienie z dnia […] czerwca 2014 r. – w aktach sprawy.
- Pan G. R., zatrudniony u Zarządcy na stanowisku administratora nieruchomości posiadał upoważnienie do przetwarzania danych osobowych znajdujących się u Zarządcy w okresie od dnia […] listopada 2011 r. do dnia […] grudnia 2015 r. – upoważnienie z dnia […] listopada 2011 r. – w aktach sprawy.
- Pani V. F., pracownica Zarządcy posiadała stosowne upoważnienia do przetwarzania danych osobowych właścicieli lokali Wspólnoty w zakresie objętych ww. umową powierzenia przetwarzania danych osobowych – pismo Wspólnoty z dnia […] grudnia 2014 r. skierowane do Generalnego Inspektora Ochrony Danych Osobowych (aktualnie: Prezesa Urzędu Ochrony Danych Osobowych) – w aktach sprawy.
- Zarządca nie udostępnił danych osobowych członków Wspólnoty na rzecz podmiotu wykonującego przeglądy instalacji gazowych oraz przewodów kominowych – oświadczenie Zarządcy z dnia […] listopada 2014 r. – w aktach sprawy.
- Zarząd Wspólnoty udostępnia dane osobowe członków Wspólnoty wyłącznie na rzecz Zarządcy – pismo Wspólnoty z dnia […] listopada 2014 r. skierowane do Generalnego Inspektora Ochrony Danych Osobowych (aktualnie: Prezesa Urzędu Ochrony Danych Osobowych) – w aktach sprawy.
- Zarządca stosuje odpowiednie zabezpieczenia organizacyjne i techniczne przetwarzanych danych osobowych członków Wspólnoty- pismo Zarządcy z dnia […] marca 2014 r. skierowane do Generalnego Inspektora Ochrony Danych Osobowych (aktualnie: Prezesa Urzędu Ochrony Danych Osobowych) – w aktach sprawy.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.
Na wstępie wskazać należy, iż z dniem 25 maja 2018 r., wraz z wejściem w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.), Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.) zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.). Wszelkie czynności podjęte przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1-3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).
Zgodnie z art. 18 ust. 1 ustawy z 29 sierpnia 1997 r., Generalny Inspektor w przypadku naruszenia przepisów o ochronie danych osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych.
Stosownie do art. 57 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 i Dz.U.UE.L.2018.127.2), zwanego dalej RODO, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym (lit. f).
Z kolei zgodnie z art. 6 ust. 1 RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Odnosząc powyższe do okoliczności niniejszej sprawy wskazać należy, iż podstawą przetwarzania przez Zarządcę danych osobowych Skarżącej jako członka Wspólnoty jest zawarta przez Zarządcę ze Wspólnotą umowa określająca sposób zarządu nieruchomością wspólną, której dopuszczalność zawarcia przewiduje art. 18 ust. 1 ustawy z dnia 24 czerwca 1994 r. o własności lokali (Dz. U. z 2018 r. poz. 716 ze zm.). Zgodnie bowiem z tym przepisem, właściciele lokali mogą w umowie o ustanowieniu odrębnej własności lokali albo w umowie zawartej później w formie aktu notarialnego określić sposób zarządu nieruchomością wspólną, a w szczególności mogą powierzyć zarząd osobie fizycznej albo prawnej. Wspólnota powierzyła administrowanie Zarządcy, która w myśl art. 28 RODO stała się podmiotem przetwarzającym. Tak więc należy stwierdzić, że Zarządca działa w imieniu Wspólnoty, a więc Wspólnota jest administratorem danych osobowych Skarżącej w rozumieniu art. 4 ust. 1 pkt 7 RODO, a Zarządca podmiotem przetwarzającym w rozumieniu art. 4 ust. 1 pkt 8 RODO. Dodać również należy, iż Wspólnota w niniejszej sprawie była reprezentowana przez zarząd w osobach Pani H. I., Pana B. C. i Pana A. C., działający zgodnie z art. 21 ust. 1 ustawy o własności lokali, zgodnie z którym zarząd kieruje sprawami wspólnoty mieszkaniowej i reprezentuje ją na zewnątrz oraz w stosunkach między wspólnotą a poszczególnymi właścicielami lokali.
Z kolei kwestionowane przetwarzanie danych osobowych Skarżącej przez pracowników Zarządcy, w szczególności przez Panią M. W., Pana G. R., czy Panią V. F. znajduje swe oparcie w art. 29 RODO, zgodnie z którym podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.
Mając natomiast na względzie zarzut Skarżącej dotyczący niewłaściwego zabezpieczenia jej danych osobowych przez Zarządcę, stwierdzić należy, iż nie znalazł on potwierdzenia w materiale dowodowym sprawy. Jak wynika z tego materiału Zarządca stosuje odpowiednie środki techniczne i organizacyjne zabezpieczające przetwarzane dane osobowe członków Wspólnoty.
Podsumowując, dane osobowe Skarżącej przetwarzane są zgodnie z prawem zarówno przez Wspólnotę, jak i Zarządcę. Wspólnota przetwarza dane osobowe Skarżącej w oparciu o art. 6 ust. 1 lit. c) i f) RODO, a Zarządca w oparciu o umowę o powierzeniu przetwarzania danych, tj. umowę, o której mowa w art. 28 RODO.
W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Na podstawie art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.) w zw. z art. 21 ust. 1 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) w zw. z art. 129 § 2 i art. 127 § 3 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), stronie niezadowolonej z niniejszej decyzji przysługuje, w terminie 14 dni od dnia jej doręczenia, prawo złożenia do Prezesa Urzędu Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa). Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo na podstawie art. 52 § 3 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018 r. poz. 1302 ze zm.) do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o zwolnienie od kosztów sądowych.