Decyzja

Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.) w zw. z art. 12 pkt 2, art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) oraz art. 57 ust. 1 lit. a) i f) i art. 6 ust. 1 lit. c) i f) oraz art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 i Dz.U.UE.L.2018.127.2) po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pana I. D., zam. w G., dotyczącej nieprawidłowości w procesie przetwarzania jego danych osobowych przez P. Sp. z o.o., z siedzibą w G., Prezes Urzędu Ochrony Danych Osobowych

odmawia uwzględnienia wniosku.

  Uzasadnienie

Do Biura Generalnego Inspektora Ochrony Danych Osobowych (aktualnie: Urząd Ochrony Danych Osobowych) wpłynęła skarga Pana I. D., zam. w G., zwanego dalej Skarżącym, dotycząca nieprawidłowości w procesie przetwarzania jego danych osobowych przez P. Sp. z o.o., z siedzibą w G., zwaną dalej Spółką. W treści ww. skargi Skarżący podniósł w szczególności, iż w dniu […] czerwca 2017 r. w siedzibie Spółki dokonywał wglądu w dokumentację Wspólnoty Mieszkaniowej „K.” w G., z siedzibą w G., zwanej dalej Wspólnotą. W trakcie ww. czynności powziął wątpliwości co do właściwego sposobu zabezpieczenia jego danych osobowych przez Spółkę, bowiem w czynności tej uczestniczył pełnomocnik Spółki w osobie radcy prawnego, który nie okazał żadnego upoważnienia do przetwarzania danych osobowych, a nadto ze wskazanej czynności nie został sporządzony protokół umożliwiający identyfikację udostępnionych mu dokumentów. Skarżący zarzucił ponadto, iż Spółka jako zarządca Wspólnoty nie posiada wymaganej dokumentacji przetwarzania danych osobowych, jak polityka bezpieczeństwa i instrukcja zarządzania systemem danych, ewidencja osób upoważnionych i upoważnień.

 W toku przeprowadzonego postępowania wyjaśniającego w niniejszej sprawie Prezes Urzędu Ochrony Danych Osobowych ustalił następujący stan faktyczny.

1. Skarżący jest członkiem Wspólnoty.
2. Spółka jest zarządcą Wspólnoty na podstawie zawartej ze Wspólnotą umowy w trybie art. 18 ust. 1 ustawy z dnia 24 czerwca 1994 r. o własności lokali (Dz. U. z 2018 r. poz. 716 ze zm.) – pismo Spółki z dnia […] września 2018 r. skierowane do Prezesa Urzędu Ochrony Danych Osobowych – w aktach sprawy.
3. Spółka przetwarza dane osobowe Skarżącego w zakresie wynikającym z Oświadczenia o danych właściciela lokalu i sposobie doręczania korespondencji, tj. imienia, nazwiska, numeru telefonu, adresu lokalu, adresu korespondencyjnego pocztowego i elektronicznego w celu właściwego sprawowania zarządu nieruchomością wspólną - pismo Spółki z dnia […] września 2018 r. skierowane do Prezesa Urzędu Ochrony Danych Osobowych – w aktach sprawy.
4. W dniu […] czerwca 2017 r. w siedzibie Spółki odbyło się spotkanie z udziałem Skarżącego, w którym uczestniczył radca prawny. Radca prawny posiadał upoważnienie do reprezentowania Spółki, w tym do uczestniczenia w przedmiotowym spotkaniu. W toku spotkania udostępnione zostały Skarżącemu dokumenty techniczne nieruchomości - pismo Spółki z dnia […] września 2018 r. skierowane do Prezesa Urzędu Ochrony Danych Osobowych – w aktach sprawy.

 Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych zważył, co następuje.

Na wstępie wskazać należy, iż z dniem 25 maja 2018 r., wraz z wejściem w życie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000 ze zm.), Biuro Generalnego Inspektora Ochrony Danych Osobowych stało się Urzędem Ochrony Danych Osobowych. Postępowania prowadzone przez Generalnego Inspektora Ochrony Danych Osobowych, wszczęte i niezakończone przed 25 maja 2018 r. prowadzone są przez Prezesa Urzędu Ochrony Danych Osobowych, na podstawie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.) zgodnie z zasadami określonymi w ustawie z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.). Wszelkie czynności podjęte przez Generalnego Inspektora Ochrony Danych Osobowych przed 25 maja 2018 r. pozostają skuteczne (art. 160 ust. 1-3 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych).

Zgodnie z art. 18 ust. 1 ustawy z 29 sierpnia 1997 r. Generalny Inspektor w przypadku naruszenia przepisów o ochronie danych osobowych z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 1) usunięcie uchybień, 2) uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, 3) zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, 4) wstrzymanie przekazywania danych osobowych do państwa trzeciego, 5) zabezpieczenie danych lub przekazanie ich innym podmiotom, 6) usunięcie danych osobowych.

Stosownie do art. 57 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 i Dz.U.UE.L.2018.127.2), zwanego dalej RODO, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym (lit. f).

Z kolei zgodnie z art. 6 ust. 1 RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Mając na względzie zarzut Skarżącego dotyczący niewłaściwego zabezpieczenia jego danych osobowych przez Spółkę, stwierdzić należy, iż nie znalazł on potwierdzenia w materiale dowodowym sprawy. W trakcie spotkania, o którym mowa w skardze, nie doszło do udostępnienia danych Skarżącego na rzecz osób nieupoważnionych. Zgodnie z oświadczeniem Spółki, radca prawny działał w granicach umocowania udzielonego mu przez Spółkę. W sytuacji przekazania danych na rzecz profesjonalnego pełnomocnika reprezentującego interesy mocodawcy mamy do czynienia z przetwarzaniem danych przez pełnomocnika działającego w imieniu administratora danych osobowych, w granicach przyznanego mu umocowania i nie we własnych celach, lecz dla realizacji celów administratora danych. Działanie radcy prawnego znajduje również swe oparcie w art. 29 RODO, zgodnie z którym podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Zauważyć przy tym należy, iż zgodnie z art. 3 ust. 1 ustawy z dnia 6 lipca 1982 r. o radcach prawnych (Dz. U. z 2018 r. poz. 2115 ze zm.) radca prawny jest obowiązany zachować w tajemnicy wszystko, o czym dowiedział się w związku z udzieleniem pomocy prawnej.

Natomiast podstawą przetwarzania przez Spółkę danych osobowych Skarżącego jako członka Wspólnoty jest zawarta przez Spółkę ze Wspólnotą umowa określająca sposób zarządu nieruchomością wspólną, której dopuszczalność zawarcia przewiduje art. 18 ust. 1 ustawy z dnia
24 czerwca 1994 r. o własności lokali (Dz. U. z 2018 r. poz. 716 ze zm.). Zgodnie bowiem z tym przepisem, właściciele lokali mogą w umowie o ustanowieniu odrębnej własności lokali albo w umowie zawartej później w formie aktu notarialnego określić sposób zarządu nieruchomością wspólną, a w szczególności mogą powierzyć zarząd osobie fizycznej albo prawnej. Wspólnota powierzyła administrowanie Spółce, która w myśl art. 28 RODO stała się podmiotem przetwarzającym. Tak więc należy stwierdzić, że Spółka działa w imieniu Wspólnoty, a więc Wspólnota jest administratorem danych osobowych Skarżącego w rozumieniu art. 4 ust. 1 pkt 7 RODO, a Spółka podmiotem przetwarzającym w rozumieniu art. 4 ust. 1 pkt 8 RODO.

Należy także wskazać, że ważność umowy powierzenia można kwestionować przed sądem powszechnym, jednak do tego celu Skarżący musiałby uzyskać zgodę pozostałych członków Wspólnoty, ponieważ to Wspólnota jest podmiotem, który przedmiotową umowę zawarł ze Spółką. Skarżący natomiast wchodzi w skład tego podmiotu.

Podsumowując, dane osobowe Skarżącego przetwarzane są zgodnie z prawem zarówno przez Wspólnotę, jak i Spółkę. Wspólnota przetwarza dane osobowe Skarżącego w oparciu o art. 6 ust. 1 lit. c i f RODO, a Spółka w oparciu o umowę o powierzeniu zarządu, a więc zgodnie z art. 28 RODO.

Odnosząc się z kolei do zarzutów dotyczących braku wymaganej dokumentacji przetwarzania danych osobowych, tj. polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, a także ewidencji osób upoważnionych i upoważnień, wskazać należy, iż kwestie te nie mogą być przedmiotem indywidualnej skargi, z uwagi na charakter zawartych w takiej dokumentacji informacji. Dokumentację taką należy traktować jako dokumenty wewnętrzne udostępniane jedynie ograniczonemu kręgowi osób, tylko tym osobom, którym są niezbędne w związku z powierzonymi im zadaniami i tylko tym podmiotom zewnętrznym, które wykażą, że na mocy przepisów prawa są uprawnione do jej uzyskania. Kompleksowe badanie procedur przyjętych przez administratora danych osobowych w ww. zakresie może być tym samym dokonywane przez organ z urzędu, bowiem ma wpływ na przetwarzanie danych nieograniczonego kręgu osób, a ich ujawnienie może mieć szkodliwy wpływ na wykonywanie przez określony podmiot zadań
w zakresie bezpieczeństwa przetwarzania danych. Udostępnienie polityki bezpieczeństwa czy instrukcji zarządzania systemem informatycznym wiąże się z ujawnieniem stosowanych zabezpieczeń danych osobowych. Z tego też względu może mieć wpływ na skuteczność ochrony danych osobowych.

W tym stanie faktycznym i prawnym Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.

Na podstawie art. 160 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000 ze zm.) w zw. z art. 21 ust. 1 i art. 22 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 ze zm.) w zw. z  art. 129 § 2 i art. 127 § 3 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r. poz. 2096 ze zm.), stronie niezadowolonej z niniejszej decyzji przysługuje, w terminie 14 dni od dnia jej doręczenia, prawo złożenia do Prezesa Urzędu Ochrony Danych Osobowych wniosku o ponowne rozpatrzenie sprawy (adres: Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa). Jeżeli strona nie chce skorzystać z prawa do złożenia wniosku o ponowne rozpatrzenie sprawy, ma prawo na podstawie art. 52 § 3 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018 r. poz. 1302 ze zm.) do wniesienia skargi na decyzję do Wojewódzkiego Sądu Administracyjnego w Warszawie w terminie 30 dni od dnia doręczenia jej stronie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych. Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o zwolnienie od kosztów sądowych.