Czy spółdzielnia mieszkaniowa musi wyznaczyć inspektora ochrony danych

Zgodnie z art. 37 ogólnego rozporządzenia o ochronie danych (RODO) inspektora ochrony danych obowiązkowo muszą wyznaczyć:

• organy lub podmioty publiczne, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości,
• podmioty, których główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę lub
• podmioty, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

To, jak rozumieć organy i podmioty publiczne określa projekt ustawy o ochronie danych osobowych z 16 marca 2018 r. (projekt został przyjęty przez rząd). Zgodnie z nim przez organy i podmioty publiczne zobowiązane do wyznaczenia inspektora ochrony danych rozumie się:

• jednostki sektora finansów publicznych, o których mowa w art. 9 ustawy o finansach publicznych (organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały, jednostki samorządu terytorialnego oraz ich związki, związki metropolitalne, jednostki budżetowe, samorządowe zakłady budżetowe, agencje wykonawcze, instytucje gospodarki budżetowej, państwowe fundusze celowe, ZUS, KRUS, NFZ, samodzielne publiczne zakłady opieki zdrowotnej, uczelnie publiczne, PAN, państwowe i samorządowe instytucje kultury, inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych),
• instytuty badawcze, o których mowa w ustawie o instytutach badawczych,
• Narodowy Bank Polski.

Pierwsza przesłanka nie odnosi się do spółdzielni mieszkaniowej. Należy więc przeanalizować pozostałe dwie. Takiej analizy musi dokonać sama spółdzielnia mieszkaniowa, odpowiadając sobie na następujące pytania:

• Czy regularnie i systematycznie monitoruje osoby, których dane dotyczą (członków spółdzielni, mieszkańców)?
• Czy przetwarza szczególne kategorie danych wymienione w art. 9 i 10 RODO (np. informacje o stanie zdrowia, dane biometryczne, dane o przekonaniach religijnych, informacje na temat wyroków)?
• Czy powyższe działania są jej główną działalnością?
• Czy działania te odbywają się na dużą skalę?

Jeżeli odpowiedź na te pytania będzie pozytywna, należy wyznaczyć inspektora ochrony danych.

W odpowiedzi na te pytania mogą pomóc wytyczne Grupy Roboczej Art. 29 dotyczące inspektorów ochrony danych (WP 243). Zgodnie z nimi, ustalając, czy przetwarzanie odbywa się na dużą skalę, trzeba wziąć pod uwagę:

• liczbę osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa,
• zakres przetwarzanych danych osobowych,
• okres, przez jaki dane są przetwarzane,
• zakres geograficzny przetwarzania danych osobowych.

Sprawdzając, czy powyższe działania są główną działalnością spółdzielni, trzeba odpowiedzieć na pytanie, czy przetwarzanie danych to zasadnicze, a nie poboczne czynności. Przykładowo głównym zadaniem szpitala jest świadczenie opieki medycznej, prowadzenie takiej opieki nie byłoby jednak możliwe bez przetwarzania danych pacjentów, w związku z tym takie przetwarzanie danych przez szpital jest jego główną działalnością. Natomiast takie działania związane z przetwarzaniem danych, jak prowadzenie listy płac, należy uznać za działalność poboczną.

Mogą pojawić się również wątpliwości, kiedy dochodzi do regularnego i systematycznego monitorowania osób. RODO wskazuje, że pojęcie to obejmuje wszelkie formy śledzenia i profilowania w sieci, w tym na potrzeby reklam behawioralnych. Jednak zdaniem Grupy Roboczej Art. 29 pojęcie monitorowania nie jest ograniczone jedynie do środowiska online i śledzenie w sieci powinno być traktowane jedynie jako jeden z przykładów monitorowania zachowań osób, których dane dotyczą. Jako przykłady takiego monitorowania Grupa Robocza Art. 29 wymienia:

• obsługę sieci telekomunikacyjnej,
• świadczenie usług telekomunikacyjnych,
• przekierowywanie poczty elektronicznej,
• działania marketingowe oparte na danych,
• profilowanie i ocenianie w celach oceny ryzyka (na przykład oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy),
• śledzenie lokalizacji, na przykład przez aplikacje mobilne,
• programy lojalnościowe,
• reklama behawioralna,
• monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych,
• monitoring wizyjny,
• urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatyka domowa.

W przypadku spółdzielni mieszkaniowej monitoring wizyjny jest najbardziej prawdopodobnym sposobem monitorowania osób. Należy sobie odpowiedzieć na pytanie, czy odbywa się to regularnie i systematycznie, na dużą skalę i czy jest główną działalnością spółdzielni. Na podstawie odpowiedzi na powyższe pytania i po analizie przytoczonych przepisów spółdzielnia powinna ocenić zasadność wyznaczenia inspektora ochrony danych.