GIODO skontroluje spółdzielnie mieszkaniowe

GIODO zwrócił się do administratorów bezpieczeństwa informacji z trzydziestu spółdzielni mieszkaniowych o przeprowadzenie sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Ze skarg i informacji prasowych napływających do GIODO wynikało bowiem, że niektóre spółdzielnie mieszkaniowe pozyskują od swoich członków zgodę na przetwarzanie danych wrażliwych wskazanych w art. 27 ust. 1 ustawy. Administratorzy bezpieczeństwa informacji ze spółdzielni mieszkaniowych mają 30 dni na przeprowadzenie sprawdzeń, o które zawnioskował GIODO.

Sprawą pozyskiwania przez spółdzielnie mieszkaniowe danych wrażliwych GIODO zajmował się już pod koniec sierpnia 2017 roku. Organ kontrolował wówczas jedną z warszawskich spółdzielni mieszkaniowych. Kontrola wykazała, że spółdzielnia wyprzedzająco pozyskuje od swoich członków zgody na przetwarzanie ich wrażliwych danych osobowych, aby w razie otrzymania od nich pism zawierających tego typu dane, móc legitymować się podstawą prawną do ich przetwarzania. To skłoniło GIODO, by szerzej przeanalizować praktyki w tym zakresie stosowane przez inne spółdzielnie w całej Polsce. Stąd skierowanie wystąpień do wybranych ABI ze spółdzielni mieszkaniowych.

Sprawdzeniami objęte zostało przetwarzanie danych wrażliwych dotyczących osób posiadających tytuł prawny do lokalu mieszkalnego w spółdzielni oraz osób trzecich (np. współzamieszkujących w lokalu, wstępnych, zstępnych) pozyskiwanych w związku z potwierdzaniem przez te osoby okoliczności mających wpływ na ich sytuację finansową (np. rozłożenie na raty płatności za lokal mieszkalny, jej umorzenie lub odroczenie itp.). GIODO chce w szczególności ustalić:

• czy spółdzielnia pozyskuje tego typu dane, a jeżeli tak, to w jakim zakresie (należy wskazać, jakie konkretnie dane są pozyskiwane i na podstawie jakich dokumentów, np. dane o stanie zdrowia zawarte m.in. w orzeczeniach o niepełnosprawności, kartach leczenia szpitalnego, historiach zdrowia i choroby; dane dotyczące skazań, orzeczeń o ukaraniu i innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym),
• w jaki sposób pozyskiwane są wskazane dane (np. ustnie, pisemnie, elektronicznie, w postaci dokumentów lub ich kopii),
• na jakiej podstawie prawnej i w jakim celu przetwarzane są wskazane wyżej dane (należy podać przepis prawa lub wyjaśnić, czy jest pozyskiwana zgoda tych osób, a jeżeli tak, to w jaki sposób jest ona wyrażana: ustnie, pisemnie, na odpowiednim formularzu),
• czy zostały opracowane i są stosowane procedury dotyczące wymienionych wyżej sposobów postępowania oraz wzory formularzy służących pozyskiwaniu danych wrażliwych (jeśli tak, należy przesłać kopie tych dokumentów).