Spółdzielnia jest administratorem danych osobowych swoich członków. Przetwarza je bowiem m.in. w związku z funkcjonowaniem swoich organów. Na władzach spółdzielni ciążą więc liczne obowiązki związane z ochroną danych osobowych. Wybrane kwestie w tym zakresie przedstawiamy w temacie tygodnia.
Czy w zawiadomieniu o walnym zgromadzeniu mogą znaleźć się dane osobowe członków zarządu?
Z jednej strony członkowie spółdzielni mieszkaniowej a także innych spółdzielni mają dostęp do informacji o członkach zarządu, także danych historycznych. Ustalenie, kto w danym okresie pełnił funkcję w zarządzie nie jest trudne. Niemniej jednak należy zweryfikować czy przekazywanie danych członków zarządu jest konieczne dla osiągnięcia celu spółdzielni.
W broszurze wskazano osoby toczące spór ze spółdzielnią jako byli członkowie zarządu. W takim przypadku ich dane osobowe mogą zostać przekazane członkom spółdzielni. Jest to bowiem przekazanie informacji z kim spółdzielnia pozostaje bądź była w sporze.
Jaka jest podstawa przetwarzania danych osobowych pełnomocnika wskazanego w dokumencie pełnomocnictwa do udziału w walnym zgromadzeniu?
Spółdzielnia musi zweryfikować treść pełnomocnika oraz potwierdzić tożsamość pełnomocnika, jak również sprawdzić go pod kątem ustawowych ograniczeń (art. 36 ustawy Prawo spółdzielcze)
Pełnomocnik może reprezentować tylko jednego członka spółdzielni. Pełnomocnikiem nie może być członek zarządu spółdzielni. Spółdzielnia ma prawo zweryfikować, czy te warunki są spełnione.
Ponadto spółdzielnia zobligowana jest dołączyć pełnomocnictwo do protokołu z walnego zgromadzenia. To wszystko oznacza, że spółdzielnia przetwarza dane osobowe pełnomocnika w realizacji obowiązku prawnego (art. 6 ust. 1 lit. c RODO).
Spółdzielnia udostępniła swoim członkom konto eBOK. We wniosku o dostęp do konta członkowie podają dane osobowe. Czy w związku z tym należy uzyskać od nich zgodę na przetwarzanie danych osobowych?
Należy tu odpowiedzieć sobie na pytanie, czy pozyskiwane dane osobowe są niezbędne do prawidłowego funkcjonowania eBOK. Jeżeli tak, wówczas należy powołać się na art. 6 ust. 1 lit. f RODO, tj. konieczność realizacji uzasadnionego interesu administratora. Natomiast jeśli dane nie będą konieczne do prowadzenia eBOK, wówczas nie obejdzie się bez zgody członka spółdzielni.
Czy członek spółdzielni może wykonywać fotokopie rejestru członków spółdzielni?
Art. 30 Prawa spółdzielczego przewiduje jedynie możliwość przeglądania rejestru członków spółdzielni. Nie ma więc możliwości wykonywania fotokopii tego rejestru. Przemawia za tym konieczność ochrony danych osobowych innych członków spółdzielni wpisanych do rejestru. Brak jest więc podstaw prawnych do udostępniania tych danych w inny sposób niż przeglądanie rejestru.
Wykonywanie fotokopii rejestru członków spółdzielni prowadziłoby do nadmiarowego przetwarzania danych osobowych.
Spółdzielnia jako administrator danych osobowych musi mieć na względnie zasadę ograniczonego przetwarzania. Zgodnie z tą regułą dane osobowe mogą być przetwarzane tylko w celu, dla którego je zgromadzono, do czasu jego wyczerpania. Końcową datą okresu przetwarzania będzie zatem każdorazowo osiągnięcie celu przetwarzania, czy to poprzez zdezaktualizowanie się informacji zawartych w danym dokumencie, czy też wygaśnięcie roszczeń, jakie mogą z niego wynikać. Jako początkową datę uznać zaś należy wytworzenie dokumentu, wtedy rozpoczęto bowiem przetwarzanie.
Nie da się określić jednego okresu przetwarzania danych osobowych w dokumentach spółdzielni. Okres ten wynikać bowiem będzie z celu, dla którego dany dokument został wytworzony.
Jeżeli z dokumentem wiążą się lub mogą wiązać roszczenia cywilnoprawne, należy stosować okresy przedawnienia z Kodeksu cywilnego. Jeżeli zaś dokument ma znaczenie podatkowe, to obowiązuje okres przedawnienia zobowiązań podatkowych, itd.
Spółdzielnia mieszkaniowa prowadzi stronę internetową, na której opublikowane są dokumenty zawierające dane osobowe. Czy należy je poddać anonimizacji? Dokumenty są dostępne tylko dla członków spółdzielni (po zalogowaniu).
Członkowie spółdzielni mają oczywiście prawo wglądu do dokumentacji spółdzielni. Niemniej jednak publikacja takich dokumentów w internecie wymaga ich zabezpieczenia przed dostępem nieuprawnionych osób. Administrator musi najpierw przeprowadzić analizę ryzyka, na podstawie której wybiera środki bezpieczeństwa odpowiednie do poziomu ryzyka.
W analizie ryzyka należy wziąć pod uwagę takie zagrożenia jak:
włamanie, atak hakerski, działanie złośliwego oprogramowania,
udostępnienie danych do logowania przez członka spółdzielni osobie trzeciej,
awaria systemu teleinformatycznego.
Jak zweryfikować dostęp członka spółdzielni do zamkniętego konta z dokumentacją z danymi osobowymi?
Wybór rozwiązania w zakresie tej weryfikacji należy oczywiście do spółdzielni jako administratora danych osobowych.
Popularnym sposobem weryfikacji jest przesyłanie dodatkowego hasła weryfikacyjnego za pomocą SMS na numer telefonu wskazany przez członka spółdzielni.
Członek spółdzielni złożył podanie do zarządu o udostępnienie notatki dotyczącej interwencji policyjnych w ostatnim okresie w klatce schodowej. Czy można udostępnić taką informację?
Nie ma takiej możliwości. Jeżeli notatka policyjna zawiera informacje o naruszeniu prawa (np. wykroczeniu), to na podstawie art. 10 RODO, udostępnianie tego typu danych jest zabronione. Są to bowiem dane szczególnej kategorii, dotyczące czynów zabronionych W innym przypadku należałoby można byłoby udostępnić tylko wtedy, gdyby członek spółdzielni wykazał podstawę prawną swojego żądania. Tymczasem takiej podstawy w przepisach nie ma.
Urząd wystąpił do spółdzielni z wnioskiem o udzielenie informacji, komu przysługuje tytuł prawny do lokalu? Jest to związane z wymeldowaniem mieszkańca z pobytu stałego Czy należy udostępnić te dane?
Organ ma podstawę przetwarzania danych, a mianowicie art. 6 ust. 1 lit. c RODO w zw. z art. 31 lub art. 35 ustawy o ewidencji ludności i dowodach osobistych oraz art. 61 § 4 i art. 10 Kodeksu postępowania administracyjnego. Organ wydaje bowiem decyzję administracyjną w sprawie wymeldowania po przeprowadzeniu postępowania w tej sprawie. Zgodnie zaś z zasadą prawdy obiektywnej, organ ten musi zweryfikować istnienie podstawy do wydania takiej decyzji. Pozyskanie danych od spółdzielni służyć zaś właśnie temu celowi.
Dłużnik spółdzielni zażądał usunięcia jego danych osobowych. Jak zareagować na to żądanie?
Należy odmówić uwzględnienia żądania. Tzw. prawo do bycia zapomnianym nie może być stosowane, jeżeli dane osobowe są przetwarzane dalej przez administratora m.in. w celu:
ustalenia, dochodzenia lub obrony roszczeń,
wywiązania się z prawnego obowiązku (np. obowiązków podatkowych do czasu przedawnienia zobowiązania podatkowego).
Co więcej, prawo to przysługuje, gdy dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane. Tym samym, inne, legalne przetwarzanie danych osobowych (w innym celu lub na innej podstawie prawnej) także wyklucza możliwość domagania się usunięcia danych osobowych. W przypadku dłużnika spółdzielni istnieje więc kilka przesłanek do odmowy usunięcia danych.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
