Co istotne i odmienne w porównaniu z dotychczasowym porządkiem prawnym, RODO nie zawiera szczegółowych wytycznych, jakie powinny być stosowane przy przetwarzaniu danych osobowych. Wybór i wdrożenie mechanizmów pozwalających na zgodne z prawem przetwarzanie takich danych będzie należał do administratora danych osobowych. Nowe przepisy wskazują jedynie, że mechanizmy te powinny być „odpowiednie” (zgodnie z tzw. zasadą rozliczalności) i „dostosowane” do ryzyka, z jakim wiąże się przetwarzanie danych osobowych w konkretnym przypadku. Fakt, czy w określonych okolicznościach zastosowane procedury są „odpowiednie”, będzie musiał wykazać administrator danych.
Wraz z wejściem w życie RODO umowa o przetwarzaniu danych osobowych przez podmiot zarządzający nieruchomością powinna spełniać wymagania określone w art. 28 RODO. A zatem – podmiot zarządzający nieruchomością będzie musiał wykazać, że spełnia warunki RODO w zakresie zabezpieczenia danych osobowych. W przeciwnym razie wspólnota nie będzie mogła zawrzeć takiej umowy, co w praktyce uniemożliwi zarządcy administrowanie nieruchomością zgodne z prawem.
Wspólnota mieszkaniowa jako administrator danych osobowych
Zgodnie z aktualnym jeszcze stanowiskiem GIODO administratorem danych osobowych członków wspólnoty mieszkaniowej jest sama wspólnota. Powyższe wynika z treści art. 6 ustawy z dnia 24 czerwca 1994 r. o własności lokali, który stanowi że jest ona podmiotem praw i obowiązków wynikających z tej ustawy. W związku z tym to na niej spoczywają obowiązki wynikające z obowiązującej jeszcze ustawy o ochronie danych osobowych. Dane osobowe we wspólnocie mieszkaniowej obejmują w szczególności dane o członkach wspólnoty oraz o jej kontrahentach i osobach wynajmujących lokale usługowe znajdujące się w budynku danej wspólnoty.
Ponadto – co ważne z punktu widzenia nadchodzących zmian w przepisach dotyczących ochrony danych osobowych – mówi się także o zmianie w ustawie o własności lokali polegającej na wprowadzeniu do niej dodatkowego art. 6a w następującym brzmieniu: „Wspólnota mieszkaniowa jest administratorem danych osobowych w zakresie danych związanych z zarządem nieruchomością.” Powyższy zapis wskazywałby wprost, iż już z mocy prawa każda wspólnota mieszkaniowa jest administratorem danych osobowych, który będzie musiał zapewnić odpowiednie bezpieczeństwo danych osobowych.
Jak wskazuje GIODO w odpowiedziach na pytania dotyczące przepisów sektorowych: „zarząd wspólnoty, o ile został powołany, działa jako jej organ. Zarządca nieruchomości natomiast pełni zazwyczaj rolę podmiotu, o którym mowa w art. 31 ustawy o ochronie danych osobowych – a więc podmiotu, któremu administrator danych powierzył przetwarzanie danych. Jednakże jego status uzależniony jest od konstrukcji umowy, którą zawarł ze wspólnotą.”
W tym miejscu warto także wskazać, że właściciele lokali mogą w umowie o ustanowieniu odrębnej własności lokali albo w umowie zawartej później w formie aktu notarialnego określić sposób zarządu nieruchomością wspólną, a w szczególności mogą powierzyć zarząd osobie fizycznej albo prawnej (art. 18 ust. 1 ustawy o własności lokali). Zarząd lub zarządca, któremu powierzono zarząd nieruchomością wspólną, jest obowiązany sporządzić protokół przejęcia nieruchomości i jej dokumentacji technicznej (budowlanej, powykonawczej i książki obiektu budowlanego) w imieniu wspólnoty mieszkaniowej, przechowywać dokumentację techniczną budynku oraz prowadzić i aktualizować spis właścicieli lokali i przypadających im udziałów w nieruchomości wspólnej (art. 29 ust. 1 b ustawy). Co za tym idzie, zarządca nieruchomości wspólnej jest nie tylko upoważniony, ale i zobowiązany do gromadzenia danych osobowych dotyczących właścicieli lokali, w granicach określonych w tym przepisie.
Potwierdza to powołane powyżej stanowisko GIODO, zgodnie z którym „zarządca nieruchomości wspólnej może przetwarzać dane członków wspólnoty tylko jako podmiot, któremu, w myśl art. 31 ustawy z dnia 29 sierpnia 1997 r. ochronie danych osobowych, powierzono przetwarzanie danych powierzono.”
Wraz z wejściem w życie RODO umowa o przetwarzaniu danych osobowych przez podmiot zarządzający nieruchomością powinna spełniać wymagania określone w art. 28 RODO. A zatem – podmiot zarządzający nieruchomością będzie musiał wykazać, że spełnia warunki RODO w zakresie zabezpieczenia danych osobowych. W przeciwnym razie wspólnota nie będzie mogła zawrzeć takiej umowy, co w praktyce uniemożliwi zarządcy administrowanie nieruchomością zgodne z prawem. Ponadto umowa o zarządzanie nieruchomością będzie musiała przewidywać, że podmiot zarządzający zachowa w tajemnicy powierzone mu dane osobowe.
Podsumowując, zarówno administrator tj. wspólnota mieszkaniowa, jak i podmiot, któremu powierzono przetwarzanie danych osobowych tj. zarządca, muszą zastosować wymagania odnoszące się do zabezpieczenia danych zgodnie z przepisami RODO.
Sankcje za naruszenie RODO
Warto zwrócić uwagę, iż w przeciwieństwie do ustawy o ochronie danych osobowych, RODO wprowadza wysokie kary pieniężne za niewłaściwe przetwarzanie danych osobowych. Sankcje te mogą być nakładane zarówno na administratora danych – wspólnotę mieszkaniową, jak i na podmiot przetwarzający, a więc zarządcę. Możliwa maksymalna wysokość kar to kwota aż do 20.000.000 EURO. Co prawda ewentualne sankcje będą nakładane z uwzględnieniem rodzaju administratora i naruszeń, jednakże przeciwnie do aktualnego stanu prawnego od maja 2018 na wspólnotę może zostać nałożona kara pieniężna jako na administratora danych.
Odpowiedzialność cywilna
Zgodnie z RODO każda osoba, która w wyniku naruszenia przepisów poniesie szkodę majątkową lub niemajątkową, będzie miała prawo uzyskać stosowne odszkodowanie od administratora lub podmiotu przetwarzającego dane osobowe. Co do zasady więc, zarówno wspólnota jak i zarządca będą odpowiadać za ewentualne szkody spowodowane przetwarzaniem danych osobowych w przypadku, gdy nie dopełnią obowiązków, które RODO bezpośrednio na nie nakłada. Co więcej, w sytuacji uczestnictwa w przetwarzaniu więcej niż jednego podmiotu – administratora lub podmiotu przetwarzającego – taka odpowiedzialność za szkodę jest solidarna. Co za tym idzie, w przypadku, gdy jeden z podmiotów (np. pozwany zarządca) uiści całą kwotę odszkodowania, będzie miał prawo żądać od pozostałych administratorów lub podmiotów przetwarzających dane osobowe (np. od wspólnoty) zwrotu części odszkodowania odpowiadającej wysokości szkody, za którą ponoszą oni odpowiedzialność.
Każda wspólnota mieszkaniowa oraz podmiot zarządzający nieruchomością już dziś powinnny podjąć kroki zmierzające do przygotowania się na wejście w życie nowych przepisów RODO.