Jakie obowiązki zgodnie z RODO ma spółdzielnia czy wspólnota mieszkaniowa jako administrator danych?
Takie, jak każdy administrator. Po pierwsze musi mieć podstawę prawną, by przetwarzać dane. Jeśli zatrudnia 250 pracowników musi prowadzić rejestr czynności przetwarzania danych. Ponadto musi informować członków i inne osoby o tym, że przetwarza ich dane osobowe, takaże odpowiadać w terminie na ich żądania dotyczące ich danych. Nie może też zapomnieć, że RODO wprowadza obowiązek oceny ryzyka przetwarzania danych po to, by zastosować odpowiedni poziom bezpieczeństwa.
Uwaga! Relacja ze szkolenia on-line: Co deweloperzy, spółdzielnie i wspólnoty mieszkaniowe muszą wiedzieć o RODO >>
Jak mają zabezpieczyć dane osobowych zgodnie z RODO?
Trzeba ocenić, jak zabezpieczyć dane, czyli przeprowadzić analizę ryzyka. Chodzi o to, aby ustalić, co by się złego stało osobom, których spółdzielnia czy wspólnota dane przetwarza, jeśli by dane wyciekły lub się zniszczyły.
Jakie są zadania i status Inspektora Ochrony Danych w spółdzielni czy wspólnocie mieszkaniowej. Czy może nim być ktoś z administracji, czy lepiej osoba z zewnątrz?
IOD ma być niezależny, znać się na RODO i na spółdzielniach czy wspólnotach mieszkaniowych. IOD nie odpowiada za zgodność z ochroną danych, ale podlega bezpośrednio pod zarząd spółdzielni. IOD doradza, ocenia, rekomenduje, konsultuje, współpracuje z organem nadzorczym. Może warto wziąć kogoś z zewnątrz, bo osoba z wewnątrz ma utrudniony dostęp do wiedzy rynkowej, a ta się teraz tworzy i jest niezwykle potrzebna. Pytanie, czy każda spółdzienia musi mieć IOD? To zależy, w jakiej skali dane przetwarza. Jeśli jednak to jest duża spółdzielnia, która np. ma monitoring na przestrzeniach wspólnych, to powinna mieć.
Czy zlecając firmie zewnętrznej obsługę księgową, należy zawierać umowę powierzenia przetwarzania danych osobowych?
W moim przekonaniu trzeba zawrzeć taką umowę. Są poglądy, że księgowi nie są podmiotami przetwarzającymi, ale ja uważam inaczej.
RODO. Przewodnik ze wzorami [PRZEDSPRZEDAŻ] >>
Tak naprawdę wszyscy boją się obowiązku zgłaszania incydentów i kar za nie. Kiedy wyciek będzie trzeba zgłosić?
Jeżeli zgubiono dane osobowe, np. zgubiona pendrive, komputer, smartfon z danymi i jest ryzyko naruszenia praw lub wolności osób, których dane ucierpiały, należy to zgłosić. Warto pamiętać, że już samo naruszenie prywatności, czyli dostęp do danych osoby nieuprawnionej, stanowi taką sytuację. Nie zawsze jednak ryzyko nauszenia praw uznamy za realne. Jeśli bowiem wyciekną podstawowe dane jednej osoby, to może nie trzeba zgłaszać, ale jeżeli na nośnikach informatycznych będzie dużo danych – to już tak.
Kogo trzeba poinformować?
Organ nadzoru, po 25 maja będzie to Urząd Ochrony Danych Osobowych, należy poinformować ciągu 72 godzin od stwierdzenia naruszenia, nawet jak stało się to u naszego podwykonawcy – np. obsługi technicznej budynku, obsługi informatycznej. Co gorsza, jak dane/ nośniki nie będą zaszyfrowane/ zabezpieczone hasłem, to o wycieku będzie trzeba też poinformować osoby, których dane ucierpiały, jeżeli jest wysokie ryzyko naruszenia ich praw.
Co to oznacza wysokie ryzyko naruszenia?
Na przykład, gdy na zagubionych nośnikach są bardzo wrażliwe dane lub jest tych danych bardzo dużo. Można też ustalić, że wyciekły dane, które nic nikomu nie mówią i nie są groźne. Wtedy osób, których one dotyczą nie trzeba zawiadamiać.
Jak do RODO ma się korzystanie z e-kartotetki, czyli wrzucania szczegółowych danych, np. kto jest właścicielem, jakie opłaty ponosi, itp. do „chmury”
Korzystanie z chmury RODO uznaje za czynnik ryzyka. Należy wtedy zastanowić się, czy nie powstaje wysokie ryzyko naruszenia praw lub wolności. Jeżeli jest to wysokie trzeba przeprowadzić sformalizowaną ocenę ryzyka – ocenę skutków dla ochrony danych. Należy też zawrzeć umowę powierzenia danych. Zasadniczo nie należy dawać danych do chmury, która jest poza Unią Europejską – bo trzeba będzie zawrzeć specjalne dokumenty a co gorsza poinformować osoby, że wysyłamy ich dane poza UE.
Czy władze spółdzielni czy wspólnoty muszą zebrać od członków zgody na przetwarzania danych osobowych?
Co do zasady podstawą przetwarzania mogą być przepisy prawa – w tym przypadku spółdzielczego lub ustawy o własności lokali. Jeśli przepisy wprost nie zobowiązują do zbierania, przechowywania określonych danych, to podstawą może być zgoda członka lub prawnie uzasadniony interes spółdzielni, członka lub innych członków lub innej osoby. Zasadniczo inteligentne spółdzielnie mogłyby opierać sporą część czynności o uzasadniony interes ogółu członków - bo tak naprawdę interesy członków i spółdzielni zwykle są sprzeczne. I obecnie często ochrona danych wykorzystywana jest instrumentalnie. Członkowie robią to, by chronić się od odpowiedzialności prawnej lub cywilnej, a spółdzielnie w celu unikania transparentności.
O jakich prawach należy poinformować członków?
Zgodnie z RODO osobę, której dane przetwarzamy musimy poinformować o pięciu podstawowych prawach, czyli o prawie dostępu do swoich danych oraz otrzymania ich kopii; do sprostowania (poprawiania) swoich danych; sunięcia, ograniczenia lub wniesienia sprzeciwu wobec przetwarzania danych; przenoszenia danych; a także prawie wniesienia skargi do organu nadzorczego.
Rozmawiała Jolanta Ojczyk