Kodeks postępowania w zakresie ochrony danych osobowych dla spółdzielni mieszkaniowych

Na stronie internetowej polskiego organu nadzorczego w zakresie ochrony danych osobowych można odszukać informacje, dotyczące wielu inicjatyw społecznych zgłoszonych Prezesowi Urzędu Ochrony Danych Osobowych. Jedną z nich jest wniosek o zatwierdzenie Kodeksu dobrych praktyk w zakresie przetwarzania danych osobowych przez spółdzielnie mieszkaniowe (Kodeks) zgłoszony do akceptacji przez Związek Rewizyjny Spółdzielni Mieszkaniowych RP.

Po co przyjmować kodeks postępowania?

Statystyki prowadzone przez organy nadzorcze w zakresie ochrony danych osobowych dobitnie wskazują na lawinowo rosnącą liczbę zapytań, ze strony administratorów i inspektorów ochrony danych, odnoszących się do potrzeby jednoznacznej i wiążącej interpretacji wymagań określonych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Ta swoista potrzeba przełożenia niejednoznacznych zapisów RODO na praktyczny język działań operacyjnych powoduje nie tylko wzmożenie samodzielnych działań administratorów, ale także zintensyfikowaną aktywność administratorów zrzeszonych w sektorach (branżach). Wynikiem tych wspólnych działań są m.in. kodeksy podstępowania stanowiące doprecyzowanie wymagań określonych w RODO. Ułatwiają one praktyczne i skuteczne stosowanie zapisów RODO, z uwzględnieniem szczególnych cech przetwarzania danych osobowych w niektórych branżach i dopasowują obowiązki administratorów do ryzyka naruszenia praw lub wolności osób fizycznych, jakie może powodować przyjęty u administratora sposób przetwarzania danych osobowych (Motyw 98 RODO). Co więcej, wartością kodeksów jest ich strona praktyczna ze względu na holistyczne ujęcie istotnych dla danej branży kwestii.

Zgodnie z art. 40 ust 2 RODO zakres przedmiotowy kodeksu postępowania obejmuje szereg zagadnień, do których należą m.in. następujące kwestie:

• rzetelnego i przejrzystego przetwarzania danych osobowych;
• prawnie uzasadnionych interesów realizowanych przez administratorów w określonych kontekstach;
• pozyskiwania danych osobowych;
• pseudonimizacji danych osobowych;
• informowania opinii publicznej i osób, których dane dotyczą;
• wykonywania przez osoby, których dane dotyczą, przysługujących im praw;
• informowania i ochrony dzieci oraz sposobu pozyskiwania zgody osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem;
• wdrożonych środków technicznych i organizacyjnych ochrony danych osobowych;
• wdrożonych środków zapewniających bezpieczeństwo przetwarzania danych osobowych;
• zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o takich naruszeniach osób, których dane dotyczą;
• przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych;

postępowań pozasądowych oraz innych trybów rozstrzygania sporów w celu rozstrzygania sporów między administratorami a osobami, których dane dotyczą, w zakresie przetwarzania, bez uszczerbku dla praw osób, których dane dotyczą.Przygotowywana treść kodeksu musi być także poddana uprzednim szerokim, konsultacjom z odpowiednimi stronami (interesariuszami), których sprawa dotyczy, w tym jeżeli jest to wykonalne, z osobami, których dane dotyczą, oraz mieć na względzie uwagi i opinie otrzymane w ramach takich konsultacji (Motyw 99 RODO).

Wartym podkreślenia jest fakt, że stosowanie kodeksów postepowania przynosi administratorowi korzyści w wymiarze praktycznym, stanowiąc ważny element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków (art. 24 ust. 3 RODO), w tym odnoszących się do działań nakazujących wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych osobowych (art. 32 ust. 3 RODO).

Co więcej, także w kontekście konieczności dokonania oceny skutków dla ochrony danych, uwzględnia się przestrzeganie przez administratora zatwierdzonych kodeksów postepowania (art. 35 ust. 8 RODO). Istotnym jest fakt, że w przypadku krytycznej dla administratora sytuacji związanej z koniecznością podjęcia przez organ nadzorczy decyzji o nałożeniu administracyjnej kary pieniężnej zwraca się w każdym indywidualnym przypadku należytą uwagę m.in. na fakt stosowania przez administratora zatwierdzonego kodeksu postępowania (art. 83 ust. 2 lit. j RODO).

Także w relacjach z podmiotem przetwarzającym, o wywiązywaniu się z obowiązków przez  administratora, w szczególności z obowiązku korzystania z usług podmiotów, zapewniających wystarczające gwarancje wdrożenia środków technicznych i organizacyjnych, odpowiadających wymogom prawa, w tym wymogom bezpieczeństwa przetwarzania danych osobowych, świadczyć może stosowanie przez podmioty przetwarzające kodeksu postępowania (art. 28 ust. 5 RODO).

Kodeks dobrych praktyk w zakresie przetwarzania danych osobowych przez spółdzielnie mieszkaniowe

W celu doprecyzowania zasad przetwarzania danych osobowych Związek Rewizyjny Spółdzielni Mieszkaniowych RP (zrzeszający ok. 500 spółdzielni mieszkaniowych w Polsce) jako pierwszy w sektorze zdecydował się na przyjęcie Kodeksu dobrych praktyk w zakresie przetwarzania danych osobowych przez spółdzielnie mieszkaniowe (Uchwała nr 4/2019 z dnia 12 marca 2019 r.). Projekt Kodeksu poddany został uprzednim szerokim konsultacjom społecznym z członkami spółdzielni mieszkaniowych, członkami organów samorządowych spółdzielni, pracownikami spółdzielni, w tym także z inspektorami ochrony danych wspierającymi zarządzanie procesem ochrony danych osobowych w spółdzielniach mieszkaniowych. Zgodnie z deklaracją autorów Kodeks uwzględnia wypracowane najlepsze praktyki rynkowe oraz rozwiązania właściwe dla specyfiki sektora.

Wprawdzie Kodeks ma zastosowanie do spółdzielni mieszkaniowych zrzeszonych lub mających zawartą umowę o współpracy ze Związkiem Rewizyjnym Spółdzielni Mieszkaniowych RP, to do stosowania Kodeksu mogą przystąpić, na ściśle określonych zasadach, także inne podmioty, w szczególności świadczące na rzecz spółdzielni mieszkaniowych usługi wymagające przetwarzania danych osobowych.Przyjęty przez Związek Rewizyjny Spółdzielni Mieszkaniowych RP Kodeks, mający na celu:

• wsparcie spółdzielni mieszkaniowych we właściwym stosowaniu Rozporządzenia RODO z uwzględnieniem cech przetwarzania danych osobowych w sektorze spółdzielni mieszkaniowych,
• ograniczanie ryzyka naruszenia praw i wolności osób fizycznych, jakie może nieść przetwarzanie danych osobowych, poprzez wskazanie obowiązków dla spółdzielni mieszkaniowych oraz podmiotów przetwarzających dane osobowe w tym zakresie,
• ułatwienie osobom fizycznym dokonania oceny, czy spółdzielnia mieszkaniowa stosuje odpowiednie zasady ochrony przetwarzanych danych osobowych,
• zwiększenie zaufania osób fizycznych do spółdzielni mieszkaniowych, że ich dane osobowe są chronione na odpowiednim poziomie,
• jest dosyć obszerny, składa się z następujących części: definicji; rozdziału zawierającego zasady dotyczące przetwarzania danych osobowych, podstawy prawne przetwarzania danych i warunki pozyskiwania zgody; rozdziału określającego prawa osoby, której dane dotyczą; rozdziału odnoszącego się do przechowywania i usuwania danych osobowych; rozdziału opisującego problematykę powierzenia przetwarzania danych osobowych; rozdziału opisującego procedurę powiadomienia o naruszeniu ochrony danych osobowych oraz rozdziału odnoszącego się do prowadzenia oceny skutków przetwarzania danych osobowych przez spółdzielnie mieszkaniowe.

Dodatkowo Kodeks dobrych praktyk w zakresie przetwarzania danych osobowych przez spółdzielnie mieszkaniowe zawiera listę kontrolną zgodności działalności spółdzielni mieszkaniowej z przepisami prawa odnoszącymi się do ochrony danych osobowych (załącznik nr 1) oraz wzór procedury wewnętrznej „Polityka bezpieczeństwa danych osobowych przetwarzanych w spółdzielni mieszkaniowej”. Do wzoru „Polityki” dołączono wzory następujących dokumentów: tabelę oceny zgodności z prawem; rejestr czynności przetwarzania; umowę powierzenia przetwarzania danych osobowych; upoważnienie do przetwarzania danych osobowych; wniosek o nadanie upoważnienia do przetwarzania danych osobowych; ewidencję osób upoważnionych do przetwarzania danych osobowych; oświadczenie o zachowaniu poufności dla pracowników stron trzecich; upoważnienie do przebywania na obszarze przetwarzania (załącznik nr 2).

To już 2 lata – pora na weryfikację

Niezależnie od trwającej wciąż procedury akceptacji przez organ nadzorczy Kodeksu dobrych praktyk w zakresie przetwarzania danych osobowych przez spółdzielnie mieszkaniowe (na dzisiaj żaden kodeks postępowania, bez względu na sektor, nie uzyskał podpisu Prezesa Urzędu Ochrony Danych Osobowych) wydaje się zasadnym dokonanie ponownej szczegółowej analizy przyjętego sposobu zarządzania procesem ochrony danych osobowych w spółdzielniach mieszkaniowych (przypomnieć należy, że od wejścia w życie zapisów określonych w RODO minęło już 2 lata) i zweryfikowanie, czy wdrożone środki organizacyjne i techniczne, a także zabezpieczenia chronią w należyty sposób prawa i wolności osób, których danymi spółdzielnie mieszkaniowe administrują. I bez względu na wszystko taką pracę trzeba wykonać, a jak mawiał Albert Einstein …każda praca jest dobra, o ile jest dobrze wykonywana…

Chcesz być na bieżąco? Zapisz się do naszego newslettera!