Przetwarzanie danych przez spółkę z o.o. przedmiotem decyzji Prezesa UODO

Prezes UODO podjął decyzję odmawiającą uwzględnienia skargi dotyczącej procesu przetwarzania danych osobowych przez spółkę z o.o. Stan faktyczny oraz ustalenia faktyczne zostały szczegółowo opisane, a Prezes UODO wyjaśnił podstawy prawne swojej decyzji, odnoszące się do RODO. Wskazano, że spółka działa w imieniu wspólnoty, która jest administratorem danych osobowych Skarżącego. Zarzuty skarżącego nie znalazły potwierdzenia w materiale dowodowym, a prawidłowość działania radcy prawnego została potwierdzona. Wszelkie zastrzeżenia dotyczące braku dokumentacji przetwarzania danych zostały omówione. Decyzja Prezesa UODO została zawarta w numerze ZSPU.440.131.2019.

Tematyka: Przetwarzanie danych, Prezes UODO, RODO, spółka z o.o., decyzja, Skarżący, umowa, zarząd, dane osobowe, wspólnota, radca prawny, dokumentacja, polityka bezpieczeństwa, instrukcja zarządzania, umocowanie, ZSPU.440.131.2019

Prezes UODO podjął decyzję odmawiającą uwzględnienia skargi dotyczącej procesu przetwarzania danych osobowych przez spółkę z o.o. Stan faktyczny oraz ustalenia faktyczne zostały szczegółowo opisane, a Prezes UODO wyjaśnił podstawy prawne swojej decyzji, odnoszące się do RODO. Wskazano, że spółka działa w imieniu wspólnoty, która jest administratorem danych osobowych Skarżącego. Zarzuty skarżącego nie znalazły potwierdzenia w materiale dowodowym, a prawidłowość działania radcy prawnego została potwierdzona. Wszelkie zastrzeżenia dotyczące braku dokumentacji przetwarzania danych zostały omówione. Decyzja Prezesa UODO została zawarta w numerze ZSPU.440.131.2019.

Zgodnie z art. 57 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r.
w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L Nr 119 z 27.4.2016 r.,
s. 1, dalej jako: RODO) w decyzji odmawiającej uwzględnienia skargi z 16.4.2019 r. (ZSPU.440.131.2019)
Prezes UODO wypowiedział się w kwestii nieprawidłowości w procesie przetwarzania danych osobowych
przez spółkę z o.o.
Stan faktyczny
Do Biura Generalnego Inspektora Ochrony Danych Osobowych (obecnie jest to Urząd Ochrony Danych Osobowych)
wpłynęła skarga Pana I.D. dotycząca nieprawidłowości w procesie przetwarzania jego danych osobowych przez P.
Sp. z o.o. W treści skargi Skarżący podniósł, że w siedzibie Spółki dokonywał wglądu w dokumentację Wspólnoty
Mieszkaniowej „K.”. W trakcie czynności powziął wątpliwości co do właściwego sposobu zabezpieczenia jego danych
osobowych przez Spółkę, ponieważ w czynności uczestniczył pełnomocnik Spółki (radca prawny), który nie okazał
żadnego upoważnienia do przetwarzania danych osobowych, a ponadto ze wskazanej czynności nie został
sporządzony protokół umożliwiający identyfikację udostępnionych dokumentów. Skarżący zarzucił ponadto, że
Spółka jako zarządca Wspólnoty nie posiada wymaganej dokumentacji przetwarzania danych osobowych – polityki
bezpieczeństwa, instrukcji zarządzania systemem danych, ewidencji osób upoważnionych i upoważnień.
Ustalenia faktyczne Prezesa UODO
W toku postępowania Prezes UODO ustalił, że Skarżący jest członkiem Wspólnoty, a Spółka jest zarządcą
Wspólnoty. Ponadto wskazano, że Spółka przetwarza dane osobowe Skarżącego w zakresie wynikającym
z Oświadczenia o danych właściciela lokalu i sposobie doręczania korespondencji. W dniu wskazanym w skardze
Skarżący wziął udział w spotkaniu w siedzibie Spółki, w którym uczestniczył radca prawny. Radca prawny był
upoważniony do reprezentowania Spółki, w tym do uczestniczenia w spotkaniu. W trakcie spotkania udostępnione
zostały Skarżącemu dokumenty techniczne nieruchomości.
Rozstrzygnięcie
W uzasadnieniu decyzji odmawiającej uwzględnienia wniosku skarżącego Prezes UODO wskazał, że zgodnie z art. 6
ust. 1 RODO, przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie w jakim –
spełniony jest co najmniej jeden z wymienionych warunków: a) osoba, której dane dotyczą wyraziła zgodę na
przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest
niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na
żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia
obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych
interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania
zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej
administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów
realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter
wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające
ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Zarzut Skarżącego dotyczący niewłaściwego zabezpieczenia jego danych osobowych przez Spółkę nie znalazł
potwierdzenia w materiale dowodowym sprawy – stwierdził Prezes UODO. W trakcie spotkania, o którym mowa
w skardze, nie doszło do udostępnienia danych Skarżącego na rzecz osób nieupoważnionych. Zgodnie
z oświadczeniem Spółki, radca prawny działał w granicach umocowania udzielonego mu przez Spółkę.
W sytuacji przekazania danych na rzecz profesjonalnego pełnomocnika reprezentującego interesy mocodawcy ma
miejsce przetwarzanie danych przez pełnomocnika działającego w imieniu administratora danych osobowych,
w granicach przyznanego mu umocowania i nie we własnych celach, lecz dla realizacji celów administratora danych.
Podstawą prawną działania radcy prawnego był art. 29 RODO, zgodnie z którym podmiot przetwarzający oraz każda
osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych
osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo
państwa członkowskiego. Zauważyć przy tym należy, że zgodnie z art. 3 ust. 1 ustawy z 6.7.1982 r. o radcach
prawnych (t.j. Dz.U. z 2018 r. poz. 2115 ze zm., dalej jako: RadPrU) radca prawny jest obowiązany zachować
w tajemnicy wszystko, o czym dowiedział się w związku z udzieleniem pomocy prawnej.



Podstawą przetwarzania przez Spółkę danych osobowych Skarżącego jako członka Wspólnoty jest z kolei zawarta
przez Spółkę ze Wspólnotą umowa określająca sposób zarządu nieruchomością wspólną, której dopuszczalność
zawarcia przewiduje art. 18 ust. 1 ustawy z 24.6.1994 r. o własności lokali (t.j. Dz.U. z 2018 r. poz. 716 ze zm., dalej
jako: WłLokU). Zgodnie z tym przepisem właściciele lokali mogą w umowie o ustanowieniu odrębnej własności lokali
albo w umowie zawartej później w formie aktu notarialnego określić sposób zarządu nieruchomością wspólną,
a w szczególności mogą powierzyć zarząd osobie fizycznej albo prawnej. Wspólnota powierzyła administrowanie
Spółce, która w myśl art. 28 RODO stała się podmiotem przetwarzającym. Należy zatem stwierdzić, że Spółka działa
w imieniu Wspólnoty, a więc Wspólnota jest administratorem danych osobowych Skarżącego w rozumieniu art. 4 ust.
1 pkt 7 RODO, a Spółka podmiotem przetwarzającym w rozumieniu art. 4 ust. 1 pkt 8 RODO.
Prezes UODO wskazał ponadto, że ważność umowy powierzenia można kwestionować przed sądem powszechnym,
jednak w tym celu Skarżący musiałby uzyskać zgodę pozostałych członków Wspólnoty, ponieważ to Wspólnota jest
podmiotem, który taką umowę zawarł ze Spółką.
W odniesieniu do zarzutów dotyczących braku wymaganej dokumentacji przetwarzania danych osobowych, tj. polityki
bezpieczeństwa i instrukcji zarządzania systemem informatycznym, a także ewidencji osób upoważnionych
i upoważnień, wskazać należy, że kwestie te nie mogą być przedmiotem indywidualnej skargi z uwagi na charakter
zawartych w takiej dokumentacji informacji. Dokumentację taką należy traktować jako dokumenty wewnętrzne
udostępniane jedynie ograniczonemu kręgowi osób, tylko tym osobom, którym są niezbędne w związku
z powierzonymi im zadaniami i tylko tym podmiotom zewnętrznym, które wykażą, że na mocy przepisów prawa są
uprawnione do jej uzyskania. Kompleksowe badanie procedur przyjętych przez administratora danych osobowych
w ww. zakresie może być tym samym dokonywane przez organ z urzędu, bowiem ma wpływ na przetwarzanie
danych nieograniczonego kręgu osób, a ich ujawnienie może mieć szkodliwy wpływ na wykonywanie przez określony
podmiot zadań w zakresie bezpieczeństwa przetwarzania danych. Udostępnienie polityki bezpieczeństwa czy
instrukcji zarządzania systemem informatycznym wiąże się z ujawnieniem stosowanych zabezpieczeń danych
osobowych.
W ramach wskazano, że dane osobowe Skarżącego przetwarzane są zgodnie z prawem zarówno przez
Wspólnotę, jak i Spółkę. Wspólnota przetwarza dane osobowe Skarżącego na podstawie art. 6 ust. 1 lit. c i f
RODO, a Spółka na podstawie umowy o powierzeniu zarządu, a więc zgodnie z art. 28 RODO.
decyzja ZSPU.440.131.2019







Prezes UODO podkreślił zgodność przetwarzania danych osobowych przez spółkę z o.o. w imieniu wspólnoty z przepisami RODO. Wskazał, że zarzuty skarżącego nie zostały potwierdzone, a działanie radcy prawnego było zgodne z przepisami. Kwestie braku dokumentacji przetwarzania danych zostały wyjaśnione. Decyzja została opisana w numerze ZSPU.440.131.2019.