• +48 573 177 822
  • biuro@ratio-go.pl
  • Pon - Pt: 10:00 - 18:00
Facebook-f Instagram Linkedin
Facebook-f Instagram Linkedin

Jak wdrożyć RODO we wspólnocie mieszkaniowej?

Spis treści

Wspólnota mieszkaniowa przetwarza dane osobowe „przy okazji” niemal każdej czynności zarządczej: naliczeń opłat, rozliczeń mediów, korespondencji z właścicielami, zlecania prac serwisowych, obsługi zgłoszeń, a coraz częściej także przy monitoringu i narzędziach elektronicznych (e-BOK, portale właścicieli, systemy zgłoszeń). To właśnie codzienna praktyka – tablica ogłoszeń, e-maile wysyłane „do wszystkich”, rozmowy telefoniczne o zaległościach, dostęp do nagrań – najczęściej rodzi spory i skargi, bo dotyka prywatności w miejscu, które jest dla mieszkańców najbardziej wrażliwe.

Wiele wspólnot ma w szufladzie „pakiet RODO”, ale wdrożenie kończy się na podpisaniu wzorów. Problem w tym, że same dokumenty nie rozstrzygają kluczowych pytań: kto jest administratorem, komu i na jakiej podstawie udostępniamy dane, jak długo je trzymamy, kto ma dostęp do rozliczeń lub monitoringu i jak reagujemy na incydent. Dobrze wdrożone RODO we wspólnocie to nie zestaw definicji, tylko ułożony system: audyt (mapa danych), analiza ryzyka, sensowna dokumentacja i proste procedury, które da się zastosować w realnym życiu.

Administrator danych: wspólnota, zarząd i zarządca

Co do zasady administratorem jest wspólnota mieszkaniowa, bo to ona – jako podmiot – decyduje o celach i sposobach przetwarzania danych w ramach zarządu nieruchomością. Zarząd (lub zarządca w modelu zarządu powierzonego) działa operacyjnie, ale nie „zastępuje” wspólnoty jako administratora.

Jeżeli wspólnota korzysta z zewnętrznej firmy zarządzającej, wówczas trzeba uczciwie ustalić, jaką rolę ta firma pełni w konkretnych procesach. Najczęściej będzie to podmiot przetwarzający (procesor), który wykonuje czynności na danych „dla wspólnoty” i w jej imieniu – a wtedy potrzebna jest umowa powierzenia zgodna z art. 28 RODO. Czasem jednak firma działa częściowo we własnym imieniu (np. samodzielnie ustala cele i sposoby przetwarzania w pewnym obszarze) – i wtedy wchodzimy w model odrębnego administratora albo współadministrowania, co wymaga jasnego podziału odpowiedzialności, a nie automatycznego „powierzenia”. W praktyce wspólnoty często mają też „łańcuszek” dostawców: portal właściciela, hosting, IT, system powiadomień – i to wszystko powinno być spójnie ujęte w dokumentacji.

Jakie dane wspólnota przetwarza

Najczęściej przetwarzane są dane identyfikacyjne i kontaktowe właścicieli, dane dotyczące lokalu i tytułu prawnego, rozliczenia i historia opłat, korespondencja oraz treści zgłoszeń (usterki, skargi, reklamacje). W praktyce „wrażliwość” tych danych nie wynika z tego, czy są to szczególne kategorie w rozumieniu RODO, tylko z konsekwencji społecznych: ujawnienie informacji o zaległościach, sporach sąsiedzkich czy interwencjach potrafi eskalować konflikt w budynku.

Równolegle dane krążą wieloma kanałami: papierowe teczki i uchwały, system rozliczeniowy, e-maile, telefon, komunikatory (co bywa ryzykowne), a coraz częściej portale właścicieli i systemy zgłoszeń. Osobnym obszarem są dane generowane technicznie: monitoring, wideodomofon, kontrola dostępu i logi zdarzeń. Wspólnoty często mają wrażenie, że „to tylko obraz z kamer”, ale z perspektywy ochrony danych to nadal informacja o osobach, ich wizerunku i zachowaniach, a więc obszar wymagający zasad, ograniczeń i rozliczalności.

Jak wdrożyć RODO we wspólnocie mieszkaniowej

Monitoring we wspólnocie zgodnie z RODO

Kluczowe są trzy elementy: cel, proporcjonalność i retencja. Celem powinno być bezpieczeństwo osób i mienia (nie „kontrola mieszkańców”), zakres kamer ma być ograniczony do tego, co potrzebne, a okres przechowywania nagrań nie może być bezterminowy. Administrator powinien też zapewnić informowanie o monitoringu oraz kontrolować dostęp do nagrań (kto, kiedy, na jakiej podstawie).

Warto mieć jedną, krótką procedurę: kto ma dostęp do rejestratora, jak dokumentuje się udostępnienia (np. policji), kiedy i w jakiej formie reaguje się na żądania osób oraz jak zabezpiecza się materiał dowodowy, gdy doszło do incydentu. To są rzeczy, które zwykle rozstrzygają, czy wspólnota potrafi spokojnie wyjaśnić sprawę, czy wchodzi w chaos.

Dokumentacja RODO we wspólnocie

Dokumentacja we wspólnocie ma przede wszystkim dać się zastosować i dać się wykazać. Dlatego sensowne minimum to nie „kilkanaście polityk”, tylko kilka dokumentów, które wynikają z audytu:

  • rejestr czynności przetwarzania (z procesami wspólnoty i kanałami przetwarzania),
  • analiza ryzyka, a przy rozbudowanym monitoringu lub specyficznych rozwiązaniach – ocena skutków (DPIA) tam, gdzie jest to uzasadnione,
  • rejestr incydentów i prosta procedura reagowania,
  • upoważnienia i zasady nadawania/cofania dostępów (zwłaszcza do rozliczeń i monitoringu),
  • umowy powierzenia lub uregulowanie ról z dostawcami (zarządca, IT, portal właściciela, hosting),
  • klauzule informacyjne i standard ich udostępniania (przy pozyskiwaniu danych, w biurze/portalu).

Audyt RODO we wspólnocie mieszkaniowej

Audyt w realiach wspólnoty to uporządkowane ustalenie „jak jest”, a nie „jak powinno być”. W praktyce sprawdza się przede wszystkim:

Procesy przetwarzania

Rozliczenia opłat i mediów, korespondencja, zgłoszenia usterek, windykacja, zebrania i uchwały, dostęp do e-BOK/portalu mieszkańca, monitoring (jeśli jest), obsługa wykonawców i serwisów.

Kategorie danych

W każdym procesie: dane właścicieli i lokali (adres, udział, dane kontaktowe), dane rozliczeniowe (saldo, historia wpłat, zaległości), dane z korespondencji i zgłoszeń (często z „nadmiarem” informacji), dane techniczne (logi, identyfikatory dostępu), wizerunek (monitoring/wideodomofon).

Dostęp i uprawnienia

Kto widzi rozliczenia i zaległości, kto ma dostęp do akt, kto może generować zestawienia, kto administruje portalem i skrzynką e-mail, jakie są zasady nadawania i odbierania dostępów (szczególnie przy zmianie zarządu lub administratora).

Kanały komunikacji

E-mail, papier, telefon, portal mieszkańca, tablica ogłoszeń – oraz czy są standardy ograniczające ryzyko pomyłek (weryfikacja tożsamości, zasady wysyłki, zakaz publikowania danych na klatce).

Podwykonawcy i dostawcy

Administrator nieruchomości, księgowość, kancelaria, hosting/portal, serwis monitoringu, firmy techniczne – wraz z ustaleniem ról (kto jest administratorem, kto procesorem) i dokumentacją współpracy.

Efekt audytu powinien być prosty: lista procesów + przypisane narzędzia, osoby z dostępem, podmioty zewnętrzne oraz punkty, w których dane najczęściej „uciekają” lub są przetwarzane nadmiarowo.

Ryzyko przetwarzania danych we wspólnocie – gdzie najczęściej powstaje problem

Dopiero po audycie ocenia się ryzyka: gdzie może dojść do nieuprawnionego ujawnienia danych, pomyłek w komunikacji, nadużyć dostępu albo braku kontroli nad wykonawcą. W praktyce wspólnoty mieszkaniowe „wywracają się” rzadko na dużych cyberatakach – częściej na drobnych, powtarzalnych sytuacjach organizacyjnych, takich jak:

  •   błędny adresat korespondencji (zestawienie opłat, saldo, wezwanie do zapłaty wysłane „nie temu”),
  •   ujawnianie danych w przestrzeni wspólnej (tablica ogłoszeń, klatka schodowa, listy zaległości lub dane lokalu),
  •   zbyt szeroki dostęp do rozliczeń i zaległości (brak zasady „tyle, ile trzeba”),
  •   udostępnianie nagrań z monitoringu bez procedury („na telefon”, bez weryfikacji osoby i bez śladu decyzji),
  •   brak kontroli nad portalem mieszkańca i dostępami (stare konta, brak cofnięcia uprawnień po zmianie osób lub firmy),
  •   podwykonawcy bez jasnych ról i zasad (IT, monitoring, portal, księgowość, zarządca) – dane są przetwarzane, ale bez realnej kontroli i przypisanej odpowiedzialności.


Właśnie dlatego kluczowy jest porządek w rolach i dostępach. Wspólnota – jako administrator danych – powinna mieć jasno ułożone relacje z zarządcą oraz wewnętrzny podział uprawnień: kto ma wgląd w rozliczenia, zaległości i korespondencję, w jakim zakresie i na jakiej podstawie. Ryzyko rośnie, gdy uprawnienia są zbyt szerokie, dostęp nie jest cofany po zmianach personalnych, a komunikacja z właścicielami odbywa się bez standardu (np. nadmiar danych w załącznikach, udzielanie informacji telefonicznie bez rzetelnej weryfikacji tożsamości).

Dobra analiza ryzyka powinna kończyć się konkretnymi decyzjami organizacyjnymi:
(1) kto ma dostęp do jakich danych, (2) jak wygląda weryfikacja tożsamości w kontakcie, (3) jak przekazujemy dokumenty bezpiecznymi kanałami, (4) jak długo przechowujemy dokumentację i monitoring oraz (5) jakie są zasady udostępniania informacji i nagrań.

Michał Myśliwy

Michał Myśliwy

Prawnik

Prawnik i praktyk w obszarze ochrony danych osobowych oraz compliance. Od momentu wejścia w życie RODO aktywnie pełni funkcję Inspektora Ochrony Danych w spółkach akcyjnych i spółkach z ograniczoną odpowiedzialnością. Specjalizuje się w projektowaniu i wdrażaniu rozwiązań z zakresu ochrony danych i compliance, opartych na realnych procesach biznesowych, ryzykach oraz odpowiedzialności zarządczej.

Sprawdź naszą ofertę!

Wdrożenie RODO
Dokumentacja
Audyt RODO
Szkolenia RODO
Szkolenia RODO
Outsourcing IOD
Doradztwo RODO
Ostatnie wpisy

Masz pytanie?

O nas

Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.

Facebook-f Instagram Linkedin
Udostępnij ten post
Facebook
LinkedIn
Czytaj dalej
Facebook Instagram Linkedin