Kontrola RODO w Spółdzielni

Zgodnie z zatwierdzonym przez Prezesa UODO rocznym planem kontroli sektorowych, w 2019 roku Urząd Ochrony Danych Osobowych zweryfikuje przetwarzanie danych osobowych przez spółdzielnie mieszkaniowe w zakresie sposobu prowadzenia i zabezpieczenia rejestru członków. W artykule zwrócimy uwagę na praktyczne aspekty wdrożenia obowiązków przez Spółdzielnie.

Prowadzenie i zabezpieczenie rejestru członków 

Zweryfikuj zakres zbieranych danych od członków stosownie do art. 30 Prawa Spółdzielczego i wdrożonego Statutu Spółdzielni.

Zgodnie z art. 30 pr. sp. zarząd spółdzielni prowadzi rejestr członków zawierający ich imiona i nazwiska oraz miejsce zamieszkania (w odniesieniu do członków będących osobami prawnymi – ich nazwę i siedzibę), wysokość zadeklarowanych i wniesionych udziałów, wysokość wniesionych wkładów, ich rodzaj, jeżeli są to wkłady niepieniężne, zmiany tych danych, datę przyjęcia w poczet członków, datę wypowiedzenia członkostwa i jego ustania, a także inne dane przewidziane w statucie.

Przeanalizuj proces udostępniania danych z rejestru

Uprawnionymi osobami do pozyskiwania danych z rejestru są: Członek spółdzielni, jego małżonek i wierzyciel członka lub spółdzielni mają prawo przeglądać rejestr. Udostępnienie danych z rejestru np. osobie zamieszkującej z członkiem stanowi naruszenie ochrony danych osobowych!

Sprawdź zabezpieczenie danych zgromadzony w ramach prowadzonego rejestru

Przeanalizuj proces przetwarzania danych osobowych zarówno w postaci papierowej jak i elektronicznej, poniżej znajdziesz przykłady środków bezpieczeństwa z podziałem na trzy podstawowe kategorie:

  • Zabezpieczenia organizacyjne – wdrożone polityki ochrony, prowadzone audytu ochrony danych, działania uświadamiające takie jak szkolenia, procedury dot. postępowania z kluczami, niszczenie dokumentów przed ich wyrzuceniem;
  • Zabezpieczenia fizyczne – zabezpieczenie dostępu do dokumentów, zwiększony poziom ochrony archiwum, serwerowni, zabezpieczenia przed włamaniem do budynku;
  • Zabezpieczenia techniczne, informatyczne – zainstalowane oprogramowanie antywirusowe, ograniczenie dostępu np. do kont administratora, kopie zapasowe, systemy typu firewall, zabezpieczenia poczty elektronicznej.

Obowiązki informacyjne

Zgodnie z art. 13, ust. 1-2 i art. 14 RODO, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie niezbędne informacje na temat przetwarzania danych osobowych.

  • Przeanalizuj proces udostępniania klauzul i not informacyjnych w zależności od kanałów ich pozyskiwania, Spółdzielnia zbiera dane m.in. od:
  • Od członków spółdzielni;
  • Od osób niebędących członkami spółdzielni;
  • Od kandydatów do pracy w Spółdzielni;
  • Od najemców;
  • Od osób fizycznych pojawiających się jako osoby kontaktowe do realizacji umów;
  • Od osób objętych monitoringiem wizyjnym.
  • Od osób odwiedzających stronę internetową

Ważne: Treść klauzul informacyjnych powinna być dostosowana do podstaw prawnych przetwarzania oraz w/w kategorii osób.  

Wyznaczenie Inspektora Ochrony Danych

Zgodnie z art. 37, ust. 1 RODO Administrator wyznacza inspektora ochrony danych, zawsze gdy:

b)  główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c)  główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Należy więc w Spółdzielni przeprowadzić analizę zakresu zbierania danych osobowych w ramach prowadzonego monitoringu wizyjnego oraz zwrócić uwagę na skalę prowadzonych postępowań windykacyjnych. Gdy uznamy, że monitoring lub prowadzone postępowania windykacyjne realizowane są na dużą skalę Spółdzielnia powinna wyznaczyć Inspektora Ochrony Danych. Według zaleceń francuskiego organu nadzorczego CNIL duża skala to np. 10 tys. zgromadzonych rekordów w bazie, co może być swego rodzaju punktem odniesienia.

Podsumowanie

Wyżej wymienione wskazówki zostały dostosowane do zakresu kontroli Prezesa Urzędu Ochrony Danych Osobowych, nie zawierają one wszystkich obowiązków jakie RODO nakłada na Spółdzielnie Mieszkaniowe

Chcesz przeprowadzić audyt sprawdzający przygotowujący do kontroli


Udostępnij Treść