Obowiązek informacyjny rodo

KOMPAS FORSAFE 2026/29

Kraj:

Polska

Data wydania decyzji:

07.04.2026 r.

Podmiot kontrolowany:

Wspólnota mieszkaniowa

Wysokość kary (EUR):

1.155

Podstawa prawna naruszenia

Art. 33 ust. 1 RODO.

Niewystarczające wypełnienie obowiązków powiadamiania o naruszeniu danych.

 

Przyczyna naruszenia

Bezpośrednią przyczyną naruszenia było błędne udostępnienie osobie nieuprawnionej zawiadomienia o rozliczeniu opłat za użytkowanie lokalu mieszkalnego, zawierającego dane osobowe innego członka wspólnoty mieszkaniowej. Kluczowym problemem nie był jednak wyłącznie sam incydent, ale także to, że administrator danych nie przeprowadził prawidłowej oceny ryzyka i nie zgłosił naruszenia Prezesowi UODO w ustawowym terminie 72 godzin. Źródłem naruszenia była również błędna interpretacja przepisów ustawy o własności lokali oraz nieprawidłowe założenie, że skoro odbiorcą dokumentu był inny właściciel lokalu, a ujawnione dane miały charakter zwykły, to nie doszło do naruszenia wymagającego zgłoszenia. Organ uznał takie stanowisko za nieprawidłowe i sprzeczne z zasadami wynikającymi z RODO.

Opis wydarzeń

  1. Błędne przekazanie korespondencji zawierającej dane osobowe: Do incydentu doszło w związku z wykonywaniem przez spółkę umowy o administrowanie nieruchomością zawartej ze wspólnotą mieszkaniową. W toku tej obsługi doszło do przekazania osobie nieuprawnionej dokumentu zatytułowanego „zawiadomienie o rozliczeniu opłat za użytkowanie lokali mieszkaniowych”. Tym samym dane osobowe jednego członka wspólnoty zostały ujawnione innej osobie bez podstawy prawnej.
  2. Zakres ujawnionych danych: W przekazanym dokumencie znajdowały się dane pozwalające na identyfikację konkretnej osoby oraz uzyskanie informacji o jej rozliczeniach związanych z lokalem. Były to: imię i nazwisko członka wspólnoty, adres, numer lokalu, kwoty dotyczące rozliczenia opłat za użytkowanie lokalu, numery liczników i ich odczyty, a także numer rachunku bankowego do wpłat. Choć nie były to dane szczególnej kategorii, organ nadzorczy uznał, że ich ujawnienie wiązało się z ryzykiem naruszenia praw lub wolności osoby fizycznej.
  3. Wyjaśnienia spółki obsługującej wspólnotę: Jako pierwszy wyjaśnień udzielał podmiot wykonujący czynności na rzecz wspólnoty mieszkaniowej. Prezes UODO zwrócił się do spółki z żądaniem wyjaśnień, aby ustalić, czy przeprowadzono analizę ryzyka naruszenia praw lub wolności osób fizycznych. Spółka wskazała jednak, że w jej ocenie nie doszło do naruszenia ochrony danych osobowych, ponieważ zarówno osoba, której dane dotyczyły, jak i odbiorca dokumentu byli właścicielami lokali w tej samej wspólnocie. W ocenie spółki z samego faktu członkostwa we wspólnocie miało wynikać uprawnienie do wglądu w dokumenty wytworzone przez wspólnotę.
  4. Wyjaśnienia administratora danych: Następnie Prezes UODO zażądał wyjaśnień od samej wspólnoty mieszkaniowej jako administratora danych osobowych. W odpowiedzi wspólnota wskazała, że nie zgłosiła naruszenia, ponieważ dokument zawierał jedynie tzw. dane zwykłe, a samo zdarzenie dotyczyło tylko jednego członka wspólnoty. Administrator uznał więc, że nie istniały podstawy do powiadomienia organu nadzorczego o naruszeniu.
  5. Prezes UODO zakwestionował wyjaśnienia: Po przeprowadzeniu postępowania administracyjnego organ nadzorczy jednoznacznie stwierdził, że w sprawie doszło do bezpodstawnego udostępnienia danych osobowych osobie nieuprawnionej, a tym samym do naruszenia ochrony danych osobowych. Prezes UODO podkreślił, że przepisy ustawy o własności lokali nie legitymizują dowolnego udostępniania danych osobowych członków wspólnoty mieszkaniowej. Prawo kontroli działalności zarządu czy dostęp do dokumentacji nie mogą być utożsamiane z prawem do przypadkowego otrzymywania korespondencji zawierającej dane innej osoby.
  6. Brak wniosku o udostępnienie danych: Organ wyraźnie zwrócił uwagę, że osoba, której udostępniono dane osobowe innego członka wspólnoty, w ogóle nie występowała o przekazanie jej tych danych. Udostępnienie nastąpiło więc bez związku z celami określonymi w ustawie o własności lokali. Oznacza to, że nie można było uznać, iż nastąpiło ono w ramach legalnego wykonywania praw właścicielskich. Było to po prostu skutkiem błędnego przekazania korespondencji.
  7. Obowiązek zgłoszenia naruszenia: Prezes UODO przypomniał, że zgodnie z art. 33 ust. 1 i 3 RODO obowiązek zgłoszenia naruszenia do organu nadzorczego powstaje wtedy, gdy występuje ryzyko naruszenia praw lub wolności osób fizycznych. Nie trzeba wykazywać, że szkoda już nastąpiła albo że negatywne konsekwencje się zmaterializowały. Wystarczy samo wystąpienie naruszenia, z którym wiąże się takie ryzyko. To bardzo istotne, ponieważ wielu administratorów błędnie utożsamia obowiązek zgłoszenia wyłącznie z przypadkami poważnego i już zrealizowanego uszczerbku.
  8. Interpretacja określenia „Mało prawdopodobne”: W decyzji podkreślono także, że przesłanka zwalniająca z obowiązku zgłoszenia powinna być interpretowana restrykcyjnie. „Małe prawdopodobieństwo” należy utożsamiać z sytuacją, w której można zasadnie przyjąć, że ryzyko naruszenia praw lub wolności osoby fizycznej praktycznie w ogóle się nie urzeczywistni. Organ zwrócił uwagę, że angielskie sformułowanie „unlikely” ma nawet mocniejsze znaczenie niż polskie „mało prawdopodobne” i odnosi się do czegoś raczej wątpliwego, niemal niemożliwego. W tej sprawie nie było podstaw do przyjęcia tak daleko idącego wniosku.
  9. Zgłaszanie naruszeń jako funkcja ochronna i nadzorcza: Organ przypomniał, że zgłaszanie naruszeń ochrony danych osobowych nie jest wyłącznie formalnością. To istotny element systemu ochrony danych, który pozwala Prezesowi UODO ocenić, czy administrator prawidłowo przeanalizował incydent, czy powinien zawiadomić również osobę, której dane dotyczą, oraz jakie środki zostały lub powinny zostać wdrożone w celu ograniczenia skutków zdarzenia i zapobiegania podobnym sytuacjom w przyszłości. Brak zgłoszenia naruszenia uniemożliwia organowi właściwą ocenę sytuacji i osłabia cały mechanizm ochronny przewidziany przez RODO.
  10. Zignorowanie obowiązku rzetelnej analizy ryzyka: Prezes UODO wyraźnie zaznaczył, że niedopuszczalne jest ignorowanie obowiązku przeprowadzenia rzetelnej analizy ryzyka tylko dlatego, że naruszenie dotyczyło jednej osoby. Taka argumentacja nie znajduje oparcia w RODO i pozostaje sprzeczna z podstawowym celem tego rozporządzenia, jakim jest ochrona praw i wolności osób fizycznych, a w szczególności prawa do ochrony danych osobowych. W efekcie organ stwierdził naruszenie art. 33 RODO i nałożył na wspólnotę mieszkaniową karę administracyjną w wysokości około 4 825 zł.

 

Źródło

Pełna treść decyzji organu nadzorczego

 

Aby uniknąć podobnych naruszeń, zalecamy:

  1. Wdrożenie formalnej procedury obsługi naruszeń ochrony danych osobowych: Każdy administrator, niezależnie od skali działalności, powinien posiadać jasną, udokumentowaną procedurę postępowania w przypadku podejrzenia naruszenia ochrony danych osobowych. Procedura ta powinna określać sposób identyfikacji incydentu, zasady oceny ryzyka oraz tryb podejmowania decyzji o zgłoszeniu naruszenia do Prezesa UODO.
  2. Rzetelna i udokumentowana analiza ryzyka: Ocena ryzyka nie może opierać się wyłącznie na subiektywnym przekonaniu administratora ani na liczbie osób, których dane dotyczą. Należy każdorazowo analizować zakres ujawnionych danych, możliwość identyfikacji osoby fizycznej oraz potencjalne konsekwencje, takie jak utrata kontroli nad danymi czy ryzyko nadużyć.
  3. Wyraźne rozgraniczenie ról administratora i podmiotu przetwarzającego: Administrator danych nie powinien bezkrytycznie opierać swoich decyzji na ocenie dokonanej przez podmiot przetwarzający. Nawet jeśli podmiot przetwarzający prowadzi bieżącą obsługę, odpowiedzialność za wypełnienie obowiązków z art. 33 RODO zawsze spoczywa na administratorze.
  4. Szkolenia i podnoszenie świadomości członków zarządów wspólnot mieszkaniowych: Członkowie zarządów wspólnot często pełnią swoje funkcje społecznie i bez specjalistycznej wiedzy z zakresu ochrony danych. Regularne szkolenia pozwalają zminimalizować ryzyko błędnych interpretacji przepisów i podjęcia decyzji sprzecznych z RODO.
  5. Przyjęcie zasady ostrożności w kontaktach z organem nadzorczym: W sytuacjach wątpliwych zgłoszenie naruszenia do Prezesa UODO powinno być traktowane jako standard dobrej praktyki, a nie jako zagrożenie. Zgłoszenie umożliwia organowi nadzorczemu ocenę sytuacji i często pozwala uniknąć poważniejszych konsekwencji w przyszłości.

 

Jeśli potrzebujesz wsparcia w zakresie ochrony danych osobowych, zapraszamy do kontaktu

    * dane obowiązkowe.
    Administratorem danych osobowych jest FORSAFE Sp. z o.o. z siedzibą w Łodzi, przy ul. Traktorowej 170. Dane osobowe będą przetwarzane wyłącznie w prawnie usprawiedliwionym celu administratora danych. Każdemu przysługuje prawo dostępu do treści swoich danych i prawo poprawiania danych. Podanie danych osobowych jest dobrowolne ale konieczne dla świadczenia usług.

    Obowiązek informacyjny RODO