Dane osobowe skarżących pod ochroną

Generalny Inspektor Ochrony Danych Osobowych po raz kolejny zwrócił uwagę zarządom spółdzielni mieszkaniowych na konieczność przestrzegania procedur związanych z ochroną danych osobowych lokatorów. Jedna ze spółdzielni wysłała do części mieszkańców pismo, w którym poinformowała o zaskarżeniu do sądu uchwały zebrania przedstawicieli w sprawie zbycia kilku działek gruntowych. Przy okazji ujawniła w nim dane osobowe skarżącego – podając jego imię, nazwisko oraz adres zamieszkania.

W skierowanych do GIODO wyjaśnieniach spółdzielnia wskazała, że przesyłając osobom zainteresowanym przeniesieniem własności lokali informację o zaskarżeniu uchwały, nie naruszyła przepisów ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm). Jej zdaniem każda z osób powiadomionych mogła bowiem przystąpić do toczącego się pomiędzy stronami postępowania, gdyż rozstrzygniecie sądu miało wpływ na zakres ich praw, a udzielenie takiej informacji było zgodne z art. 9 ustawy z 17 listopada 1964 r. – Kodeks postępowania cywilnego (Dz.U. z 1964 r. nr 43, poz. 296).

Z argumentacją spółdzielni nie zgodził się GIODO. Stwierdził, że spółdzielnia, jako administrator danych, może przetwarzać dane osobowe osób fizycznych tylko wtedy, gdy osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. Innymi okolicznościami usprawiedliwiającymi takie działanie może być m.in. potrzeba zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.

GIODO nie zaprzeczył, że przepisy pozwalają spółdzielni przetwarzać dane członka w celu realizacji uprawnień i obowiązków wykonywanych dla potrzeb postępowania cywilnego prowadzonego w związku z zaskarżeniem przez niego uchwały. Zaznaczył jednak, że stronami tego postępowania były spółdzielnia oraz skarżąca uchwalę osoba, a nie osoby zainteresowane przeniesieniem własności lokali. Osoby te w stosunku do postępowania były bez wątpienia osobami trzecimi. Oznacza to, że art. 9 k.p.c., na który powołuje się spółdzielnia, stanowi o jawności postępowania cywilnego, jednakże w stosunku do stron postępowania, a nie osób trzecich – w tej sprawie innych członków spółdzielni.

Inna spółdzielnia naruszyła z kolei przepisy o ochronie danych osobowych poprzez upublicznienie na tablicach ogłoszeń na klatkach schodowych informacji dotyczących umowy zakupu części powierzchni strychu zawartej z jednym ze spółdzielców. Była to informacja, którą skierowano wyłącznie do członków spółdzielni, tymczasem miała do niej dostęp nieograniczona liczba osób. GIODO wytknął spółdzielni, że nie wywiązała się, jako administrator danych, z obowiązku zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych i brak zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (np. poprzez wrzucenie pisma do skrzynek na listy).

Zakres informacji odnoszących się do danych osobowych członków spółdzielni, do których dostęp posiadają wszyscy członkowie spółdzielni, jest określony w art. 30 ustawy z 16 września 1982 r. – Prawo spółdzielcze (Dz.U. z 2003 r. nr 188, poz. 1848). Zgodnie z nim zarząd spółdzielni prowadzi rejestr członków zawierający ich podstawowe dane osobowe, których zakres może zostać poszerzony przez statut. Członek spółdzielni, jego małżonek i wierzyciel członka lub spółdzielni ma prawo przeglądać rejestr. Działania spółdzielni można byłoby więc uznać za legalne, gdyby statut spółdzielni określał dodatkowo, iż w rejestrze mogą znajdować się także adnotacje dotyczące zaskarżania uchwał do sądu przez członków (wymienianych z imienia i nazwiska) lub też inne dane.