RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, obowiązuje również w spółdzielniach mieszkaniowych. Oznacza to, że zarząd spółdzielni, rada nadzorcza oraz administracja osiedla muszą traktować dane lokatorów (w tym członków spółdzielni i najemców) zgodnie z zasadami ochrony danych osobowych. Dane osobowe to wszelkie informacje pozwalające zidentyfikować osobę fizyczną, np. imię i nazwisko, adres lokalu, numer PESEL, numer telefonu, adres e‑mail, informacje o zadłużeniu, a nawet nagrania z monitoringu, jeżeli umożliwiają rozpoznanie konkretnej osoby.
Podstawowa zasada RODO brzmi: dane można ujawnić tylko wtedy, gdy istnieje wyraźna podstawa prawna. Taką podstawą może być: zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO), przepis prawa nakazujący lub dopuszczający ujawnienie danych (art. 6 ust. 1 lit. c), wykonanie umowy (np. umowy najmu lub członkostwa w spółdzielni – art. 6 ust. 1 lit. b), prawnie uzasadniony interes administratora lub osoby trzeciej (art. 6 ust. 1 lit. f), przy czym ten interes nie może naruszać praw i wolności lokatora. Spółdzielnia jest administratorem danych, czyli podmiotem decydującym o celach i sposobach przetwarzania danych lokatorów, a więc odpowiada za legalność ich ujawniania.
Szczególną rolę odgrywa ustawa z dnia 15 grudnia 2000 r. o spółdzielniach mieszkaniowych. Zgodnie z art. 8¹ tej ustawy członek spółdzielni ma prawo wglądu do dokumentów spółdzielni, w tym do uchwał, protokołów, umów zawieranych przez spółdzielnię, a także do otrzymywania kopii tych dokumentów. To uprawnienie często wchodzi w kolizję z ochroną danych osobowych innych lokatorów. W praktyce oznacza to, że spółdzielnia musi tak organizować udostępnianie dokumentów, aby z jednej strony realizować prawo członka do kontroli działalności spółdzielni, z drugiej – nie ujawniać więcej danych osobowych innych osób, niż jest to niezbędne do realizacji tego celu.
Kiedy spółdzielnia może ujawnić dane lokatora innym mieszkańcom? Po pierwsze, gdy wynika to wprost z przepisów prawa. Przykładowo, w orzecznictwie i praktyce przyjmuje się, że członkowie spółdzielni mają prawo znać dane członków organów spółdzielni (zarządu, rady nadzorczej), kandydatów do tych organów, a także osób, których dotyczą uchwały walnego zgromadzenia w zakresie spraw spółdzielczych (np. wykluczenie członka). Wynika to z potrzeby transparentności działania spółdzielni i możliwości kontroli jej organów. Dane te mogą obejmować imię, nazwisko, numer lokalu, a czasem także adres korespondencyjny, jeżeli jest to konieczne do realizacji praw członkowskich.
Po drugie, dopuszczalne jest ujawnienie danych lokatora, jeżeli jest to niezbędne do dochodzenia roszczeń lub obrony przed roszczeniami. Przykładowo, spółdzielnia może ujawnić dane zadłużonego lokatora swojemu pełnomocnikowi (radcy prawnemu, adwokatowi) w celu wytoczenia powództwa o zapłatę. Może także przekazać dane komornikowi w toku egzekucji. Podstawą będzie tu zarówno przepis prawa (Kodeks postępowania cywilnego), jak i prawnie uzasadniony interes spółdzielni w dochodzeniu należności. Jednakże publikowanie list dłużników na klatkach schodowych lub w internecie co do zasady narusza RODO – organy nadzorcze (w tym Prezes UODO) wielokrotnie wskazywały, że taki sposób „piętnowania” dłużników jest nieproporcjonalny i narusza zasadę minimalizacji danych.
Po trzecie, ujawnienie danych może być uzasadnione prawnie uzasadnionym interesem innych mieszkańców, np. w sytuacjach konfliktów sąsiedzkich, naruszeń porządku domowego czy bezpieczeństwa. Tu jednak konieczny jest bardzo ostrożny, indywidualny test równowagi interesów: czy interes osoby żądającej danych (np. chce wnieść prywatny akt oskarżenia za uporczywe nękanie) przeważa nad prawem do prywatności lokatora? W praktyce spółdzielnie często odmawiają wydania danych innym lokatorom, wskazując, że osoba zainteresowana może dochodzić ich ujawnienia w drodze postępowania karnego lub cywilnego (np. poprzez wniosek do sądu o zobowiązanie spółdzielni do wskazania danych). Taka praktyka jest co do zasady bezpieczniejsza z punktu widzenia RODO.
Kiedy spółdzielnia nie powinna ujawniać danych lokatora? Po pierwsze, gdy żądanie pochodzi od innego mieszkańca, który nie wykazuje żadnej konkretnej podstawy prawnej ani interesu prawnego, a chce jedynie „wiedzieć, kto mieszka obok” albo „kto jest dłużnikiem”. Imię i nazwisko lokatora, numer telefonu czy adres e‑mail nie mogą być ujawniane na podstawie samej ciekawości sąsiada. Po drugie, niedopuszczalne jest udostępnianie danych osobom trzecim w celach marketingowych bez wyraźnej, dobrowolnej zgody lokatora (np. przekazywanie danych firmom remontowym, deweloperom, dostawcom usług). Po trzecie, spółdzielnia nie powinna udostępniać szczególnych kategorii danych (tzw. danych wrażliwych, np. informacje o stanie zdrowia, niepełnosprawności, wyznaniu) bez wyraźnej podstawy prawnej – co do zasady takie dane w ogóle nie powinny być gromadzone, chyba że wynika to z odrębnych przepisów (np. przy przydziale lokali socjalnych przez gminę).
Osobną kategorią jest udostępnianie danych organom publicznym: policji, prokuraturze, sądom, organom podatkowym, gminie. Co do zasady spółdzielnia ma obowiązek współpracować z tymi organami i udostępniać dane na ich żądanie, jeżeli żądanie jest oparte na przepisie prawa i odpowiednio uzasadnione. Przykładowo, policja może żądać danych lokatora w związku z prowadzonym postępowaniem, a gmina – w celu ustalenia podatku od nieruchomości czy opłat za gospodarowanie odpadami. Spółdzielnia ma prawo żądać od organu wskazania podstawy prawnej i zakresu żądanych danych; nie musi (a wręcz nie powinna) udostępniać danych „na wszelki wypadek” w szerszym zakresie niż wynika to z wniosku organu.
W praktyce istotnym problemem jest udostępnianie danych w ramach codziennego funkcjonowania osiedla – np. na listach wywieszanych na klatkach schodowych, w korespondencji zbiorczej, na stronach internetowych spółdzielni. Zgodnie z zasadą minimalizacji danych (art. 5 ust. 1 lit. c RODO) spółdzielnia powinna ograniczać zakres ujawnianych informacji do niezbędnego minimum. Przykładowo, informacja o planowanym wyłączeniu wody może zawierać numer budynku i klatki, ale nie musi zawierać imion i nazwisk lokatorów. Z kolei zawiadomienia o zaległościach czynszowych powinny być kierowane indywidualnie do dłużników, a nie publikowane publicznie. W przypadku protokołów z walnych zgromadzeń dopuszczalne jest zamieszczanie imion i nazwisk osób zabierających głos, ale już szczegółowe dane kontaktowe czy informacje o sytuacji osobistej powinny być ograniczane.
Ważnym zagadnieniem jest dostęp do danych przez członków organów spółdzielni – rady nadzorczej, komisji rewizyjnych, pełnomocników walnego zgromadzenia. Osoby te, wykonując swoje funkcje, mają prawo dostępu do danych lokatorów w zakresie niezbędnym do wykonywania nadzoru i podejmowania decyzji (np. przy rozpatrywaniu skarg, kontrolowaniu zadłużeń, zatwierdzaniu umów). Nie oznacza to jednak dowolności – członkowie organów również są zobowiązani do zachowania poufności i przestrzegania RODO. Dobrą praktyką jest zawieranie z nimi stosownych upoważnień do przetwarzania danych oraz szkoleń z zakresu ochrony danych osobowych.
Nie można pominąć kwestii monitoringu wizyjnego na terenie spółdzielni. Nagrania z kamer, na których można zidentyfikować osoby, są danymi osobowymi. Spółdzielnia może je udostępnić policji, prokuraturze lub sądowi w związku z postępowaniem karnym lub cywilnym. Natomiast udostępnianie nagrań innym lokatorom jest co do zasady niedopuszczalne, chyba że istnieje wyraźna podstawa prawna lub zgoda wszystkich osób utrwalonych na nagraniu (co w praktyce jest bardzo trudne). W razie szkody (np. zarysowanie samochodu na parkingu) lokator może zwrócić się do spółdzielni o zabezpieczenie nagrania i przekazanie go organom ścigania, ale niekoniecznie otrzyma kopię do własnej dyspozycji.
Dla mieszkańców i zarządów spółdzielni kluczowe są praktyczne wskazówki. Po pierwsze, każde żądanie ujawnienia danych powinno być analizowane indywidualnie pod kątem: kto żąda danych, w jakim celu, na jakiej podstawie prawnej i jaki jest zakres żądanych informacji. Po drugie, spółdzielnia powinna posiadać wewnętrzną politykę ochrony danych osobowych, uwzględniającą specyfikę jej działalności (dostęp do dokumentów członkowskich, obsługa zadłużeń, monitoring, współpraca z organami). Po trzecie, warto szkolić pracowników administracji i członków organów z zasad RODO, aby unikać zarówno nadmiernego ujawniania danych, jak i nieuzasadnionego odmawiania dostępu tam, gdzie prawo go gwarantuje (np. członkom spółdzielni w ramach art. 8¹ ustawy o spółdzielniach mieszkaniowych).
Podsumowując, spółdzielnia może ujawniać dane lokatorów, gdy ma ku temu wyraźną podstawę prawną: przepis ustawy, zgodę lokatora, konieczność wykonania umowy lub ochrony uzasadnionego interesu (swojego lub innego mieszkańca), przy zachowaniu zasady proporcjonalności i minimalizacji danych. Nie może natomiast ujawniać danych „dla wygody” lub z ciekawości innych mieszkańców, ani stosować praktyk piętnujących (np. publiczne listy dłużników). W razie wątpliwości bezpieczniej jest odmówić ujawnienia danych i wskazać osobie zainteresowanej drogę sądową lub postępowanie przed organami ścigania. Dla lokatorów oznacza to, że mają prawo oczekiwać ochrony swojej prywatności, ale jednocześnie muszą liczyć się z tym, że w granicach prawa ich dane mogą być ujawniane w ramach funkcjonowania spółdzielni, dochodzenia roszczeń i zapewnienia bezpieczeństwa na osiedlu.
