RODO w firmie

Dr Edyta Bielak-Jomaa, Prezes Urzędu Ochrony Danych Osobowych, zaapelowała do ministra infrastruktury i rozwoju o podjęcie działań, które doprowadzą do zmiany brzmienia art. 30 ustawy z 6 września 1982 r. – Prawo spółdzielcze. W jej ocenie przepis trzeba dostosować do wymogów określonych w ogólnym rozporządzeniu o ochronie danych (RODO). Zwróciła się także do spółdzielni, za pośrednictwem organizacji je zrzeszających, aby przestrzegały RODO.

Problemy z interpretacją i praktycznym stosowaniem art. 30

Prezes UODO zwraca uwagę na fakt, że nie zawsze powinno dochodzić do udostępniania rejestru z danymi wszystkich członków spółdzielni osobom wnioskującym. Udostępnienie danych (informacji z rejestru) powinno następować na rzecz podmiotów, które wykażą swój interes oraz w zakresie odpowiednim do statusu wnioskodawcy.

Jak wyjaśnia dr Edyta Bielak-Jomaa w piśmie skierowanym 30 stycznia 2019 r. do ministra infrastruktury i rozwoju, Jerzego Kwiecińskiego: wskazane w art. 30 prawa spółdzielczego podmioty mają różny interes w przeglądaniu rejestru członków, gdyż inny jest cel wierzyciela członka lub spółdzielni, a inny członka oraz jego małżonka. W jej ocenie nie powinno się stosować automatyzmu w dostępie do danych, natomiast należy rozważyć, w jakim celu oraz zakresie małżonek członka spółdzielni miałby dostęp do rejestru członków spółdzielni.

Jak podkreśla Prezes UODO: status małżonka może być różny, np. ze względu na separację, rozdzielność majątkową lub toczące się postępowanie rozwodowe. Doprecyzowania zatem wymaga status małżonka członka spółdzielni oraz cel, w jakim osoba ta miałby dostęp do rejestru członków spółdzielni. Dlatego jej zdaniem, przepisy art. 30 ustawy Prawo spółdzielcze należy interpretować uwzględniając przepisy i zasady wynikające z RODO.

Zgodnie z art. 30 ustawy Prawo spółdzielcze krąg podmiotów, którym rejestr może być udostępniany, jest ujęty w sposób umożliwiający wgląd w rejestry również osobom postronnym. Prezes UODO uważa za zasadne analizowanie przez spółdzielnie w sposób indywidulany dostępu poszczególnych osób do rejestru i udzielanie tego dostępu z uwzględnieniem RODO. Chodzi o to, by nie dochodziło do udostępniania danych osobowych zawartych w rejestrze osobom do tego nieuprawnionym.

Dlatego Prezes UODO rekomenduje spółdzielniom mieszkaniowym traktowanie w odmienny sposób dwóch grup interesariuszy korzystających z rejestru, tj.:
– członkowie spółdzielni – powinni mieć dostęp do całości rejestru bez wykazywania interesu,
– pozostałe osoby wymienione w przepisie art. 30 ustawy Prawo spółdzielcze – tylko gdy wykażą, że dane są im niezbędne. 

Propozycja rozwiązania problemu

Prezes UODO postuluje, aby doprecyzować art. 30 ustawy Prawo spółdzielcze poprzez wskazanie, że przeglądanie rejestru spółdzielni przysługuje wskazanym w tym przepisie osobom „w zakresie niezbędnym do realizacji celów osób wnioskujących o udostępnienie informacji”. W ten sposób można zapewnić zgodność treści art. 30 z zasadą ograniczenia celu przetwarzania danych, która wynika z RODO. Mowa tu o zasadzie określonej w art. 5 ust. 1 lit b), w związku z art. 6 ust. 3 RODO regulującym zgodność przetwarzania danych z prawem. Wspomniany art. 6 ust. 3 RODO mówi, że podstawa przetwarzania, o którym mowa w ust. 1 lit. c) i e), musi być określona w prawie Unii lub w prawie państwa członkowskiego, któremu podlega administrator. Kolejno, z przepisu tego wynika, że cel przetwarzania musi być określony w tej podstawie prawnej. 

Ponadto w opinii Prezes UODO rozważenia wymaga także doprecyzowanie art. 30 poprzez wskazanie, jakie kategorie informacji o charakterze osobowym mogą być regulowane w statucie spółdzielni, tak, by wynikało to z przepisu prawa powszechnie obowiązującego, którego respektowanie następowałoby następnie w treści statutu spółdzielni. 

Dr Edyta Bielak-Jomaa przypomina, że spółdzielnia zobowiązana jest do dołożenia wszelkich starań, aby dane osobowe jej członków były właściwie zabezpieczone oraz niepozyskiwane i nieprzetwarzane w sposób nadmiarowy i zbędny. Jako administrator powinna również zadbać o udostępnienie danych zgodnie z zasadami przetwarzania danych, a mianowicie: zasadą legalizmu, zasadą minimalizacji danych oraz zasadą ograniczenia celu przetwarzania.

Źródło: https://uodo.gov.pl/pl/138/702