Baza wiedzy

22 marca 2019 r. w zabytkowej siedzibie Warszawskiego Domu Technika NOT odbyło się drugie spotkanie przedstawicieli branży spółdzielni mieszkaniowych dotyczące omówienia zagadnień związanych z ideą opracowania kodeksu postępowania w zakresie stosowania RODO.

W odróżnieniu od pierwszego spotkania, które odbyło się miesiąc wcześniej i miało charakter czysto informacyjny, tym razem przedstawiłem konkretną koncepcję opracowania kodeksu oraz zaproponowałem wstępny zarys zakresu zagadnień jaki powinien regulować. Uczestnicy spotkania wyrazili pełną akceptację przedstawionej propozycji i co szczególnie istotne – deklarację chęci podjęcia dalszych działań w celu jego opracowania. Potwierdzeniem tego były nie tylko żywe dyskusje podczas samego spotkania, ale przede wszystkim podpisanie listu intencyjnego w zakresie opracowania kodeksu postępowania w obszarze ochrony danych osobowych dla branży spółdzielni mieszkaniowych.

Tym samym zostało potwierdzone, że nasza kancelaria opracuje kodeks branżowych dla spółdzielni mieszkaniowych.

Niniejszy artykuł w pełnej wersji został  pierwotnie opublikowany w numerze 3/2019 miesięcznika "Domy spółdzielcze", który współpracuje z kancelarią ODOekspert w zakresie projektu opracowania kodeksu branżowego w zakresie stosowania RODO dla spółdzielni mieszkaniowych.

Wstępny zarys kodeksu postępowania

Przedstawiona propozycja opracowania kodeksu postępowania skupia się na 11 obszarach (rozdziałach). Każdy z obszarów będzie następnie rozwijany w postaci podrozdziałów, które w sposób szczegółowy będą stanowiły doprecyzowanie konkretnego zagadnienia. Co istotne, obok konkretnych wytycznych planujemy opracować również przykładowe dokumenty oraz rozwiązania, które każda spółdzielnia stosująca kodeks będzie mogła wykorzystać w swojej działalności.

Konstrukcja kodeksu ma z jednej strony odzwierciedlać układ przedstawiony w samym RODO, ale również uwzględniać cykl życia danych osobowych w organizacji. Dane osobowe stanowią bowiem szczególny rodzaj informacji, które jednak jak każdy inny rodzaj informacji, mają swój cykl życia (od ich powstania lub pierwszego pozyskania, przez wykorzystanie w określonych celach, skończywszy na archiwizacji i następnie usunięciu). Poniżej przedstawiam propozycję wspomnianych jedenastu rozdziałów tematycznych oraz krótkie przedstawienie każdego z nich.

Rozdział I

Pierwszy z wymienionych rozdziałów ma skupiać się na takich zagadnieniach jak:

• cel opracowania kodeksu,
• stosowane definicje,
• terytorialny zakres stosowania,
• operacje przetwarzania danych objęte kodeksem, a także kategorie administratorów i podmiotów przetwarzających,
• zasady przystępowania do kodeksu postępowania.

Będzie to więc część odnosząca się do ram stosowania kodeksu, jego właściwości terytorialnej, przedmiotowej (zakres operacji przetwarzania danych) oraz podmiotowej (podmioty, które mogą przystąpić do stosowania kodeksu).

Rozdział II

Druga część kodeksu ma zawierać wytyczne dotyczące różnych możliwych podstaw prawnych przetwarzania danych.

Zauważamy istotne problemy w definiowaniu przez spółdzielnie mieszkaniowe podstaw, na których mogą opierać przetwarzanie danych osobowych w poszczególnych celach. Nie pomagają w tym również ustawy sektorowe (takie jak prawo spółdzielcze czy ustawa o spółdzielniach mieszkaniowych), które po ostatnich nowelizacjach wygenerowały dodatkowe wątpliwości w tym zakresie. W praktyce pojawiają się również szczególne przypadki związane z potrzebą przetwarzania danych osobowych, chociażby w zakresie stosowania monitoringu wizyjnego czy też przetwarzania danych osobowych „wrażliwych” (np. o stanie zdrowia) w ramach rozpatrywania próśb mieszkańców o rozłożenie płatności na raty zadłużeń czynszowych.

Z tego też względu niniejsza część kodeksu będzie odnosiła się do takich zagadnień jak:

• podstawy prawne przetwarzania danych,
• prawnie uzasadnione interesy w przetwarzaniu danych,
• szczególne przypadki przetwarzania danych (np. monitoring wizyjny).

Rozdział III

Rozdział trzeci będzie odnosić się do pozostałych (poza legalnością) zasad przetwarzania danych osobowych, wskazanych w art. 5 RODO. Przede wszystkim chodzi o zasadę ograniczenia celu przetwarzania danych, a także ich adekwatności (uzasadnionego zakresu zbieranych danych), czy też zasady zgodnie z którą należy dbać o zgodność przetwarzanych danych ze stanem faktycznym (aktualność).

Na tym jednak nie koniec. Jedną z kluczowych zasad jest również reguła czasowości przetwarzania danych, a więc norma na podstawie której powinny zostać określone w każdej spółdzielni wymagania w zakresie okresów archiwizacji dokumentacji zawierającej dane osobowe, przy czym mamy tu na myśli zarówno dokumentację papierową jak i elektroniczną. Z kolei upłynięcie przyjętych okresów archiwizacji konkretnych dokumentów powinno prowadzić do ich ostatecznego zniszczenia.

Elementy przewidziane w tej części kodeksu:

• ograniczenie celu i zakresu przetwarzanych danych,
• aktualność danych,
• ograniczenie przechowywania danych – wytyczne w zakresie archiwizacji i usuwania danych osobowych.

Rozdział IV

Rozdział IV będzie się odnosić do jednego z kluczowych wymagań RODO, mianowicie dotyczącego zasad komunikacji z osobami, których dane podlegają przetwarzaniu. Mam tu na myśli politykę informacyjną wobec podmiotów danych, realizowaną w zakresie określonym w art. 13 i 14 RODO oraz zgodnie z zasadami wynikającymi z art. 12 rozporządzenia. Celem będzie wypracowanie wytycznych dotyczących rekomendowanych zasad komunikacji w zależności od kategorii osób, których spółdzielnia przetwarza dane, a także możliwych form w jakich się z nimi komunikuje (np. w drodze pisemnej, mailowo, poprzez stronę internetową, poprzez konto internetowe z dostępem do informacji o płatnościach itp.).

Omawiana część kodeksu wskaże również spółdzielniom wytyczne dotyczące zasad prawidłowej realizacji wymagań związanych z reagowaniem na żądania zgłaszane przez osoby fizyczne, które dotyczą przetwarzania ich danych osobowych. Pojawią się więc rekomendacje wskazujące jak w określonych sytuacjach reagować na żądanie usunięcia danych osobowych, udostępnienia kopii danych, czy też na zgłoszony sprzeciw na przetwarzanie danych osobowych i inne. Zostaną opracowane wzorcowe szablony odpowiedzi, aby zapewnić odpowiednią standaryzację komunikacji realizowanej wobec osób fizycznych.

Elementy przewidziane w niniejszym rozdziale kodeksu:

• polityka informacyjna wobec podmiotów danych związana ze zbieraniem danych osobowych,
• zasady realizacji uprawnień podmiotów danych związanych z przetwarzaniem ich danych osobowych i związane z tym reguły komunikacji.

Rozdział V

Rozdział V będzie stanowić zbiór wytycznych związanych z realizacją bardzo trudnych wymagań odnoszących się do uwzględniania ochrony prywatności w planowanych operacjach przetwarzania danych i docelowych rozwiązaniach związanych z tymi operacjami jak również dotyczących stosowania klauzuli generalnej z art. 24 RODO i związanej z nią potrzebą przeprowadzania analizy ryzyka, a także wprowadzania rozwiązań (w tym polityk ochrony danych) adekwatnych do specyfiki przetwarzania danych osobowych w konkretnej spółdzielni mieszkaniowej.

Zostaną także opracowane wytyczne i branżowe standardy związane z przekazywaniem danych osobowych w ramach współpracy z zewnętrznymi podmiotami, w tym dostawcami usług na rzecz spółdzielni, z którymi powinny być zawarte umowy powierzenia przetwarzania danych osobowych. W związku z tym zostanie przygotowany również wzorzec standardowej umowy powierzenia przetwarzania danych osobowych, rekomendowanej do stosowania w ramach kodeksu.

Nie zabraknie także wytycznych odnoszących się do zasad dokumentowania prowadzonych operacji przetwarzania danych osobowych w postaci rejestru czynności przetwarzania danych oraz rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO.

Obszar zagadnień regulowanych przez omawiany rozdział kodeksu:

• podstawowe obowiązki w zakresie zapewnienia odpowiedniego stopnia ochrony oraz rozliczalności operacji przetwarzania danych,
• polityki ochrony danych,
• planowanie nowych operacji przetwarzania danych (privacy by design oraz privacy by default) oraz ocena skutków dla ochrony danych (Privacy Impact Assessment),
• zasady współpracy z podmiotami przetwarzającymi dane,
• prowadzenie rejestru czynności przetwarzania danych oraz rejestru kategorii czynności przetwarzania.

Rozdział VI

Rozdział VI regulować będzie materię związaną ze stosowaniem wymaganych na gruncie RODO środków bezpieczeństwa. Pojawią się więc szczegółowe wytyczne dotyczące zasad przeprowadzania analizy ryzyka i ustalania na podstawie jej wyników właściwych zabezpieczeń czy też opis rekomendowanych środków bezpieczeństwa traktowanych jako absolutne minimum wymagane do wprowadzenia. Pojawią się również wytyczne związane z oceną w jakich przypadkach wymagane jest powołanie w spółdzielni mieszkaniowej Inspektora Ochrony Danych, a w jakich tego typu działanie ma charakter fakultatywny. W tym zakresie będziemy starali się doprecyzować bardzo ogólne kryteria wskazane w RODO, które są niezrozumiałe dla większości spółdzielców.

Zakres tematyczny regulowany przez rozdział VI:

• analiza ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia,
• zasada adekwatności w doborze środków bezpieczeństwa oraz pozostałe kryteria doboru,
• środki bezpieczeństwa o charakterze organizacyjnym i technicznym,
• Inspektor Ochrony Danych.

Rozdział VII

Rozdział VII odnosić się będzie do zagadnień związanych z reagowaniem na naruszenia ochrony danych osobowych w spółdzielniach mieszkaniowych. Problem z tym zagadnieniem jest taki, że w zasadzie nie istnieją organizacje, w których nie występują naruszenia, natomiast zdecydowana większość organizacji nie potrafi na nie prawidłowo reagować lub nie reaguje wcale. Artykuły 33 i 34 RODO wskazują w tym zakresie bardzo wyraźnie odpowiedzialność spółdzielni jako administratora danych za monitorowanie naruszeń, a także reagowanie na nie oraz przeciwdziałanie ich wystąpieniu w przyszłości. W ramach reagowania na naruszenia niezbędna może okazać się komunikacja z organem nadzoru, a w skrajnych przypadkach również poinformowanie o zaistniałym naruszeniu wszystkich osób, których ono dotyczy. Większość spółdzielni ma poważne problemy w realnym wdrożeniu tych wymagań.

Z tego też względu kodeks będzie regulować takie zagadnienia jak:

• wymagania w zakresie monitorowania naruszeń ochrony danych i przeciwdziałania ich skutkom,
• klasyfikacja naruszeń ochrony danych,
• zasady zgłaszania naruszeń ochrony danych organowi nadzoru oraz dalsza współpraca,
• zasady komunikacji z podmiotem danych na temat naruszenia ochrony danych.

Rozdział VIII

Rozdział VIII regulować będzie pozostałe zagadnienia związane z ochroną danych osobowych, które nie znalazły się w poprzednich częściach kodeksu. Na chwilę obecną takimi obszarami są m.in. kwestie związane z przekazywaniem danych osobowych poza Europejski Obszar Gospodarczy (transfer danych do tzw. państw trzecich) oraz zasady dotyczące możliwych form pozasądowego rozpatrywania sporów związanych z przetwarzaniem danych osobowych, które mogą zaistnieć na linii spółdzielnia mieszkaniowa – podmiot danych.

Rozdział IX

Rozdział IX odnosić się będzie do roli podmiotu monitorującego, a więc instytucji uprawnionej na gruncie przepisów RODO oraz polskiej ustawy o ochronie danych osobowych z 10 maja 2018 r. do nadzorowania prawidłowości przestrzegania wymagań kodeksu przez spółdzielnie mieszkaniowe, które zadeklarują chęć jego stosowania.

Rozdział ten będzie więc regulować takie obszary jak:

• wymagania wobec podmiotu monitorującego,
• zasady wyłaniania podmiotu monitorującego,
• zasady sprawowania nadzoru nad zgodnością przestrzegania kodeksu przez podmiot monitorujący.

Rozdział X

Rozdział X ma być poświęcony kwestiom samooceny spółdzielni mieszkaniowych w zakresie stosowania wymagań kodeksu, a także zapewniania zasady transparentności w jego przestrzeganiu. Spółdzielnie powinny bowiem monitorować czy i na ile stosują się do wytycznych wprowadzonych w ramach kodeksu postępowania. Mogą to realizować indywidualnie i we własnym zakresie, ale również korzystać z wiedzy pozyskiwanej ze swojej branży, w tym również innych spółdzielni, które przystąpiły do stosowania kodeksu. Z tego też względu propozycje obejmują opracowanie takich zagadnień jak:

• okresowe przeglądy stosowania kodeksu i audyty,
• Forum Wymiany Wiedzy Spółdzielni Mieszkaniowych,
• inne formy samooceny.

W szczególności zaproponowana przeze mnie podczas spotkania 22 marca wymiana doświadczeń w postaci Forum Wymiany Wiedzy Spółdzielni Mieszkaniowych może stanowić ciekawą platformę wymiany praktycznej wiedzy w zakresie stosowania przepisów z zakresu ochrony danych osobowych przez poszczególnych członków kodeksu branżowego. Propozycja ta będzie rozwijana na kolejnych spotkaniach, które będą już miały charakter spotkań roboczych.

Rozdział XI

Ostatni z zaplanowanych, rozdział XI ma określać mechanizmy okresowych przeglądów kodeksu pod kątem jego aktualności z wymaganiami prawnymi, ale również potrzebami branży czy też rozwojem nowych technologii związanych z przetwarzaniem danych osobowych. W związku z tym przewidujemy zarówno zaplanowane przeglądy okresowe jak również „wymuszone” zmianami wynikającymi z bieżącej sytuacji natury prawnej. Obszary planowane do uregulowania w niniejszym rozdziale:

• zasady dokonywania przeglądu kodeksu,
• zasady wprowadzania zmian do kodeksu i ich zatwierdzania przez organ nadzoru.

Zapraszamy do kontaktu wszystkie spółdzielnie zainteresowane ideą opracowania kodeksu branżowego

Jesteśmy otwarci na Państwa sugestie dotyczące docelowego kształtu kodeksu postępowania i zagadnień, które powinien regulować. Czekamy na Państwa głos w dyskusji.

Wszelkie uwagi można kierować na adres: j.wezgraj@odoekspert.pl