Organ nadzorczy wystąpił do resortu rozwoju o doprecyzowanie przepisów o udostępnianiu rejestrów członków spółdzielni. To niezbędne, by zmienić praktykę i dostosować regulacje do RODO
Prezes Urzędu Ochrony Danych Osobowych (UODO) dr Edyta Bielak-Jomaa wystąpiła do Jerzego Kwiecińskiego, ministra inwestycji i rozwoju, o doprecyzowanie art. 30 ustawy – Prawo spółdzielcze (dalej: p.s.), aby był on zgodny z RODO – dowiedział się DGP. Instrukcje co do prawidłowego przestrzegania przepisów o ochronie danych osobowych przy udostępnianiu rejestrów członków spółdzielni zostały również przesłane do Związku Rewizyjnego Spółdzielni Mieszkaniowych RP oraz Krajowej Rady Spółdzielczej. Mało tego, w planie kontroli UODO na 2019 rok pojawiła się pozycja sprawdzenia zabezpieczenia rejestrów w spółdzielniach mieszkaniowych. A wszystko to w reakcji na naszą niedawną publikację dotyczącą potencjalnych naruszeń ochrony danych osobowych w spółdzielniach.
Przypomnijmy: 13 listopada w tygodniku Firma i Prawo informowaliśmy, że spółdzielnie – w sprzeczności z RODO – udostępniają całe rejestry swoich członków, a w nich m.in. ich imiona i nazwiska, miejsce zamieszkania (w odniesieniu do członków będących osobami prawnymi – nazwę i siedzibę), wysokość zadeklarowanych i wniesionych udziałów, wysokość wniesionych wkładów i ich rodzaj (jeżeli są to wkłady niepieniężne) oraz datę przyjęcia w poczet członków, datę wypowiedzenia członkostwa i jego ustania, a także inne dane przewidziane w statucie spółdzielni.
Spółdzielnie – zgodnie z art. 30 prawa spółdzielczego – mogą udostępniać te rejestry małżonkom i wierzycielom spółdzielców. I tak też robią. Problem jednak w tym, że w praktyce udostępniają im pełen rejestr – gdzie jest dostęp do danych nie tylko dłużników czy rodziny, ale też osób postronnych. Taka praktyka zarządów spółdzielni, mimo że wynika z literalnej interpretacji przepisu, jest zdaniem ekspertów niedopuszczalna. Kłóci się bowiem z wynikającymi z RODO zasadami: minimalizacji przetwarzania danych (art. 5 ust. 1 lit. c RODO) oraz ograniczenia celu przetwarzania danych (art. 5 lit. b RODO). Wszyscy są zgodni: konieczna jest interwencja prezesa Urzędu Ochrony Danych Osobowych. I ten po publikacji DGP ją podjął.

Urząd dostrzegł problem i…

Organ nadzorczy dostrzegł niespójność art. 30 p.s. z unijnym rozporządzeniem o ochronie danych osobowych i w przesłanej DGP dokumentacji wskazuje, że podmioty wymienione w tym przepisie mają różny interes w przeglądaniu rejestru członków.
– Status małżonka może być różny, np. ze względu na separację, rozdzielność majątkową lub toczące się postępowanie rozwodowe. Nie powinno się zatem stosować automatyzmu w dostępie do danych, tylko rozważyć, w jakim celu oraz zakresie małżonek członka spółdzielni miałby dostęp do rejestru członków spółdzielni – wskazuje prezes UODO. I dodaje, że doprecyzowania w przepisach wymaga status małżonka członka spółdzielni oraz cel, w jakim osoba ta miałaby dostęp do rejestru członków spółdzielni.
Prezes organu nadzorczego sugeruje też, aby poprawić ustawę – Prawo spółdzielcze w zakresie dostępu wierzycieli do rejestru. W świetle RODO udostępnianie danych osobowych jest dopuszczalne bowiem w sytuacji, kiedy jest to niezbędne w celu spełnienia obowiązku wynikającego z przepisów prawa lub zrealizowania uprawnienia (art. 6 ust. 1 lit. c RODO).
Potwierdzają to także eksperci. – Wierzyciel może mieć oczywiście interes prawny w uzyskaniu dostępu do danych z rejestru członków dotyczących swojego dłużnika, natomiast nie do danych innych osób zawartych w tym rejestrze – tłumaczy dr Zuzanna Łaganowska, radca prawny w kancelarii Bąkowski Kancelaria Radcowska. – Artykuł 30 prawa spółdzielczego stanowi jednak o dostępie do rejestru, co może być szerzej interpretowane przez niektóre spółdzielnie – dodaje prawniczka.
I przez to właśnie np. przedstawiciel firmy windykacyjnej może przeglądać rejestr w poszukiwaniu informacji o innych dłużnikach spółdzielni.

…rekomenduje…

Prezes UODO wskazuje, że spółdzielnie powinny analizować w każdym indywidualnym przypadku prawo dostępu poszczególnych osób do rejestru i udzielić tego dostępu uwzględniając przepisy RODO, tj. tak, by nie dochodziło do udostępniania danych osobowych osobom do tego nieuprawnionym. Biorąc powyższe pod uwagę, organ nadzorczy rekomenduje traktowanie dwóch grup interesariuszy korzystających z rejestru w odmienny sposób, tj.:
  • w odniesieniu do członków spółdzielni – umożliwić im dostęp do całości rejestru bez wykazywania interesu,
  • mając na względzie pozostałe osoby wymienione w art. 30 ustawy – Prawo spółdzielcze – tylko gdy wykażą, które dane osobowe są im niezbędne.
UODO przypomina też, że spółdzielnie muszą stosować się także do innych obowiązków wynikających z RODO. I tak rejestr członków spółdzielni musi być prowadzony w sposób aktualny, rzetelny (zgodny z prawdą) i być kompletny (według wymogów formalnych ustawy).
Zwraca uwagę, że art. 30 p.s. wymienia dane, które powinny być zawarte w każdym rejestrze. Katalog tych danych nie jest jednak zamknięty, a w treści tego przepisu znajduje się odesłanie do statutu, który może określać inne dane, jakie powinny być uwzględnione w rejestrze członków konkretnej spółdzielni. Prezes UODO zwróciła się z prośbą do ministra Kwiecińskiego, aby ten rozważył doprecyzowanie ustawy również w tym zakresie, tj. jakie dokładnie kategorie informacji o charakterze osobowym mogą być regulowane w statucie spółdzielni.
Tutaj również trzeba wziąć pod uwagę przepisy RODO. Podstawy do przetwarzania danych zwykłych można odnaleźć w art. 6 RODO (wśród nich można znaleźć np. zgodę osoby, konieczność wykonania umowy bądź wypełnienie obowiązku prawnego ciążącego na administratorze).
Pamiętajmy, że nowym obowiązkiem, dotychczas niewystępującym w przepisach o ochronie danych osobowych, jaki nakłada na administratora rozporządzenie RODO, jest dokonanie oceny skutków dla ochrony danych osobowych, o którym mowa w art. 35 ust. 5 RODO. Natomiast zgodnie z art. 24 i art. 32 unijnego rozporządzenia – uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia – administrator ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych. – Może się zatem okazać, że zwykły zeszyt stanowiący rejestr, udostępniany z całą zawartością wierzycielowi członka spółdzielni w siedzibie spółdzielni, może zostać surowo oceniony podczas kontroli UODO – dodaje dr Zuzanna Łaganowska.
Uwaga! Administrator musi też zgłaszać naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 RODO) oraz zawiadamiać osoby, których dane naruszono (art. 34 RODO). ©℗
Jak chronić dane przed nieuprawnionym dostępem?
Od wielu lat spółdzielnie prowadzą rejestry członków często jedynie w formie papierowej, wpisując ręcznie np. dane o ich zadłużeniu. Na jednej stronie takiego rejestru mogą znajdować się dane kilku osób. Jak więc ograniczyć dostęp do rejestru do danych tylko jednego dłużnika?
– Prostym rozwiązaniem może być np. przygotowanie szablonu, który umożliwi wgląd jedynie na wiersz rejestru zawierający dane jednego z członków spółdzielni, zakrywając jednocześnie informacje o reszcie członków zawarte na danej stronie – radzi dr Zuzanna Łaganowska. – Innym sposobem jest wykonanie wypisu z rejestru, aby nie ujawniać danych, do których podmiot wnioskujący nie powinien mieć dostępu. Idealnym rozwiązaniem byłoby zaś wdrożenie systemu informatycznego, umożliwiającego dokonanie wyciągu z rejestru dotyczącego danego dłużnika – dodaje. ©℗
Podstawa prawna
Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych; RODO; Dz.Urz. UE L 119 s.1).
Art. 30 ustawy z 16 września 1982 r. – Prawo spółdzielcze (t.j. Dz.U. z 2018 r. poz. 1285 ze zm.).