RODO we wspólnocie

Czyli kodeks cywilny i inne ustawy, rozporządzenia oraz przepisy
Wiadomość
Autor
darekj
.
.
Posty: 351
Rejestracja: 07-03-2010, 18:41

RODO we wspólnocie

#1 Post autor: darekj » 15-05-2018, 20:09

Witam,

Nie wiem jak to możliwe ale tak lotny ostatnio temat jak RODO nie doczekał sie ani jednego posta na tym forum. Czy ktoś z Was może sie podzielić praktycznymi poradami co w związku z wejsciem w życie tej ustawy nalezy wykonać we wspolnocie? Co Zarząd powinien zrobic aby byc w zgodzie z przepisami. Wiadomo że wspolnota z zasady jest adminstratorem danych osobowych. Często dane te zostały przekazane innemu podmiotowi jak np firma ksiegowa/administrator w celu prowadzenia rozliczeń. Czasami dla ułatwienia programy księgowe są udostępniane przez firmy trzecie w celu prowadzenia elektronicznej księgowości - pozwala to choćby na zdalne kontrolowanie stanu należności przez włascicieli lokali.
Czy ktos posiada listę zagadnień na które koniecznie należy zwrócić uwagę, listę rzeczy nad którymi należy się zastanowić w kontekście tej ustawy. Tak aby za jaiś czas nie nachodziły nas jakies dziwne firmy i nie naciagały/szantażowały tak jak to podobno miało miejsce choćby przy sklepach internetowych i ich regulaminach.

Pozdrawiam

Link:
BBcode:
HTML:
Schowaj odnośniki
Pokaż odnośniki do wpisu

piotrusb
.
.
Posty: 5967
Rejestracja: 28-12-2009, 17:51

Re: RODO we wspólnocie

#2 Post autor: piotrusb » 16-05-2018, 14:22

To temat rzeka - na co najmniej kilkugodzinne szkolenie. Nie da się tego ogarnąć pojedynczym wpisem na forum.

W największym skrócie:

1. RODO obowiązuje od 25 maja 2018 r. i nie będzie tu żadnego okresu przejściowego, bo ten był od dnia wejścia RODO w życie, czyli od 24 maja 2016 r.

2. RODO jako rozporządzenie unijne wchodzi w życie bezpośrednio, czyli nie potrzebuje do tego aktu prawa krajowego (ustawy).

3. Nowa ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (jest obecnie procesowana w Senacie) określa tylko te kwestie, które UE pozostawiła w gestii ustawodawców poszczególnych krajów Unii, to jest:
- podmioty publiczne obowiązane do wyznaczenia inspektora ochrony danych oraz tryb zawiadamiania o jego wyznaczeniu;
- warunki i tryb akredytacji podmiotu certyfikującego, podmiotu monitorującego kodeks postępowania oraz certyfikacji;
- tryb zatwierdzenia kodeksu postępowania;
- organ właściwy w sprawie ochrony danych osobowych;
- postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych;
- tryb europejskiej współpracy administracyjnej;
- kontrolę przestrzegania przepisów o ochronie danych osobowych;
- odpowiedzialność cywilną za naruszenie przepisów o ochronie danych osobowych i postępowanie przed sądem;
- odpowiedzialność kamą i administracyjne kary pieniężne za naruszenie przepisów o ochronie danych osobowych.

4. Dawna uodo koncentrowała się na zabezpieczeniu zbiorów danych - RODO kładzie nacisk na analizę ryzyka jakie pociąga za sobą przetwarzanie określonych danych w określony sposób.

5. RODO jest neutralne technologicznie (motyw 15): nakłada na administratorów danych obowiązek „samodiagnozy” i „samoleczenia”; administrator musi wdrożyć (art. 24) odpowiednie środki techniczne i organizacyjne oraz odpowiednie polityki ochrony danych, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać.

6. Jedynym wyjątkiem od powyższego jest szyfrowanie danych opisanew motywie 83, art. 6 ust. 4 lit. e, art. 32 ust. 1 lit. a, art. 34 ust. 3 lit. a RODO.

7. Co trzeba wiedzieć, od czega zacząć:
- jakie rodzaje danych będą przetwarzane, w jakich celach i w jaki sposób (mapowanie danych)?
- czy przetwarzanie wszystkich tych informacji jest niezbędne i proporcjonalne do celów?
- czy jesteśmy w stanie określić podstawy prawne ich przetwarzania?
- czy – mimo formalnego spełnienia obowiązków prawnych, z przetwarzaniem tych danych może się wiązać ryzyko dla osób, których one dotyczą (tj. określone zagrożenia)?
- czy potrafimy zidentyfikować rodzaje, źródła i poziom tych zagrożeń?
- czy potrafimy tym zagrożeniom zaradzić, a przynajmniej je zminimalizować?

8. RODO wprowadza szereg zasad:
Zasada legalizmu, rzetelności i przejrzystości – motyw 39, art. 5 ust. 1 lit. a.
Zasada ograniczenia celu – motyw 39, art. 5 ust. 1 lit b.
Zasada adekwatności, minimalizmu, ograniczenia – motyw 39, art. 5 ust. 1 lit. c.
Zasada prawidłowości, aktualności danych – art. 5 ust. 1 lit. d.
Zasada ograniczenia czasowego – art. 5 ust. 1 lit. e.
Zasada integralności i poufności – art. 5 ust. 1 lit. f.
Zasada ochrony prywatności w fazie projektowania (privacy by design) – art. 25 ust. 1.
Zasada domyślnej ochrony prywatności (privacy by default) – art. 25 ust. 2.
Zasada ważenia wartości – art. 6 ust. 1 lit. f.
Zasada podejścia opartego na ryzyku (risk based approach) – motyw 75, 76, 77, 83, art. 24 i 32.

9. Niezwykle istotne jest określenie podstaw prawnych przetwarzania danych:
Musi być spełniony przynajmniej jeden z warunków m. in.:
- przetwarzanie danych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (motyw 40, 45, art. 6 ust. 1 lit. c) np. wynikającego z uwl, upb itp.
- przetwarzanie danych w celu dochodzenia lub obrony roszczeń (motyw 52, art. 9 ust. 2 lit. f, art. 17 ust. 3 lit. e).
- przetwarzanie danych w celu wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (motyw 44, art. 6 ust. 1 lit. b).
- przetwarzanie danych na podstawie zgody osoby, której dane dotyczą (motyw 40, art. 6 ust. 1 lit. a).

10. Podmiot przetwarzający dane na na zlecenia administratora danych (procesor), a więc np. administrator lub zarządca NW, biuro księgowe, agencja ochrony itp. musi mieć z administratorem danych (wspólnotą) podpisaną umowę powierzenia przetwarzania, która określa przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora (art. 28 RODO). Administrator ponosi odpowiedzialność za właściwy wybór procesora i odpowiada wraz z nim za naruszenia ochrony danych.

11. RODO wymaga rozliczalności, a więc odpowiedniej dokumentacji, przede wszystkim Rejestru operacji przetwarzania danych.

12. W przypadku naruszenia ochrony danych osobowych, administrator danych nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu (art. 33) oraz bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu (art. 34).

13. Za naruszenia zasad ochrony danych organ ochrony danych może nałożyć karę (art. 83) w wysokości do równowartości 10 mln euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu (przy czym zastosowanie ma kwota wyższa), a przy poważniejszych naruszeniach - do 20 mln euro, a w przypadku przedsiębiorstwa – do 4% jego całkowitego rocznego światowego obrotu. Nakładane kary mają być skuteczne, proporcjonalne, odstraszające i zharmonizowane w całej UE, czyli za takie samo wykroczenia kary mają być takie same np. we Francji, Niemczech i Polsce.
piotrusb

Link:
BBcode:
HTML:
Schowaj odnośniki
Pokaż odnośniki do wpisu

piotrusb
.
.
Posty: 5967
Rejestracja: 28-12-2009, 17:51

Re: RODO we wspólnocie

#3 Post autor: piotrusb » 16-05-2018, 14:25

Kilka użytecznych linków:

Tekst RODO:
https://giodo.gov.pl/pl/569/9276
http://www.privacy-regulation.eu/pl/index.htm

Tekst Załącznika – sprostowania do RODO:
http://data.consilium.europa.eu/doc/doc ... NIT/en/pdf ; tekst polski str. 259-276

Przyjęta przez Sejm ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych:
http://sejm.gov.pl/Sejm8.nsf/druk.xsp?d ... 6C0033588C

Informacje KE o RODO:
https://ec.europa.eu/commission/priorit ... content=PL

Prawa obywateli w RODO:
https://ec.europa.eu/info/law/law-topic ... itizens_pl

Przepisy RODO dotyczące przedsiębiorstw i organizacji:
https://ec.europa.eu/info/law/law-topic ... sations_pl

Inspektor Ochrony Danych – opinie i wyjaśnienia GIODO:
https://abi.giodo.gov.pl/62

Kiedy trzeba przeprowadzić ocenę skutków dla ochrony danych? Zalecenia GIODO:
https://giodo.gov.pl/pl/1520281/10430

Jak można prowadzić rejestr czynności przetwarzania danych oraz rejestr kategorii czynności? Zalecenia GIODO:
https://giodo.gov.pl/pl/1520281/10449

Portal Ministerstwa Cyfryzacji „Oto RODO – bądź gotowy na zmiany”:
https://www.gov.pl/cyfryzacja/oto-rodo- ... -na-zmiany

Portal Ministerstwa Cyfryzacji „RODO dla przedsiębiorców”:
https://www.gov.pl/cyfryzacja/rodo-dla- ... -to-proste

Uwaga na oferty i wymuszenia związane z RODO:
https://giodo.gov.pl/pl/1520281/10484

Stanowisko Grupy Roboczej Art. 29 wskazujące wskazuje, kiedy przedsiębiorcy zatrudniający mniej niż 250 osób, nie będą zwolnieni z obowiązku prowadzenia rejestru czynności przetwarzania:
https://giodo.gov.pl/pl/1520281/10493

Kompendium wiedzy na temat RODO:
https://odo24.pl/rodo

RODO za pięć dwunasta (10 wskazówek, które pomogą ustalić, na jakim etapie dostosowania do nowych wymogów, jest twoja organizacja):
https://www.computerworld.pl/news/RODO- ... 10157.html
piotrusb

Link:
BBcode:
HTML:
Schowaj odnośniki
Pokaż odnośniki do wpisu

alf900
.
.
Posty: 131
Rejestracja: 03-03-2008, 14:00

Re: RODO we wspólnocie

#4 Post autor: alf900 » 17-05-2018, 15:18

Rozliczam wodę i wspólny prąd w małej wspólnocie.
Nie mamy administratora, zarządu, rachunku bankowego i dobrze nam z tym. :haha:
Mieszkańcy wpisują swoje odczyty, póżniej odczytują swoje kwoty do zapłaty z tabeli wywieszonej na klatce schodowej.
Póżniej płacą podane kwoty u pracownicy w mojej firmie mieszczącej się w budynku.

Wiem, w świetle RODO sporo jest nie tak, jak trzeba.
Rozliczanie wykonuję nieodpłatnie i bez żadnych umów.

Czy mam się, względnie wspólnota, czego obawiać?

Link:
BBcode:
HTML:
Schowaj odnośniki
Pokaż odnośniki do wpisu

piotrusb
.
.
Posty: 5967
Rejestracja: 28-12-2009, 17:51

Re: RODO we wspólnocie

#5 Post autor: piotrusb » 17-05-2018, 15:47

Wspólnota z mocy prawa jest administratorem danych osobowych właścicieli lokali, a także ewentualnie innych osób np. najemców nieruchomości wspólnej, usługodawców itp. Te dane muszą być odpowiednio chronione, a wspólnota powinna prowadzić rejestr czynności przetwarzania (w podanych w poprzednim poście linkach jest wzór takiego dokumentu opracowany przez GIODO). Dane nie powinny być przechowywane dłużej niż jest to niezbędne dla celów ich przetwarzania, warto więc przejrzeć, czy nie mamy danych sprzed 20 lat, które do niczego nie są potrzebne.
alf900 pisze:
17-05-2018, 15:18
płacą podane kwoty u pracownicy w mojej firmie mieszczącej się w budynku.
Czyli ta pracownica przetwarza dane osobowe członków wspólnoty. Powinna mieć do tego pisemne upoważnienie, a dostęp do tych danych powinien być odpowiednio chroniony, żeby nie miały do nich dostępu osoby postronne np. klienci Twojej firmy. Jeśli dane są przetwarzane na komputerze, to powinien on mieć szyfrowany dysk i właściwe zabezpieczenia: odpowiednie hasła dla poszczególnych osób, które z niego korzystają, antywirus, firewall, regularnie update'owany system itp. Jeśli przesyłacie jakieś dane mailowo, to też pliki i/lub transmisja powinny być szyfrowane.
alf900 pisze:
17-05-2018, 15:18
odczytują swoje kwoty do zapłaty z tabeli wywieszonej na klatce schodowej
Są tam nazwiska, czy tylko numery lokali?
piotrusb

Link:
BBcode:
HTML:
Schowaj odnośniki
Pokaż odnośniki do wpisu

darekj
.
.
Posty: 351
Rejestracja: 07-03-2010, 18:41

Re: RODO we wspólnocie

#6 Post autor: darekj » 18-05-2018, 10:43

Prawdę mówiąc myślałem że może znajdzie się bardziej usystematyzowany zbiór danych uwzględniający specyfikę wspólnot.
Mam za sobą pierwsze podejście do czytania dokumentów UE ale czyta się to ciężko. Szukałem np szablonu dokumentu który np. miałby by sobie wypełnić Zarząd tak aby wiedział z czym ma do czynienia. Mam na myśli coś takiego gdzie odpowiadamy sobie na pytanie typu: jakie dane zbieramy, na jakiej podstawie prawnej, gdzie są przechowywane, kto ma do nich dostęp itp. Krążą w różnych miejscach pytania służące audytom ale nigdzie nie widziałem przykładowego dokumentu końcowego.
Zastanawiam się tez nad kwestia powierzenia danych. Wiadomo że zazwyczaj za sprawy administracyjne we wspólnocie odpowiada Administrator (w przypadku gdy we wspólnocie jest Zarząd). Czy to oznacza że Zarząd może stwierdzić że powierzył dane osobowe członków wspólnoty firmie administrującej na podstawie umowy i to ona dalej będzie się martwić RODO? Sam Zarząd nie dysponuje w zasadzie żadnymi danymi.
Osobna sprawą jest komunikacja na linii Zarząd - członkowie wspólnoty oraz Zarząd - Administrator. Wiadomo że często informacje wymieniane są za pomocą poczty elektronicznej. W zasadzie pewnie każdy mail dotyczący spraw właścicieli lokali powinien być szyfrowany. Na linii Administrator - Zarząd może to by się dało jeszcze jakoś rozwiązać, ale korespondencji z mieszkańcami sobie nie wyobrażam. A w końcu jeśli ktoś się podpisał w mali to można przyjąć że posiadam jego dane osobowe. Istnieje też korespondencja pomiędzy wspólnota a kancelariami prawnymi - np sprawy związane ze ściąganiem należności od dłużników.
Pocztę elektroniczna trzymamy na zewnętrznych serwerach na usługach hostingowych. Ale to gdzie firma hostingujaca trzyma dane jest w zasadzie nieznane. Można mieć nadzieje że w UE choć przy zasięgu ogólnoświatowym pewności nie ma.
Jeśli brać pod uwagę te zagadnienia to w zasadzie RODO jest nie do ogarnięcia.

Link:
BBcode:
HTML:
Schowaj odnośniki
Pokaż odnośniki do wpisu

ODPOWIEDZ
  • Podobne tematy
    Odpowiedzi
    Odsłony
    Ostatni post

Wróć do „LEX - prawo w działalności wspólnot mieszkaniowych”