Proste to RODO w medycynie w oświacie w firmie

Wdrożenie RODO w firmie / w szkole / w podmiocie medycznym

Wdrożenie RODO Inspektor Ochrony Danych Częstochowa
Sklep RODO
Wdrożenia RODO
Zewnętrzny IOD

Wdrożenie RODO w firmie / w oświacie / w medycynie

Dokumentacja RODO dla firmy, dla podmiotów medycznych, przychodni, szpitali, lekarzy, dla placówek oświatowych. Usługa zewnętrznego Inspektora Ochrony Danych w firmach, w podmiotach medycznych, w szkołach. Szkolenia z zakresu ochrony danych oraz cyberbezpieczeństwa. Audyt Bezpieczeństwa Informacji KRI. Dofinansowania dla samorządów, dla podmiotów medycznych na cyberbezpieczeństwo.

Menu
Kara za brak zgłoszenia naruszenia dla wspólnoty mieszkaniowej

Kara za brak zgłoszenia naruszenia dla wspólnoty mieszkaniowej

przez

Kara za brak zgłoszenia naruszenia dla wspólnoty mieszkaniowej

kara za brak zgłoszenia naruszenia dla wspólnoty mieszkaniowej – jak czytamy w Komunikacie UODO opublikowanym na stronie internetowej dnia 20.04.2026. po przeprowadzeniu – wszczętego z urzędu – postępowania administracyjnego w sprawie naruszenia przepisów o ochronie danych osobowych przez Wspólnotę Mieszkaniową K. Prezes UODO, stwierdzając naruszenie przez tę Wspólnotę przepisu art. 33 ust. 1 RODO, polegające na niezgłoszeniu Prezesowi UOSO naruszenia ochrony danych osobowych bez zbędnej zwłoki – nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – nałożył na Wspólnotę administracyjną karę pieniężną w wysokości 4.852 zł (słownie: cztery tysiące osiemset pięćdziesiąt dwa złote).” 

Przekazanie informacji o potencjalnym naruszeniu

UODO otrzymał informację o potencjalnym naruszeniu ochrony danych osobowych – polegającym na przesłaniu rozliczenia opłat za użytkowanie lokali mieszkaniowych osobie nieuprawnionej. Przekazującym informację była osoba, która otrzymała taką korespondencję. Nadawcą wysyłającym korespondencję była Spółka, z którą Wspólnota mieszkaniowa zawarła umową o administrowanie nieruchomością. Prezes UODO wystąpił z wnioskiem o wyjaśnienia najpierw do wskazanej Spółki, która jednak wskazała, iż administratorem danych osobowych jest Wspólnota mieszkaniowa, a Spółka jest podmiotem przetwarzającym z którym zawarto umowę powierzenia w związku ze wykonywaniem umowy o administrowanie nieruchomością.

Wystąpienia PUODO

Stanowisko Podmiotu przetwarzającego:

 

cyt.: „(…) Podmiot przetwarzający utrzymywał, że w jego ocenie nie doszło do naruszenia ochrony danych osobowych, ponieważ jego zdaniem „(…) zarówno skarżąca jak i osoba widniejąca na dokumencie są Właścicielami nieruchomości tworzącej Wspólnotę Mieszkaniową K. (…), tym samym z mocy Ustawy o Własności Lokali nabywają uprawnienia do wglądu we wszystkie dokumenty wytworzone przez Wspólnotę oraz zestawień takich jak: Listę Współwłaścicieli innych lokali (zawierających takie dane jak Imię i Nazwisko, nr lokalu, wielkość lokalu, wielkość naliczeń, kwoty rozliczeń oraz listę dłużników i inne (…)”.

W takim stanie rzeczy, PUODO zwrócił się do Wspólnoty mieszkaniowej:

cyt.:”(…) o wskazanie, czy w następstwie ww. zdarzenia została przeprowadzona analiza pod kątem ryzyka naruszenia praw lub wolności osób fizycznych niezbędna do oceny, czy doszło do naruszenia ochrony danych skutkującego koniecznością zawiadomienia Prezesa UODO oraz osób, których dotyczy naruszenie. Ponadto Prezes UODO zwrócił się do Wspólnoty o wyjaśnienie, czy Podmiot przetwarzający poinformował ją o wystąpieniu ww. zdarzenia.(…)”.

Stanowisko Wspólnoty mieszkaniowej, zaprezentowane w odpowiedzi 

cyt.: „(…) W piśmie z 12 czerwca 2023 r. Administrator wskazał, że nie zawiadomił Prezesa UODO o naruszeniu ochrony danych osobowych, ponieważ „(…) dokument «zawiadomienie o rozliczeniu opłat za użytkowanie lokali mieszkaniowych» zawierał tzw. dane zwykłe, zaś to naruszenie dotyczyło jednego członka Wspólnoty (…)”. Co więcej Administrator wskazał, że „(…) wspólnota nie widziała i nadal nie widzi podstaw do powiadomienia Prezesa Urzędu Ochrony Danych Osobowych o przedmiotowym zdarzeniu (…)”.(…)”.

Zakres danych osobowych objętych naruszeniem

Dokument, jaki został przesłany do nieuprawnionego odbiorcy, zawierał następujące dane:

  •  imię i nazwisko członka Wspólnoty,
  •  adres członka Wspólnoty,
  •  numer lokalu, którego dotyczy rozliczenie opłat,
  •  kwoty dotyczące rozliczenia opłat za użytkowanie lokalu,
  •  numery liczników oraz odczyty z tychże liczników,
  •  numer rachunku bankowego do wpłat.

Wybrane fragmenty

Wybrane fragmenty Decyzji z dnia 7 kwietnia 2026 [DKN.5131.16.2025]:

  • „(…) W przedmiotowej sprawie, co jednoznacznie wynika z dokonanych ustaleń, doszło do udostępnienia danych osobowych osobie nieuprawnionej, a tym samym do naruszenia ochrony danych osobowych, w związku z przekazaniem tej osobie „zawiadomienia o rozliczeniu opłat za użytkowanie lokali mieszkaniowych” zawierającego dane osobowe innego członka Wspólnoty w zakresie wskazanym w pkt 8 uzasadnienia decyzji. (…).”
  • „(…) oceniając ryzyko, które może wynikać z naruszenia, administrator powinien rozważyć połączenie wagi potencjalnego wpływu na prawa i wolności osób fizycznych oraz prawdopodobieństwa ich wystąpienia. Oczywiście tam, gdzie konsekwencje naruszenia są poważniejsze, ryzyko jest większe i podobnie tam, gdzie prawdopodobieństwo ich wystąpienia jest większe, ryzyko jest również podwyższone.(…)”.
  • „(…) Z treści powołanych wyżej przepisów rozporządzenia 2016/679 wynika, że w przypadku wystąpienia naruszenia ochrony danych osobowych po stronie administratora danych powstaje obowiązek zgłoszenia go Prezesowi UODO, jeśli z danym naruszeniem wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, niezależnie od poziomu tego ryzyka. Podkreślić w tym miejscu należy, że „małe prawdopodobieństwo” zaistnienia skutku w postaci naruszenia praw lub wolności osoby, której dane dotyczą, które stosownie do art. 33 ust. 1 rozporządzenia 2016/679 powoduje brak konieczności zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, powinno być utożsamiane z sytuacją, w której oceniający posiada przesłanki pozwalające na stwierdzenie, że skutek ten nie urzeczywistni się w ogóle – a zatem wtedy, gdy mówimy o „braku ryzyka”. Warto zauważyć, że w polskiej wersji rozporządzenia 2016/679 użyto sformułowania „mało prawdopodobne”, zaś w angielskiej – terminu „unlikely”. Wyraz ten ma silniejsze znaczenie niż nasz rodzimy odpowiednik i służy do określenia czegoś, co jest raczej nieprawdopodobne, wątpliwie lub niemal niemożliwe.
  • „(…) wskazać, że nie zasługują na uwzględnienie tezy Administratora jakoby nie był on zobowiązany do zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu, z uwagi na prawo wglądu do dokumentacji Wspólnoty. Administrator bezpodstawnie powoływał się przy tym na art. 27 oraz art. 29 ust. 3 ustawy z dnia 24 czerwca 1994 r. o własności lokali (Dz. U. z 2021 r. poz. 1048), dalej jako ustawa o własności lokali. Art. 27 ustawy o własności lokali stanowi, że każdy właściciel lokalu ma prawo i obowiązek współdziałania w zarządzie nieruchomością wspólną. Nie uchybia to jednak przepisom art. 21 ust. 1 i art. 22 ust. 1. Stosownie zaś do art. 29 ust. 3 ustawy o własności lokali, prawo kontroli działalności zarządu służy każdemu właścicielowi lokalu.Powyżej przytoczone przepisy prawa nie legitymizują przekazania nieuprawnionej osobie przesyłki zawierającej „zawiadomienie o rozliczeniu opłat za użytkowanie lokali mieszkaniowych”. Uprawnienia członków wspólnoty mieszkaniowej wynikające z ww. przepisów nie oznaczają, że Wspólnota może dowolnie udostępniać dane osobowe członków wspólnoty, w szczególności w następstwie przekazania przesyłki zawierającej zawiadomienie o rozliczeniu opłat za użytkowania lokalu mieszkaniowego innej osoby, a tym bardziej wbrew woli członka wspólnoty, który tę błędnie przekazaną korespondencję otrzymał. (…)”.
  • „(…) Zatem każdemu współwłaścicielowi przysługuje prawo dostępu do dokumentacji związanej z zarządzaniem nieruchomością wspólną. Jednakże, zakres danych i informacji udostępnianych współwłaścicielom musi być adekwatny do ich potrzeb związanych ze zgodnym z prawem celem udostępnienia (…) Z tego wynika, że nie jest dopuszczalne udostępnienie współwłaścicielom określonej nieruchomości, w tym skarżącej, danych, których przetwarzanie nie jest niezbędne do współdziałania w zarządzie nieruchomością wspólną oraz do sprawowania kontroli działalności jej zarządcy (…)”.
  • „(…) W omawianej sprawie osoba, której udostępniono dane osobowe innego członka Wspólnoty, w ogóle nie wnioskowała o przekazania jej tych danych, w szczególności w celu współdziałania w zarządzie nieruchomością wspólną oraz do sprawowania kontroli działalności jej zarządcy. Ponadto, przekazanie tych danych osobie nieuprawnionej nie wiązało się z realizacją – zgodnego z prawem – celu udostępnienia. Wręcz przeciwnie, udostępnienie to nastąpiło bez związku z celami określonymi w ww. przepisach ustawy o własności lokali (było efektem naruszenia ochrony danych osobowych)”.
  • „(…) Wskazać należy, że członek wspólnoty mieszkaniowej może upoważnić do odbioru korespondencji dowolnie inną osobę, która nie musi być członkiem Wspólnoty. Administrator nie wykazał, zgodnie z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679, że dostęp do danych osobowych członka Wspólnoty – w następstwie przedmiotowego naruszenia ochrony danych osobowych – nie uzyskała osoba niebędąca członkiem Wspólnoty. (…)”.
  • „(…) Niedopuszczalne jest również ignorowanie obowiązku rzetelnego przeprowadzenia analizy ryzyka naruszenia praw lub wolności osób fizycznych tylko dlatego, że naruszenie to dotyczyło jednej osoby. Uchylenie się przez Administratora od obowiązku zgłoszenia naruszenia osobowych ponieważ „naruszenie dotyczyło jednego członka Wspólnoty” nie znajduje oparcia w przepisach rozporządzenia 2016/679, a w gruncie rzeczy jest sprzeczne z podstawowym celem regulacji zawartych w tym rozporządzeniu, tj. ochroną praw podstawowych praw i wolności osób fizycznych, w szczególności ich prawa do ochrony danych osobowych. (…)”.
  • „(…) Ujawnienie takich danych nie jest co prawda związane z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych (a co za tym idzie, Wspólnota nie miała obowiązku zawiadomić o naruszeniu osoby, której dane dotyczą, zgodnie z art. 34 ust. 1 rozporządzenia 2016/679), tym niemniej nie jest to równoznaczne z brakiem ryzyka jako takiego – stąd zaistniała konieczność zawiadomienia Prezesa UODO o naruszeniu ochrony danych osobowych. Wskazać również należy, że ujawnione nieuprawnionej osobie w następstwie omawianego zdarzenia dane osobowe członka Wspólnoty pozwalają na jego jednoznaczną identyfikację.(…)”.
  • „(…) Warte szczególnego podkreślenia jest to, że możliwe konsekwencje zaistniałego zdarzenia nie muszą się zmaterializować – w treści art. 33 ust. 1 rozporządzenia 2016/679 wskazano, że samo wystąpienie naruszenia ochrony danych osobowych, z którym wiąże się ryzyko naruszenia praw lub wolności osób fizycznych, implikuje obowiązek zgłoszenia naruszenia właściwemu organowi nadzorczemu. (…)”,.
  • „(…) „Oceny, czy występuje ryzyko naruszenia praw lub wolności człowieka, musi dokonać administrator. Ocena taka powinna być oparta na obiektywnych kryteriach (jak dotychczasowe doświadczenie związane z podobnymi sprawami, wiedza z zakresu bezpieczeństwa informacji) oraz na uwzględnieniu okoliczności samego naruszenia ochrony danych osobowych. Trzeba też pamiętać, że dla braku konieczności zgłoszenia naruszenia do organu nadzorczego niezbędne jest wystąpienie małego prawdopodobieństwa, ale nie samego naruszenia praw lub wolności osób fizycznych, lecz ryzyka takiego naruszenia. Powoduje to szerszy zakres obowiązku niż w przypadku, gdyby ocena dotyczyła prawdopodobieństwa wystąpienia naruszenia praw lub wolności. Nie jest konieczne, by wysokie ryzyko się zmaterializowało i by faktycznie doszło do naruszenia praw lub wolności. Dlatego nie ma znaczenia, czy ostatecznie ich naruszenie nastąpi. […] W toku dokonywania oceny, czy występują ryzyka ich naruszenia, administrator powinien brać pod uwagę wszelkie możliwe szkody, jak i krzywdy, które mogą wyniknąć z danego zdarzenia dla osób fizycznych” […] „Do zaistnienia ryzyka nie jest przy tym konieczne, by ostatecznie doszło do wystąpienia szkody lub krzywdy wynikających z danego naruszenia ochrony danych osobowych”.(…)”.
  • „(…) Za okoliczność obciążającą z kolei Prezes UODO musiał uznać długi – blisko trzyletni – czas trwania naruszenia. Naruszenie przepisu art. 33 ust. 1 rozporządzenia 2016/679 trwa od momentu upływu 72 godzin od stwierdzenia naruszenia ochrony danych osobowych, które miało miejsce w ostatnich dniach kwietnia 2023 r. (o czym Administrator miał wiedzę co najmniej od 5 czerwca 2023 r.) i ma miejsce nadal, bowiem w dalszym ciągu Administrator nie dokonał zgłoszenia naruszenia ochrony danych osobowych Prezesowi UODO.(…)”.

Wybrane fragmenty

Co istotne, zwłaszcza z perspektywy czytelników, na co chce zwrócić uwagę,  przed wszczęciem postępowania administracyjnego, Prezes UODO informował Wspólnotę mieszkaniową o konieczności wypełnienia obowiązku dokonania zgłoszenia. Co więcej Prezes UODO wskazywał administratorowi ponadto, że powodem, dla którego uchylił się on od ww. obowiązku, nie może być prawo członka Wspólnoty do dostępu do dokumentacji związanej z zarządem nieruchomością wspólną.

Materiały wykorzystane w publikacji

Komunikat Prezesa UODO „Naruszanie należy zgłaszać bez zbędnej zwłoki – kara dla wspólnoty mieszkaniowej” [Dostęp dnia 21.04.2026 r., godz.: 11:42]

Decyzja Prezesa UODO zdnia 7 kwietnia 2026 r. [DKN.5131.16.2025]  [Dostęp dnia 21.04.2026 r., godz.: 11:42]

Wdrożenie RODO - wspólnota / zarząd
Zewnętrzny IOD - wspólnota / zarząd

Wdrożenie RODO w firmie

Kompleksowa usługa przygotowania autorskiej indywidualnej dokumentacji RODO dla firmy, jej wdrożenie, wraz z organizacją szkoleń dla personelu. Wdrożenia realizowane w na terenie całego kraju.
Zadzwoń już teraz tel. 694 494 240
DOKUMENTY

Zewnętrzny Inspektor Ochrony Danych (IOD)

Szukasz Inspektora Ochrony Danych do swojej firmy, szkoły, przychodni, szpitala. Może tylko szukasz pomocy, czy konsultacji w związku z np. naruszeniem ochrony danych, jakie miało miejsce.
Zadzwoń już teraz tel. 694 494 240
IOD

Wybierz interesujący tematycznie dział Sklepu RODO

Podmioty medyczne

Dokumentacja RODO
dla podmiotów medycznych

Wejdź do sklepu >>>
Placówki Oświatowe

Dokumentacja RODO
dla podmiotów oświatowych

Wejdź do sklepu >>>
Przedsiębiorcy i firmy

Dokumentacja RODO
dla firm i przedsiębiorstw

Wejdź do sklepu >>>
Stanowiska IOD

Stanowiska IOD
Zalecenia i sanowiska

Wejdź do sklepu >>>
Oferta usług informatycnzych

Oferta
usług informatycznych

Wejdź do sklepu >>>
Niszczarki do dokumentów

Oferta
niszczarki do dokumentów

Wejdź do sklepu >>>