Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 11 kwietnia 2019 r.
udostępnienie danych osobowych skarżących przez spółdzielnię mieszkaniową
ZSPU.440.840.2018
13/05/2016
Decyzja Prezesa UODO odmawiająca uwzględnienia wniosku w sprawie udostępnienia danych przez spółdzielnię mieszkaniową
DECYZJA
Na podstawie art. 104 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 ze zm.), art. 7 ust. 1 w zw. z 60 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.) oraz art. 6 ust. 1 lit. f) i art. 57 ust. 1 lit. a) i f) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 i Dz.U.UE.L.2018.127.2), po przeprowadzeniu postępowania administracyjnego w sprawie skargi Pani B. G. , adres do korespondencji: […] L. […], Pana P. G., zam. w W. […] i Pani K. G., zam. w W. […], na nieuprawnione udostępnienie dotyczących ich danych osobowych przez Spółdzielnię Mieszkaniową. z siedzibą w W. […], Prezes Urzędu Ochrony Danych Osobowych
odmawia uwzględnienia wniosku.
UZASADNIENIE
Do Urzędu Ochrony Danych Osobowych wpłynęła skarga Pani B. G., adres do korespondencji: […] L. […], występującej w imieniu własnym, a zarazem w charakterze pełnomocnika jej pełnoletnich dzieci: Pana P. G., zam. w W. […] i Pani K. G., zam. w W. […], zwanych dalej również Skarżącymi, na nieuprawnione udostępnienie dotyczących ich danych osobowych przez Spółdzielnię Mieszkaniową z siedzibą w W. […], zwaną dalej również Spółdzielnią.
Skarżący zakwestionowali legalność działania Spółdzielni polegającego na udostępnieniu ich danych osobowych zawartych w treści informacji o wysokości opłat za lokal mieszkalny nr […] znajdujący się w W. […], na rzecz osoby, której ww. lokal został wynajęty, dla potrzeb związanych z ubieganiem się przez nią o przyznanie dodatku mieszkaniowego. W ocenie Skarżących nielegalne było udostępnienie wszystkich zawartych w ww. dokumencie ich danych osobowych – tj. zarówno informacji w zakresie imion i nazwisk, kodu lokatora, a także kwoty opłat za ww. lokal mieszkalny z podziałem na części składowe. Jak podkreśliła Pani B. G. cyt.: „(…) działania pracowników […] (…) spowodowały złamanie zapisów rozporządzenia RODO poprzez nieuprawnione przekazywanie osobom trzecim m. in. danych osobowych moich dzieci (nie będących stroną umowy najmu lokalu), moje rozliczenia finansowe wobec Spółdzielni oraz kod identyfikacyjny lokatora (…)”.
Na podstawie materiału dowodowego zgromadzonego w przedmiotowej sprawie, ustalono następujący jej stan faktyczny.
- Spółdzielnia przetwarza dane osobowe Skarżących jako osób, którym przysługuje wspólnie własnościowe spółdzielcze prawo do lokalu mieszkalnego nr […] znajdującego się w W. […].
- W dniu […] lipca 2018 r. Spółdzielnia dokonała kwestionowanego udostępnienia danych osobowych Skarżących na rzecz najemcy ww. lokalu mieszkalnego, zwanego dalej również Najemcą, w związku z ubieganiem się przez niego o przyznanie dodatku mieszkaniowego. Jak wyjaśniła Spółdzielnia cyt.: „(…) po weryfikacji uprawnienia do pozyskania danych odnoszących się do lokalu położonego w W. […] i potwierdzeniu faktu zawarcia umowy najmu przedmiotowego lokalu przekazano wnioskującemu o przyznanie dodatku mieszkaniowego (…) dane odnoszące się do opłat za lokal, imion i nazwisk współwłaścicieli przedmiotowego lokalu, adresu lokalu, wysokości opłat za lokal, kodu lokatora, indywidualnego numeru rachunku do opłat za lokal, nazwy Spółdzielni mieszkaniowej, powierzchni lokalu (…) Najemca Pani B. G. przedstawił umowę najmu, którą wykazał swój status najemcy, a tym samym swoje prawo do wystąpienia o dodatek mieszkaniowy (…)” (pismo Spółdzielni z dnia […] listopada 2018 r. w aktach sprawy). Spółdzielnia doprecyzowała ponadto cyt.: „(…) Najemca lokalu położonego w W. […] zwracając się o pozyskanie danych wymaganych przepisami prawa o ubieganie się o przyznanie dodatku finansowego, przedstawił oryginalny egzemplarz umowy najmu z nim zawartej i podpisanej z właścicielem lokalu (…) Dane zawarte w oryginalnym egzemplarzu umowie najmu zostały zweryfikowane z danymi ujętymi w przedłożonym […] przez najemcę wniosku o przyznanie dodatku mieszkaniowego i były tożsame (…)” (pismo Spółdzielni z dnia […] stycznia 2019 r. w aktach sprawy).
- W aktach sprawy znajduje się dokument z dnia […] lipca 2018 r. wydany przez Spółdzielnię na rzecz Najemcy, stanowiący zestawienie opłat za ww. lokal wedle stanu na dzień […] lipca 2018 r., w treści którego zawarte zostały kwestionowane dane osobowe Skarżących – w zakresie obejmującym ich imiona i nazwiska, adres należącego do nich lokalu (lokalu, w odniesieniu do którego Skarżącym przysługuje łącznie spółdzielcze własnościowe prawo do lokalu), informację o wysokości opłat za ten lokal z podziałem na części składowe oraz informację o „Kodzie lokatora”. Spółdzielnia złożyła również do akt niniejszego postępowania kopię wniosku o przyznanie dodatku mieszkaniowego – na urzędowym wzorze, wypełnionego przez Najemcę i potwierdzonego pieczęciami administratora nieruchomości.
Po zapoznaniu się z całością zgromadzonego w sprawie materiału dowodowego, Prezes Urzędu Ochrony Danych Osobowych, zwany dalej również Prezesem UODO, zważył, co następuje.
Prezes UODO jest organem właściwym w sprawie ochrony danych osobowych i organem nadzorczym w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 i Dz.U.UE.L.2018.127.2), zwanego dalej RODO (art. 34 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.), zwanej dalej ustawą). Prezes UODO prowadzi postępowania w sprawie naruszenia przepisów o ochronie danych osobowych (art. 60 ustawy), przy czym w sprawach nieuregulowanych w ustawie, do postępowań administracyjnych przed Prezesem UODO, w szczególności unormowanych w rozdziale 7 ustawy – postępowań w sprawie naruszenia przepisów o ochronie danych osobowych, stosuje się ustawę z dnia 14 czerwca 1960 r. - Kodeks postępowania administracyjnego (Dz. U. z 2018 r., poz. 2096 ze zm.), zwaną dalej również Kpa (art. 7 ust. 1 ustawy).
Stosownie do art. 57 ust. 1 RODO, bez uszczerbku dla innych zadań określonych na mocy niniejszego rozporządzenia każdy organ nadzorczy na swoim terytorium monitoruje i egzekwuje stosowanie niniejszego rozporządzenia (lit. a) oraz rozpatruje skargi wniesione przez osobę, której dane dotyczą, lub przez podmiot, organizację lub zrzeszenie zgodnie z art. 80, w odpowiednim zakresie prowadzi postępowania w przedmiocie tych skarg i w rozsądnym terminie informuje skarżącego o postępach i wynikach tych postępowań, w szczególności jeżeli niezbędne jest dalsze prowadzenie postępowań lub koordynacja działań z innym organem nadzorczym (lit. f). Instrumentami realizacji zadań przewidzianych w art. 57 ust. 1 RODO są w szczególności określone w art. 58 ust. 2 RODO, uprawnienia naprawcze, w tym możliwość: nakazania administratorowi lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy niniejszego rozporządzenia (art. 58 ust. 2 lit. c)), nakazania administratorowi lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów niniejszego rozporządzenia, a w stosownych przypadkach wskazanie sposobu i terminu (art. 58 ust. 2 lit. d)).
RODO definiuje przetwarzanie danych jako operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO).
Z kolei art. 6 ust. 1 RODO określa podstawowe warunki dopuszczalności przetwarzania danych (dopuszczalności każdej czynności mieszczącej się w tym pojęciu) zezwalając na ich przetwarzanie wyłącznie w przypadkach, gdy - i w takim zakresie, w jakim - spełniony jest co najmniej jeden z poniższych warunków: a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów; b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze; d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej; e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi; f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.
Zgodnie z regulacjami ustawy z dnia 21 czerwca 2001 r. o dodatkach mieszkaniowych (Dz. U. z 2017 r., poz. 180 ze zm.), dodatek mieszkaniowy, z zastrzeżeniem art. 7 ust. 3 i 4, przysługuje w szczególności najemcom oraz podnajemcom lokali mieszkalnych (art. 2 ust. 1 pkt 1). Dodatek mieszkaniowy przyznaje wójt, burmistrz lub prezydent miasta, w drodze decyzji administracyjnej, na wniosek osoby uprawnionej do jego uzyskania (art. 7 ust. 1 ustawy o dodatkach mieszkaniowych), przy czym wzór tego wniosku określają przepisy rozporządzenia Rady Ministrów z dnia 28 grudnia 2001 r. w sprawie dodatków mieszkaniowych (Dz. U. z 2001 r. Nr 156, poz. 1817 ze zm.), wydanego na podstawie delegacji ustawowej z art. 9 ust. 1 pkt 3 ustawy o dodatkach mieszkaniowych. Jak wynika z zapisów ww. rozporządzenia, osoba ubiegająca się o przyznanie dodatku mieszkaniowego powinna złożyć w urzędzie właściwej gminy wniosek o przyznanie dodatku mieszkaniowego, według urzędowego wzoru (§ 5 pkt 1; wzór tego wniosku został zawarty w załączniku nr 1 do omawianego rozporządzenia) oraz deklarację o wysokości dochodów gospodarstwa domowego, według urzędowego wzoru (§ 5 pkt 2). W kontekście ustalenia wysokości dodatku mieszkaniowego niezbędne jest zbadanie wydatków poniesionych przez osobę ubiegającą się o dodatek mieszkaniowy – tj. świadczeń okresowych ponoszonych przez gospodarstwo domowe w związku z zajmowaniem lokalu mieszkalnego (art. 6 ust. 1, ust. 3 i ust. 4 ustawy o dodatkach mieszkaniowych). Z tego względu, również w urzędowym wzorze wniosku o przyznanie dodatku mieszkaniowego zawarte zostały rubryki, w których wnioskodawca podaje w szczególności „łączną kwotę wydatków na mieszkanie za ostatni miesiąc (według okazanych dokumentów)”, przy czym prawdziwość tych informacji wymaga potwierdzenia ze strony „zarządcy domu” (pkt 12 wniosku).
Odnosząc powyższe do okoliczności przedmiotowej sprawy wskazać należy, że udostępnienie Najemcy lokalu należącego łącznie do Skarżących, ich danych osobowych w zakresie informacji o wysokości miesięcznych opłat należnych za ten konkretny lokal z podziałem na części składowe, bez wątpienia stanowiło działanie realizowane przez Spółdzielnię w obszarze celów wynikających z prawnie usprawiedliwionych – w świetle powołanych przepisów regulujących kwestie ubiegania się, przyznawania i obliczania dodatku mieszkaniowego – interesów realizowanych przez Najemcę (jako stronę trzecią w rozumieniu art. 4 pkt 10 RODO, zgodnie z którym stroną trzecią jest osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które - z upoważnienia administratora lub podmiotu przetwarzającego - mogą przetwarzać dane osobowe). Nie można zarazem uznać, że kwestionowanemu udostępnieniu rzeczonych danych stały na przeszkodzie nadrzędne – w stosunku do interesów Najemcy - interesy lub podstawowe prawa i wolności Skarżących wymagające ochrony ich danych osobowych. Przyjęcie takiego założenia oznaczałoby w istocie uniemożliwienie skutecznego ubiegania się przez Najemcę o przyznanie dodatku mieszkaniowego, czyniąc jego uprawnienia w tym zakresie iluzorycznymi. Z tych samych względów nie można zgodzić się z argumentacją przedstawioną przez Panią B. G., która wydaje się twierdzić, że informacji tego rodzaju mogła udzielić najemcy lokalu co najwyżej ona sama. Stanowisko takie oznaczałoby uzależnienie możliwości skutecznego ubiegania się o przyznanie dodatku mieszkaniowego przez osobę uprawnioną w tym zakresie (najemcę lokalu) od woli właściciela lokalu. Ponadto podkreślić należy, że wedle urzędowego wzoru wniosku o przyznanie dodatku mieszkaniowego, prawdziwość podawanych przez wnioskującego o taki dodatek informacji odnośnie wysokości wydatków poniesionych przez osobę ubiegającą się o dodatek mieszkaniowy i poszczególnych ich części potwierdza zarządca domu (pkt 12 załącznika do rozporządzenia w sprawie dodatków mieszkaniowych). W konsekwencji, udostępnienie ww. informacji przez Spółdzielnię na rzecz Najemcy stanowiło działanie uprawnione w kontekście art. 6 ust. 1 lit. f) RODO.
To samo dotyczy kwestii udostępnienia Najemcy danych osobowych Pani B. G. w zakresie jej imienia i nazwiska. Mając na uwadze, że o przyznanie dodatku może ubiegać się osoba, której przysługuje określony tytuł prawny do lokalu (w niniejszej sprawie jest to umowa najmu), niesporną okoliczność, że Pani B. G. oraz Najemca są stronami umowy najmu ww. lokalu, a także istniejący po stronie wnioskującego o dodatek (Najemcy) prawnie usprawiedliwiony (na gruncie omówionych przepisów o dodatkach mieszkaniowych) interes w obszarze pozyskania informacji o wysokości wydatków poniesionych na ten lokal – legalność udostępnienia przedmiotowych danych w kontekście art. 6 ust. 1 lit. f) RODO nie budzi wątpliwości. Co tyczy się kwestii udostępnienia przez Spółdzielnię na rzecz Najemcy informacji w zakresie imion i nazwisk pozostałych (obok Pani B. G.) osób, którym łącznie przysługuje spółdzielcze własnościowe prawo do lokalu wskazać należy, że w świetle przepisów ustawy z dnia 15 grudnia 2000 r. Prawo spółdzielcze (Dz.U. z 2018 r., poz. 845 ze zm.), regulujących kwestie spółdzielczego własnościowego prawa do lokalu mieszkalnego jako ograniczonego prawa rzeczowego w rozumieniu art. 244 ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny (Dz. U. 2018 r., poz. 1025 ze zm.), w tym zwłaszcza uregulowań wskazujących na możliwość swobodnego dysponowania tym prawem (art. 17 ust. 3 Prawa spółdzielczego), przy uwzględnieniu przepisów o współwłasności (art. 195 i nast. Kodeksu cywilnego) oraz o najmie lokali mieszkalnych (art. 659 – 692 Kodeksu cywilnego) zasadnym jest przyjęcie, że najemca lokalu, wobec którego kilku osobom łącznie przysługuje spółdzielcze własnościowe prawo do lokalu mieszkalnego, uzyskuje to prawo od nich wszystkich łącznie. W tej sytuacji, organ właściwy w sprawie ochrony danych osobowych nie znajduje przesłanek dla przyjęcia, że Spółdzielnia miała podstawy by uznać, że Najemca lokalu należącego łącznie do Skarżących, nie zna ich imion i nazwisk. Tytułem uzupełnienia wskazać należy, że zawarty w treści kwestionowanego dokumentu wydanego przez Spółdzielnię na rzecz Najemcy tzw. kod lokatora nie jest w istocie nośnikiem żadnej konkretnej informacji na temat Skarżących.
Reasumując, organ właściwy w sprawie ochrony danych osobowych ocenił kwestionowane działanie Spółdzielni jako uprawnione na gruncie art. 6 ust. 1 lit. f) RODO
Mając na uwadze powyższe, Prezes Urzędu Ochrony Danych Osobowych rozstrzygnął, jak w sentencji.
Zgodnie z art. 7 ust. 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000 ze zm.), postępowanie przed Prezesem Urzędu Ochrony Danych Osobowych jest jednoinstancyjne. Niniejsza decyzja jest ostateczna. Na podstawie art. 52 § 1 i 2 oraz art. 53 § 1 ustawy z dnia 30 sierpnia 2002 r. Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. z 2018 r., poz. 1302 ze zm.), stronie przysługuje, w terminie 30 dni od dnia doręczenia niniejszej decyzji, prawo do wniesienia na nią skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie. Skargę wnosi się za pośrednictwem Prezesa Urzędu Ochrony Danych Osobowych (na adres: 00 – 193 Warszawa, ul. Stawki 2). Wpis od skargi wynosi 200 złotych. Strona ma prawo ubiegania się o zwolnienie od kosztów sądowych.