Obowiązek informacyjny przewidziany w art. 33 ustawy o ochronie danych osobowych ma na celu zapewnienie osobom, których dane osobowe są przetwarzane, dostępu do informacji o okolicznościach ich przetwarzania. Prawidłowe i rzetelne wypełnienie przez administratora danych tego obowiązku jest niezbędne do zapewnienia osobie, której dane osobowe dotyczą, kontroli prawidłowości procesu przetwarzania danych osobowych.

Zgodnie z art. 31 ust. 1 ustawy o ochronie danych osobowych, administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. W myśl art. 31 ust. 2 ustawy, podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

Obowiązek przechowywania przez spółki prawa handlowego dokumentacji w celach archiwalnych, wynikający z art. 74 ust. 2 pkt 8 ww. ustawy, odbywa się w celu realizacji uprawnień i obowiązków wynikających z ww. aktu prawnego, a więc w oparciu o przesłankę legalizującą przetwarzanie danych osobowych z art. 23 ust. 1 pkt 2 ustawy.

Przy przetwarzaniu dane osobowe powinny być należycie zabezpieczone. Administrator danych jest obowiązany, jak stanowi art. 36 ust. 1 ustawy, zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Art. 299 § 1 ustawy Ordynacja podatkowa stanowi, iż organy podatkowe udostępniają informacje zawarte w aktach spraw podatkowych, z wyłączeniem informacji określonych w art. 182, organom i osobom wymienionym w art. 298. Informacje, o których mowa w § 1, udostępniane są również komornikom sądowym w związku z toczącym się postępowaniem egzekucyjnym lub zabezpieczającym (§ 3 pkt 8).

Przepisem uprawniającym administratorów danych do przetwarzania danych osób fizycznych, w tym ich udostępniania, jest art. 23 ust. 1 ustawy o ochronie danych osobowych, zgodnie z którym, przetwarzanie danych jest dopuszczalne tylko wtedy, gdy spełniona jest jedna z przesłanek taksatywnie wskazanych w tym przepisie.

Generalny Inspektor nie jest organem kontrolującym ani nadzorującym prawidłowość stosowania prawa materialnego i procesowego w sprawach należących do właściwości innych organów, służb czy sądów, których orzeczenia podlegają ocenom w toku instancji, czy w inny sposób określony odpowiednimi procedurami.

W toku prowadzonego postępowania wyjaśniającego Generalny Inspektor ustalił, iż Przewodniczący Rady Miejskiej w G. nie przetwarza obecnie danych osobowych Skarżącego w kwestionowanym przez niego zakresie, nie jest więc możliwym wydanie nakazu ich usunięcia.

Należy wskazać, że zgodnie z art. 47 ust. 1 ustawy o ochronie danych osobowych, przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych.

Administrator danych osobowych może przetwarzać dane osobowe samodzielnie, nie ma jednak przeszkód, aby w ramach dozowanych przez prawo rozwiązań korzystał z usług innych podmiotów. Kurier doręczający przesyłkę, w pewnym zakresie (objętym przedmiotem zlecenia), wykonuje czynności przysługujące administratorowi danych – Spółce.

Zgodnie z art. 31 ust. 1 ustawy o ochronie danych osobowych, uprawnienie do powierzenia przetwarzania danych przysługuje wyłącznie administratorowi danych. Co do zasady nie może tego zatem dokonać podmiot, któremu dane zostały powierzone do przetwarzania.

Administrator danych powinien ze względów bezpieczeństwa traktować wszystkie informacje związane z adresem IP jako dane osobowe. Wyjątek od tej zasady stanowi przypadek, gdy administrator danych może stwierdzić z całkowitą pewnością, iż dane dotyczą użytkowników niemożliwych do zidentyfikowania.

Administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Zgodnie z art. 36 ust. 2 ustawy o ochronie danych osobowych, administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.

Wiarygodne uzasadnienie potrzeby posiadania danych chronionych powinno być na tyle szczegółowe, aby umożliwiło organowi ocenę tego, czy wskutek udostępnienia danych nie zostaną naruszone prawa i wolności konkretnych osób.

Wspólnota została upoważniona do przetwarzania danych osobowych właścicieli lokali mieszkalnych (w tym również Skarżącej), na podstawie przepisów ustawy o własności lokali. Skoro Skarżąca jest właścicielem mieszkania należącego do Wspólnoty to jej dane osobowe, jako członka tej Wspólnoty, są przetwarzane dla celów związanych z zarządem nieruchomością wspólną (w tym dla celów związanych rozliczeniami) na podstawie ww. przepisów prawa.