Wiele spółdzielni mieszkaniowych żyje mentalnie jeszcze w czasach PRL, gdy teczka lokatora była czymś w rodzaju notatnika prowadzonego przez administrację: wszystko do niej wrzucano, wszystko przechowywano, wszystko „wypadało wiedzieć”, aby na każde życzenie prezesa mieć na kogoś tzw. haki. Tyle że dziś obowiązuje RODO, a więc jasna zasada: spółdzielnia może gromadzić tylko te dane, które są absolutnie niezbędne do realizacji obowiązków wynikających z prawa. Zbieranie reszty jest nielegalne.
Poniżej przedstawiam zebrany przeze mnie i usystematyzowany spis informacji, których nie wolno przetwarzać ani przechowywać, oraz skutki prawne dla prezesa i pracowników, jeśli mimo tego zakazu gromadzą je, nie usuwają starych i wprowadzają nowe.
❌ 1. Informacje o orientacji seksualnej i zmianie płci
To dane szczególnej kategorii — jedne z najbardziej chronionych w całym systemie prawnym. Zakazane jest gromadzenie jakichkolwiek danych o: orientacji seksualnej, tożsamości płciowej, procesie korekty płci, partnerach życiowych, relacjach intymnych i rodzinnych. Nie ma żadnej podstawy prawnej, by spółdzielnia to przetwarzała — nawet „dla porządku”, „dla wiedzy”, „bo sąsiadka powiedziała”. Podstawa prawna: art. 9 ust. 1 RODO — zakaz przetwarzania szczególnych kategorii danych.
❌ 2. Dane o stanie zdrowia, chorobach i kalectwie
Spółdzielnia nie może gromadzić: informacji o chorobach przewlekłych, stopniu niepełnosprawności, wyników badań, dokumentacji medycznej, informacji o operacjach, leczeniu psychiatrycznym, informacji o uzależnieniach (alkohol, narkotyki, leki), informacji o przebytej hospitalizacji. Wyjątek: jedynie gdy sam lokator dobrowolnie dostarczy dokument (np. w ramach ubiegania się o lokal socjalny), ale nawet wtedy wolno go przechowywać tylko w minimalnym zakresie i tylko przez okres konieczny. Podstawa prawna: art. 9 RODO.
❌ 3. Dane o życiu prywatnym, dramaty osobiste, nałogi, konflikty
W teczkach lokatorów nie mogą się znajdować: opisy konfliktów rodzinnych i rozwodów, informacje o przemocy domowej, donosy o tym, kto z kim mieszka, oceny moralne i obyczajowe, komentarze o sposobie życia, informacje o długach prywatnych, notatki o „głośnym trybie życia”, „kochance”, „częstych wizytach gości”, informacje o rzekomych nałogach lub problemach psychicznych. Nawet jeśli są prawdziwe — spółdzielnia NIE MA PRAWA ich przetwarzać. Podstawa: art. 5 ust. 1 lit. c RODO — zasada minimalizacji danych.
❌ 4. Żądanie danych osobowych członków rodziny, znajomych, partnerów
Spółdzielnia nie może: pytać o dane partnera, jeśli nie jest właścicielem lub najemcą, przechowywać danych gości, bywalców, wypytywać o relacje między lokatorami, prowadzić prywatnych „dochodzeń”. Wszelkie „charakterystyki środowiskowe” czy notatki prezesa z rozmów z mieszkańcami są nielegalne i podlegają natychmiastowemu usunięciu.
❌ 5. Dane „gromadzone na wszelki wypadek”
Spółdzielnie często przechowują: kserokopie dowodów osobistych (zakazane!), numery paszportów, numery PESEL osób niebędących właścicielami, dane o miejscach pracy, zarobkach, umowach cywilnoprawnych, zaświadczenia o niekaralności. Te dane nie są potrzebne do obsługi lokalu – więc nie wolno ich przetwarzać. Podstawa: art. 5 ust. 1 lit. c RODO.
Odpowiedzialność prezesa i pracowników za łamanie RODO
Przetwarzanie danych, do których spółdzielnia nie ma prawa, to nie jest błąd administracyjny. To naruszenie prawa, za które prezes i pracownicy mogą odpowiadać osobiście.
1. Kara administracyjna (UODO) Za naruszenia RODO: do 20 mln euro lub do 4% rocznego obrotu – w praktyce kary są niższe, ale i 50–200 tys. zł jest realne. Podstawa: art. 83 RODO.
2. Odpowiedzialność cywilna (odszkodowanie) Każdy lokator może żądać od spółdzielni (i od osoby odpowiedzialnej) odszkodowania. Podstawa: art. 82 RODO.
3. Odpowiedzialność karna W polskiej ustawie o ochronie danych osobowych (2018): art. 107 ust. 1 i 2 – za nieuprawnione udostępnianie danych: kara grzywny, ograniczenia wolności lub nawet do 2 lat pozbawienia wolności. A jeśli chodzi o dane szczególnej kategorii (np. dotyczące zdrowia czy orientacji seksualnej) — sankcja rośnie.
4. Odpowiedzialność dyscyplinarna i kadrowa Rada nadzorcza może: zawiesić prezesa, odwołać go, wszcząć postępowanie wyjaśniające, skierować sprawę do prokuratury.
Co może zrobić lokator?
Oto co może:
1. Żądać pełnej kopii danych o sobie (art. 15 RODO).
2. Zażądać natychmiastowego usunięcia danych zebranych nielegalnie (art. 17 RODO).
3. Zgłosić sprawę do UODO. Złożyć pozew o naruszenie dóbr osobistych (art. 23–24 k.c.).
4. Zawiadomić prokuraturę, jeśli dane były ujawniane lub zbierane podstępem.
