Naruszenie RODO przez wspólnotę mieszkaniową - decyzja UODO z 7 kwietnia 2026 r.

Naruszenie RODO przez wspólnotę mieszkaniową - decyzja UODO z 7 kwietnia 2026 r.

Decyzja Prezesa Urzędu Ochrony Danych Osobowych z 7 kwietnia 2026 r. (sygn. DKN.5131.16.2025) dotyczyła naruszenia obowiązków administratora danych osobowych przez jedną ze wspólnot mieszkaniowych. Sprawa stała jest przykładem tego, jak rygorystycznie stosowane są przepisy ogólnego rozporządzenia o ochronie danych (RODO), szczególnie w zakresie obowiązku zgłaszania naruszeń.

Postępowanie zostało wszczęte z urzędu po zgłoszeniu potencjalnego naruszenia ochrony danych osobowych, które polegało na przesłaniu dokumentu z rozliczeniem opłat mieszkaniowych do osoby nieuprawnionej.

W dokumencie znajdowały się m.in.:

• imię i nazwisko mieszkańca,

• adres,

• numer lokalu,

• dane finansowe (rozliczenia, kwoty, rachunek bankowy),

• odczyty liczników.

  
  

Choć incydent dotyczył jednego lokatora, organ uznał, że zakres ujawnionych danych był istotny z punktu widzenia ochrony prywatności.

Wspólnota mieszkaniowa twierdziła, że:

• nie doszło do naruszenia ochrony danych osobowych,

• dane miały charakter „zwykły”,

• incydent dotyczył tylko jednej osoby,

• członkowie wspólnoty mają szerokie prawo dostępu do dokumentacji.

Organ nadzorczy nie zgodził się z tym stanowiskiem, wskazując, że prawo dostępu do dokumentów wspólnoty nie oznacza prawa do nieograniczonego udostępniania danych osobowych. Najważniejszą kwestią była interpretacja art. 33 ust. 1 RODO, który nakłada na administratora obowiązek zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego w ciągu 72 godzin, jeżeli istnieje ryzyko naruszenia praw lub wolności osób fizycznych. Wspólnota uznała, że ryzyko nie występuje, więc nie dokonała zgłoszenia.

Urząd Ochrony Danych Osobowych uznał, że:

• doszło do nieuprawnionego ujawnienia danych osobowych,

• administrator błędnie ocenił brak obowiązku zgłoszenia,

• naruszenie RODO wystąpiło niezależnie od liczby osób (nawet jedna osoba wystarczy),

• ryzyko naruszenia praw i wolności istniało,

• brak zgłoszenia stanowił naruszenie art. 33 ust. 1 RODO.

Organ podkreślił, że obowiązek zgłoszenia ma charakter formalny i nie zależy od tego, czy szkoda faktycznie wystąpiła.

Prezes UODO nałożył na wspólnotę karę pieniężną w wysokości 4 852 zł

Choć kwota jest relatywnie niewielka, organ wskazał, że:

• naruszenie miało charakter umyślny po uzyskaniu informacji od UODO,

• wspólnota konsekwentnie odmawiała zgłoszenia,

• brak współpracy zwiększył odpowiedzialność administratora.

Najważniejsze wnioski z decyzji

1. Jedna osoba też wystarczy - naruszenie RODO nie musi dotyczyć wielu osób – nawet pojedynczy przypadek może uruchomić obowiązki administratora.

2. Błędna ocena ryzyka nie zwalnia z odpowiedzialności - Administrator musi umieć prawidłowo ocenić ryzyko. Jeśli tego nie zrobi, ponosi konsekwencje.

3. Członkostwo we wspólnocie nie oznacza automatycznego prawa do otrzymywania cudzych danych.

4. Obowiązek zgłoszenia jest kluczowy - Art. 33 RODO ma fundamentalne znaczenie dla systemu ochrony danych w UE a jego ignorowanie traktowane jest jako poważne naruszenie.

Sprawa wspólnoty mieszkaniowej potwierdza, że ochrona danych osobowych w UE opiera się na zasadzie prewencji i formalnej odpowiedzialności. Nawet jeśli naruszenie wydaje się niewielkie, brak zgłoszenia może skutkować sankcją. Decyzja jest nieprawomocna.