II SA/Wa 2136/11
WyrokWSA w Warszawie2012-02-03
Skład orzekający: Iwona Dąbrowska, Andrzej Góraj, Ewa Marcinkowska
Analiza orzeczenia
Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.
Zagadnienie prawne
Czy wspólnota mieszkaniowa, która powierzyła przetwarzanie danych osobowych członków zarządcy nieruchomości, jest administratorem danych osobowych w rozumieniu ustawy o ochronie danych osobowych i czy ciąży na niej obowiązek opracowania polityki bezpieczeństwa oraz wyznaczenia administratora bezpieczeństwa informacji?Ratio decidendi
Wspólnota mieszkaniowa, nawet jeśli powierzyła przetwarzanie danych osobowych członków zarządcy nieruchomości, pozostaje administratorem danych osobowych. W związku z tym ciąży na niej obowiązek opracowania polityki bezpieczeństwa oraz wyznaczenia administratora bezpieczeństwa informacji, zgodnie z przepisami ustawy o ochronie danych osobowych. Przepis art. 3a ust. 1 pkt 1 ustawy o ochronie danych osobowych, wyłączający stosowanie ustawy do osób fizycznych przetwarzających dane wyłącznie w celach osobistych lub domowych, nie ma zastosowania do wspólnoty mieszkaniowej, która nie jest osobą fizyczną i przetwarza dane w celach związanych z zarządzaniem nieruchomością.Stan faktyczny
Wspólnota Mieszkaniowa została zobowiązana przez Generalnego Inspektora Ochrony Danych Osobowych (GIODO) do opracowania polityki bezpieczeństwa i wyznaczenia administratora bezpieczeństwa informacji. Wspólnota kwestionowała te obowiązki, argumentując, że przetwarza dane osobowe wyłącznie w celach osobistych i domowych, nie jest administratorem danych, a także nie posiada osobowości prawnej. GIODO utrzymał w mocy swoją decyzję, wskazując, że wspólnota jest administratorem danych, a powierzenie ich przetwarzania zarządcy nie zwalnia jej z obowiązków. Wspólnota wniosła skargę do Wojewódzkiego Sądu Administracyjnego w Warszawie.Rozstrzygnięcie
Oddalono skargę Wspólnoty Mieszkaniowej.Pełny tekst orzeczenia
Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA Iwona Dąbrowska (spr.) Sędziowie WSA Andrzej Góraj Ewa Marcinkowska Protokolant referent stażysta Marcin Borkowski po rozpoznaniu na rozprawie w dniu 3 lutego 2012 r. sprawy ze skargi W. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] lipca 2011 r. nr [...] w przedmiocie nakazu usunięcia uchybień w procesie przetwarzania danych osobowych - oddala skargę
Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] czerwca 2011 r. nr [...], wydaną na podstawie art. 12 pkt 2, art. 18 ust. 1 pkt 1, art. 22 w związku z art. 36 ust. 2 i ust. 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 ze zm.) oraz § 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Wspólnotę Mieszkaniową [...] z siedzibą w [...], nakazał usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:
• opracowanie i wdrożenie polityki bezpieczeństwa, w terminie 7 dni od dnia, w którym decyzja stanie się ostateczna,
• wyznaczenie administratora bezpieczeństwa informacji, w terminie 7 dni od dnia, w którym decyzja stanie się ostateczna.
W uzasadnieniu decyzji organ podniósł, że inspektorzy upoważnieni przez Generalnego Inspektora Ochrony Danych Osobowych, przeprowadzili we Wspólnocie Mieszkaniowej [...] z siedzibą w [...], kontrolę zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. W toku kontroli organ dokonał oględzin pomieszczeń, w których odbywa się przetwarzanie danych osobowych. Z tak zgromadzonego materiału dowodowego ustalił, że w procesie przetwarzania danych osobowych Wspólnota, jako administrator danych, naruszyła przepisy o ochronie danych osobowych, polegające na nieopracowaniu i niewdrożeniu polityki bezpieczeństwa oraz na niewyznaczeniu administratora bezpieczeństwa informacji. W związku z tym, w dniu [...] kwietnia 2011 r. Generalny Inspektor Ochrony Danych Osobowych wszczął z urzędu postępowanie administracyjne w celu wyjaśnienia okoliczności sprawy.
Pismem z dnia [...] maja 2011 r. D. G. i G. O., Członkowie Zarządu Wspólnoty, poinformowali, iż Wspólnota nie przetwarza danych osobowych mieszkańców Wspólnoty. Żadne dokumenty Wspólnoty i jej mieszkańców nie są i nie były przechowywane w siedzibie Wspólnoty. Wobec powyższego, zdaniem Wspólnoty, po jej stronie nie wystąpił i nie występuje obowiązek opracowania i wdrożenia polityki bezpieczeństwa, ponieważ jest ona bezprzedmiotowa.
W związku z powyższym organ powołał się na treść art. 36 ust. 2 ustawy o ochronie danych osobowych i wyjaśnił, że administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1. W myśl § 3 ust. 1 rozporządzenia MSWiA z dnia 29 kwietnia 2004 r., na dokumentację tę składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Zgodnie z § 3 ust. 2 i ust. 3 rozporządzenia, dokumentację tę, prowadzoną w formie pisemnej, wdraża administrator danych. Stosownie do treści art. 36 ust. 3 ustawy o ochronie danych osobowych administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba, że sam wykonuje te czynności.
Ponadto organ powołał się na treść art. 31 ust. 1 ustawy o ochronie danych osobowych, zgodnie z którym administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot, któremu powierzono przetwarzanie danych osobowych, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39 ustawy, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a ustawy. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych. W powyższych przypadkach odpowiedzialność za przestrzeganie przepisów ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową (art. 31 ust. 4 ustawy).
Odnosząc powyższe do sprawy organ ustalił, że Wspólnota zawarła w dniu [...] maja 2009 r. z podmiotem o nazwie [...] s.c. [...] z siedzibą w [...] przy ul. [...], umowę administrowania nieruchomością. W związku z wykonywaniem tej umowy podmiot ten przetwarza dane osobowe członków Wspólnoty zawarte w rejestrze wszystkich członków Wspólnoty, rejestrze wynajętych dodatkowych miejsc postojowych przez członków Wspólnoty oraz w umowach o wynajęcie dodatkowego miejsca postojowego. Z powyższego wynika, iż jest on podmiotem któremu, zgodnie z art. 31 ust. 1 ustawy o ochronie danych osobowych Wspólnota, jako administrator danych, powierzyła przetwarzanie danych osobowych.
Organ wskazał, że administratorem danych członków wspólnoty mieszkaniowej jest ta Wspólnota i w związku z tym na niej spoczywają obowiązki wynikające z ustawy o ochronie danych osobowych. Zarząd wspólnoty działa jako jej organ, a zarządca nieruchomości pełni rolę podmiotu, któremu administrator danych powierzył przetwarzanie danych. Zatem Wspólnota jak i zarządca, są zobligowani stosować wymagania odnoszące się do zabezpieczenia danych, zgodnie z normami art. 36-39 ustawy o ochronie danych osobowych i rozporządzenia MSWiA z dnia 29 kwietnia 2004 r.
Reasumując organ stwierdził, że na Wspólnocie, jako administratorze danych osobowych członków Wspólnoty, ciąży także obowiązek opracowania polityki bezpieczeństwa oraz wyznaczenia administratora bezpieczeństwa informacji, których to obowiązków Wspólnota nie dopełniła.
Od decyzji tej Wspólnota złożyła wniosek o ponowne rozpatrzenie sprawy, w którym podniosła, że decyzja została wydana z rażącym naruszeniem prawa, gdyż przepisy ustawy o ochronie danych osobowych nie powinny mieć zastosowania. Uzasadniając powyższe stanowisko Wspólnota powołała się na art. 3a ust. 1 pkt 1 ustawy o ochronie danych osobowych, zgodnie z którym ustawy nie stosuje się do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych. Jednocześnie wskazała, że zgodnie z art. 6 ustawy z dnia 24 czerwca 1994 r. o własności lokali (Dz. U. 2000 r. Nr 80, poz. 903 ze zm.) wspólnotę mieszkaniową tworzy ogół właścicieli, których lokale wchodzą w skład określonej nieruchomości. Wspólnota podkreśliła, że jej członkami są osoby fizyczne, a jedynym celem działania Wspólnoty (a zatem ogółu właścicieli lokali) jest zaspokajanie osobistych potrzeb mieszkaniowych swoich członków. W związku z powyższym Wspólnota podniosła, że ogół właścicieli lokali tworzących Wspólnotę Mieszkaniową [...] z siedzibą w [...], przetwarza własne dane osobowe w celach osobistych lub domowych. Zdaniem Wspólnoty nałożenie na nią obowiązku opracowania polityki bezpieczeństwa oraz powołania administratora bezpieczeństwa informacji było pozbawione podstawy prawnej. Ponadto Wspólnota podkreśliła, że nie może być adresatem decyzji, z uwagi na brak osobowości prawnej.
Zdaniem Wspólnoty, nie prowadzi ona zbioru danych osobowych, zatem nie mogą być na nią nakładane obowiązki przewidziane w ustawie o ochronie danych osobowych.
Po rozpatrzeniu wniosku o ponowne rozpoznanie sprawy, Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] lipca 2011 r. nr [...] utrzymał w mocy decyzję z dnia [...] czerwca 2011 r.
W jej uzasadnieniu organ odwoławczy podniósł, że przedstawione przez Wspólnotę argumenty nie zasługują na uwzględnienie. Nie zgodził się z twierdzeniem, że przepisy ustawy o ochronie danych osobowych nie mają zastosowania w sprawie. Podniósł, że administratorem danych osobowych członków wspólnoty mieszkaniowej jest ta Wspólnota, co wynika z treści art. 6 ustawy o własności lokali, który wskazuje, iż wspólnota mieszkaniowa jest podmiotem praw i obowiązków wynikających z tej ustawy. Zarząd wspólnoty działa jako jej organ, który kieruje sprawami wspólnoty mieszkaniowej i reprezentuje ją na zewnątrz oraz w stosunkach między wspólnotą a poszczególnymi właścicielami lokali. Za wypełnienie obowiązków nałożonych na administratorów danych na mocy przepisów ustawy o ochronie danych osobowych odpowiada zatem wspólnota mieszkaniowa i nie może ona uwolnić się od nich powołując się na art. 3a ust. 1 pkt 1 ustawy o ochronie danych osobowych.
Zdaniem organu, nie zasługuje na uwzględnienie argument, iż Wspólnota nie może być adresatem decyzji, z uwagi na brak osobowości prawnej. Wskazał przy tym na ugruntowany pogląd, że wspólnoty mieszkaniowe należą do kategorii tzw. "ułomnych osób prawnych", tzn. jednostek organizacyjnych nieposiadających osobowości prawnej, które jednak "są traktowane w obrocie tak, jakby były osobami prawnymi, z tym tylko zastrzeżeniem, że stają się one nosicielami praw i obowiązków nie w pełnym, lecz ograniczonym zakresie" (A. Wolter, J. Ignatowicz, K. Stefaniuk "Prawo cywilne - zarys części ogólnej ". Warszawa 2001, str. 229).
Odnosząc się do argumentów Wspólnoty, że nie prowadzi zbioru danych osobowych, organ powołał się na wyjaśnienia złożone w toku kontroli przez Przewodniczącego Zarządu Wspólnoty, w których wskazuje on, iż dla Wspólnoty jest prowadzona dokumentacja papierowa zawierająca dane osobowe członków Wspólnoty taka jak: rejestr członków Wspólnoty, rejestr wynajętych dodatkowych miejsc postojowych, umowy najmu miejsca parkingowego zawarte z członkami Wspólnoty. Jednocześnie organ wskazał, że z materiału dowodowego wynika, iż prowadzeniem tej dokumentacji zajmuje się spółka o nazwie [...] s.c. [...] z siedzibą w [...], z którą Wspólnota podpisała w dniu [...] maja 2009 r. "umowę administrowania nieruchomością".
Zdaniem organu, "umowę administrowania nieruchomością" należy uznać za umowę, na podstawie której Wspólnota, jako administrator danych, powierzyła innemu podmiotowi przetwarzanie danych osobowych swoich członków. Zawarcie przez administratora danych umowy wskazanej w art. 31 ust. 1 ustawy o ochronie danych osobowych i tym samym powierzenie innemu podmiotowi przetwarzania danych osobowych w zakresie i celu określonym w tej umowie, nie zwalnia go z obowiązków wynikających z art. 36 ust. 2 i 3 ustawy, tj. obowiązku opracowania polityki bezpieczeństwa oraz wyznaczenia administratora bezpieczeństwa informacji, których Wspólnota nie dopełniła.
Powyższa decyzja stała się przedmiotem skargi Wspólnoty Mieszkaniowej [...] z siedzibą w [...] do Wojewódzkiego Sądu Administracyjnego w Warszawie, w której wniosła o uchylenie zaskarżonej decyzji w całości oraz zasądzenie kosztów postępowania według norm przepisanych.
Zaskarżonej decyzji Wspólnota zarzuciła naruszenie:
1. art. 3a ust. 1 pkt 1 ustawy o ochronie danych osobowych, poprzez jego niezastosowanie, tj. przyjęcie, że przetwarzanie danych właścicieli lokali - członków wspólnoty mieszkaniowej nie jest przetwarzaniem danych przez osoby fizyczne w celach osobistych lub domowych,
2. art. 7 pkt 1 ustawy o ochronie danych osobowych, poprzez błędną wykładnię, tj. przyjęcie, iż spis właścicieli mieszkań prowadzony przez wspólnotę mieszkaniową zgodnie z obowiązkiem wynikającym z ustawy o własności lokali jest zbiorem danych w rozumieniu ustawy o ochronie danych osobowych,
3. art. 36 ust. 2 i 3 ustawy o ochronie danych osobowych oraz § 4 rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych poprzez niewłaściwe zastosowanie, tj. nałożenie obowiązków administratora danych na skarżącego, który nie jest administratorem danych w rozumieniu ustawy - o ochronie danych osobowych,
4. art. 29 kpa, poprzez przyznanie przymiotu strony w postępowaniu administracyjnym wspólnocie mieszkaniowej,
5. art. 7, 77 § 1 i art. 80 kpa polegające na niewyczerpującym zebraniu i mylnym rozpatrzeniu materiału dowodowego, a także nienależytym wyjaśnieniu stanu faktycznego, które doprowadziło do nieuzasadnionego wniosku, iż skarżący przetwarza dane osobowe zawarte w zbiorze danych osobowych,
6. naruszenie przepisu art. 8 kpa, poprzez prowadzenie postępowania w sposób, który uniemożliwił realizację zasady pogłębiania zaufania obywateli do organów państwa, poprzez prowadzenie kontroli u skarżącego, a następnie postępowania w sposób oparty na z góry przyjętych założeniach, ujawnionych w protokole, iż skarżący przetwarza dane osobowe pod rządami ustawy o ochronie danych osobowych.
W uzasadnieniu skargi Wspólnota podniosła, że zaskarżona decyzja jest wadliwa i wydana została z rażącym naruszeniem prawa. Skarżąca wskazała, że realizowane przez nią przetwarzanie danych osobowych obejmuje dane właścicieli lokali dla swoich własnych, osobistych i domowych potrzeb, a to oznacza, że zgodnie z art. 3a ust. 1 pkt 1 ustawy o ochronie danych osobowych, do tych osób nie stosuje się ustawy. Skarżąca podniosła, że Wspólnota Mieszkaniowa [...] jest wspólnotą osób fizycznych, które przetwarzają dane osobowe wyłącznie w celach osobistych lub domowych. Zatem nałożenie na skarżącą obowiązków opracowania polityki bezpieczeństwa oraz powołania administratora bezpieczeństwa informacji jest pozbawione podstawy prawnej. Zdaniem skarżącej, spis właścicieli lokali i przypadających im udziałów w nieruchomości wspólnej, o którym mowa w art. 29 ustawy o własności lokali i prowadzony przez skarżącą w formie papierowego spisu nie stanowi zbioru danych w rozumieniu ustawy o ochronie danych osobowych. Zaskarżona decyzja nie różnicuje wspólnoty, zarządu oraz zarządcy nieruchomości. W toku postępowania GIODO wziął pod uwagę dokumenty i dane przetwarzane nie przez skarżącą, tj. przez Wspólnotę, a przez zarządcę nieruchomości. Wspólnota ani zarząd wspólnoty nie posiada bowiem jakiegokolwiek pomieszczenia i jedyne dokumenty papierowe, tj. uchwały zarządu wspólnoty gromadzone są i przechowywane przez zarządcę nieruchomości. Skarżąca wskazała, że prowadzony przez nią spis nie pozwala na dostęp do danych według żadnego kryterium. Dane osobowe właścicieli lokali są przyporządkowane do lokali będących ich własnością i nie ma możliwości przeszukiwania tego zbioru nawet według kryterium alfabetycznego. Kryteriów zbioru danych w rozumieniu ustawy o ochronie danych osobowych nie spełnia również rejestr wynajętych miejsc postojowych prowadzony przez zarządcę nieruchomości, który także nie jest zestawem danych o charakterze osobowym, dostępnym według określonych kryteriów. Zdaniem skarżącej, jeżeli nie przetwarza danych zawartych w zbiorze danych, to nie mają do niej zastosowania przepisy ustawy o ochronie danych osobowych. Bezpodstawne jest w takiej sytuacji obciążanie skarżącą obowiązkami administratora danych, takich jak opracowanie i wdrożenie polityki bezpieczeństwa i wyznaczenie administratora bezpieczeństwa informacji.
Ponadto skarżąca podniosła, że wspólnota mieszkaniowa nie posiada osobowości prawnej i jako taka nie może być adresatem decyzji.
Dodatkowo skarżąca podkreśliła, że organ zaniechał zbadania podstawowych przesłanek zastosowania wobec niej regulacji ustawy o ochronie danych osobowych, tj. czy spis, który prowadzi skarżąca jest zbiorem danych osobowych, a co za tym idzie, czy skarżąca jest administratorem danych w rozumieniu ustawy o ochronie danych osobowych i tym samym obowiązana jest wypełniać przewidziane tam obowiązki. Zdaniem skarżącej w sprawie doszło do wyciągnięcia błędnych wniosków z zebranego materiału dowodowego, gdyż dokumenty i dane przetwarzane przez zarządcę nieruchomości, w celu należytego wykonania umowy o zarządzanie nieruchomością dały podstawę do wydania przez organ decyzji w sprawie innego podmiotu - tj. wspólnoty mieszkaniowej, której zarząd prowadzi spis członków wspólnoty niebędący zbiorem danych. Organ nie podjął wszelkich czynności niezbędnych do dokładnego wyjaśnienia stanu faktycznego, wskutek czego nie zostało zweryfikowane założenie, że skarżąca przetwarza dane zawarte w zbiorze danych w rozumieniu ustawy o ochronie danych osobowych.
Reasumując skarżąca podniosła, że zaskarżona decyzja zobowiązuje Wspólnotę do opracowania i wdrożenia polityki bezpieczeństwa oraz wyznaczenia administratora bezpieczeństwa informacji, bez jednoczesnego określenia zbioru danych osobowych i konieczności jego zarejestrowania.
W odpowiedzi na skargę organ wniósł o jej oddalenie, podtrzymując argumenty przedstawione w zaskarżonej decyzji.
Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje:
Zgodnie z art. 1 § 1 i § 2 ustawy z dnia 25 lipca 2002 r. - Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.) sąd administracyjny sprawują wymiar sprawiedliwości przez kontrolę działalności administracji publicznej pod względem ich zgodności z prawem jeżeli ustawy nie stanowią inaczej.
Rozpoznając skargę w świetle powołanych powyżej przepisów należy stwierdzić, że nie zasługuje ona na uwzględnienie.
Przystępując do rozpatrzenia niniejszej sprawy wskazać należy, że dla jej rozstrzygnięcia decydujące znaczenie ma odpowiedź na pytanie czy skarżaca, będąca wspólnotą mieszkaniową, przetwarza dane osobowe i czy mają w stosunku do niej zastosowanie przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.).
Przypomnieć należ, że decyzją z dnia [...] czerwca 2011 r., Generalny Inspektor Ochrony Danych Osobowych nakazał Wspólnocie Mieszkaniowej [...] z siedzibą w [...], usunięcie uchybień w procesie przetwarzania danych osobowych poprzez:
• opracowanie i wdrożenie polityki bezpieczeństwa, w terminie 7 dni od dnia, w którym decyzja stanie się ostateczna,
• wyznaczenie administratora bezpieczeństwa informacji, w terminie 7 dni od dnia, w którym decyzja stanie się ostateczna.
Wskazać należy, wspólnoty mieszkaniowe są tworzone na podstawie przepisów ustawy z dnia 24 czerwca 1994 r. o własności lokali, a w zakresie w niej nieuregulowanym przepisów ustawy z dnia 23 kwietnia 1964 r. Kodeks cywilny. Wspólnotę mieszkaniową tworzy zatem ogół właścicieli, których lokale wchodzą w skład "określonej nieruchomości", co oznacza, że wspólnotę mogą tworzyć tylko ci właściciele, których lokale były przed wyodrębnieniem częściami składowymi oznaczonej nieruchomości gruntowej. Z przepisów Księgi Drugiej Tytułu I Działu IV Kodeksu wynika, że współwłaściciele dla prawidłowego zarządzania współwłasnością muszą znać dane osobowe pozostałych współwłaścicieli. Zgodnie bowiem art. 200 Kc każdy ze współwłaścicieli jest obowiązany do współdziałania w zarządzie rzeczą wspólną. Również ustawa o własności lokali w art. 29 ust. 3 stanowi, że prawo kontroli działalności zarządu służy każdemu właścicielowi lokalu.
Z przepisów tych wynika zatem uprawnienie każdego współwłaściciela do dostępu do dokumentacji związanej z zarządzaniem nieruchomością. Wspólnota mieszkaniowa jest zatem z mocy prawa uprawniona do przetwarzania danych osobowych swoich członków. Z kodeksu cywilnego zaś wynika, że współwłaściciele dla prawidłowego zarządzania współwłasnością muszą znać dane osobowe pozostałych współwłaścicieli.
Administratorem danych członków wspólnoty mieszkaniowej jest ta wspólnota, gdyż jak wynika z art. 6 ust. z dnia 24 czerwca 1994 r. o własności lokali (Dz.U. z 2000 r. Nr 80, poz. 903 ze zm.) – jest ona podmiotem praw i obowiązków wynikających z tejże ustawy. W związku z tym na niej spoczywają obowiązki wynikające z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.). Zarząd wspólnoty, o ile został powołany, działa jako organ. Zarządca nieruchomości pełni zazwyczaj rolę podmiotu, o którym mowa w art. 31 ustawy o ochronie danych osobowych – a więc podmiotu, któremu administrator danych powierzył przetwarzanie danych. Jednakże jego status uzależniony jest od konstrukcji umowy, którą zawarł ze wspólnotą.
Administrator danych osobowych nie może przenieść swojej odpowiedzialności na zleceniobiorcę, któremu powierzył przetwarzanie części bądź całości swoich zbiorów danych osobowych. Tak więc to właściciel nieruchomości jest z mocy ustawy administratorem danych, nawet gdy powierzy zadanie przetwarzania danych zarządcy nieruchomości.
W myśl art. 29 ust. 1 ustawy o własności lokali, zarząd lub zarządca, któremu zarząd powierzono w sposób określony w art. 18 ust. 1e, jest obowiązany prowadzić i aktualizować spis właścicieli lokali i przypadających im udziałów w nieruchomości wspólnej. W tym celu zarządca może żądać od właścicieli lokali okazania dokumentów potwierdzających prawo własności.
W rozpoznawanej sprawie nie budzi wątpliwości okoliczność, że Wspólnota zawarła w dniu [...] maja 2009 r. z podmiotem o nazwie [...] s.c. [...] z siedzibą w [...], umowę administrowania nieruchomością. W związku z wykonywaniem tej umowy podmiot ten przetwarza dane osobowe członków Wspólnoty zawarte w rejestrze wszystkich członków Wspólnoty, rejestrze wynajętych dodatkowych miejsc postojowych przez członków Wspólnoty oraz w umowach o wynajęcie dodatkowego miejsca postojowego. Z powyższego wynika, iż jest on podmiotem któremu, zgodnie z art. 31 ust. 1 ustawy o ochronie danych osobowych Wspólnota, jako administrator danych, powierzyła przetwarzanie danych osobowych.
Nie mniej jednak, administratorem danych członków wspólnoty mieszkaniowej jest nadal ta Wspólnota i w związku z tym to na niej spoczywają obowiązki wynikające z ustawy o ochronie danych osobowych. Zarząd wspólnoty działa jako jej organ, a zarządca nieruchomości pełni rolę podmiotu, któremu administrator danych powierzył przetwarzanie danych.
Sąd podziela zatem pogląd organu, że Wspólnota jak i zarządca, są zobligowani stosować wymagania odnoszące się do zabezpieczenia danych, zgodnie z normami art. 36-39 ustawy o ochronie danych osobowych i rozporządzenia MSWiA z dnia 29 kwietnia 2004 r., w tym opracowanie i wdrożenie polityki bezpieczeństwa oraz wyznaczenie administratora bezpieczeństwa, o jakim mowa w art. 36 ust. 2 i 3 powołanej ustawy o ochronie danych osobowych.
Jednocześnie Sąd nie podziela zarzutów skarżącej odnośnie zastosowania w stosunku do niej przepisów art. 3a ust. 1 pkt 1 powołanej ustawy o ochronie danych osobowych. Zgodnie z tym przepisem, ustawy nie stosuje się do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych. Wskazać należy, że najbardziej typowym przykładem przetwarzania przez osoby fizyczne, wyłącznie w celach osobistych to np. gromadzenie danych w osobistych notatnikach, notebookach i domowych komputerach. Z kolei można przyjąć, że "zakres własnego użytku osobistego obejmuje (...) krąg osób pozostających w związku osobistym, w szczególności pokrewieństwa, powinowactwa lub stosunku towarzyskiego". Tak więc skoro wspólnota jest administratorem danych wspólników a jej zarząd, który, działa jako jej organ i który kieruje sprawami wspólnoty i reprezentuje ją na zewnątrz oraz w stosunkach pomiędzy poszczególnymi właścicielami lokali, to niewątpliwie nie można uznać, że jest ona osobą fizyczną, która przetwarza dane wyłącznie w celach osobistych lub domowych.
Sąd nie podzielił również zarzutu skarżącej, że nie może być ona adresatem decyzji Generalnego Inspektora Danych Osobowych z uwagi na brak osobowości prawnej. Zgodzić się bowiem należy z organem, że ugruntowany jest pogląd, uznający że wspólnoty mieszkaniowe należą do kategorii tzw. "ułomnych osób prawnych", tzn. jednostek organizacyjnych nieposiadających osobowości prawnej, które jednak "są traktowane w obrocie prawnym tak, jakby były osobami prawnymi, z tym tylko zastrzeżeniem, że stają się one nosicielami praw i obowiązków nie w pełnym, lecz ograniczonym zakresie" (A. Wolter, J. Ignatowicz, K. Stefaniuk "Prawo cywilne - zarys części ogólnej". Warszawa 2001, str. 229). Pogląd taki znalazł też odbicie w orzecznictwie sądów administracyjnych i tak np. w wyroku WSA w Warszawie o sygn. akt VII Sa/Wa 620/06 Sąd wskazał, "że podmiotem praw jest Wspólnota mieszkaniowa i to ona jako ogół właścicieli nabywa wszelkie prawa i obowiązki, które stają się ich własnością w częściach ułamkowych. Konsekwencją tego jest stwierdzenie, że wspólnota mieszkaniowa posiada zdolność prawną, a w momencie, gdy posiada prawidłowo ustanowiony zarząd ma też zdolność do czynności prawnych".
Sąd nie podzielił również zarzutu skarżącej, że spis właścicieli lokali i przypadających im udziałów w nieruchomości wspólnej, o którym mowa w art. 29 ustawy o własności lokali i prowadzony przez skarżącą w formie papierowego spisu nie stanowi zbioru danych w rozumieniu ustawy o ochronie danych osobowych, bowiem prowadzony przez nią spis nie pozwala na dostęp do danych według żadnego kryterium. Wskazać należy, że nie ma podstaw, aby zakładać, że dane osobowe mają być dostępne wg. kryteriów osobowych, rozumianych jako zapewniające dostęp do danych identyfikacyjnych (np. nazwisko, imię, adres czy PESEL), gdyż ustawa nie posługuje się takim pojęciem. Przede wszystkim jednak wyróżnienie kategorii "kryterium osobowe" jest zbędne, gdyż każde kryterium, które umożliwia dostęp do danych osobowych (czyli informacji dotyczących osób fizycznych jest kryterium osobowym). Odnosi się ono bowiem choćby pośrednio do określonej osoby. Ponadto wskazać należy, że zmiany ustawy o ochronie danych osobowych, dokonane w 2004 r. wskazują, że ustawę stosuje się nie tylko w przypadku przetwarzania w zbiorach danych, lecz także w zbiorach ewidencyjnych. Przesądza o tym rozumienie pojęcia zbiór danych (por. Ustawa o ochronie danych osobowych, Andrzej Drozd, Komentarz wzory pism i przepisy, wydawnictwo Lexis Nexis, str 58 i 58). Wskazać należy również na orzeczenie NSA o sygn.. akt I OSK 983/07 z dnia 7 maja 2008 r., w którym Sąd stwierdził, że "z art. 7 ust. 1 ustawy nie wynika, że dane osobowe mają być w definiowanym "zbiorze danych" danymi podstawowymi. Nie wynika również, że kryterium dostępu do tych danych mają być dane identyfikacyjne (imię, nazwisko, adres, PESEL)".
Tak więc nawet jeżeli dla Wspólnoty prowadzona jest dokumentacja papierowa zawierajaca dane osobowe członka Wspólnoty, takie jak rejestr członków Wspólnoty, rejestr wynajętych dodatkowych miejsc postojowych, czy też umowy najmu miejsca parkingowego, zawarte z członkami wspólnoty, to i tak nie można stwierdzić, że Wspólnota nie prowadzi zbioru danych osobowych w rozumieniu art. 7 pkt 1 powyższej ustawy.
Sąd nie podzielił również innych zarzutów skarżącej, w tym przepisów postępowania administracyjnego.
Mając powyższe na uwadze, Wojewódzki Sąd Administracyjny w Warszawie, na podstawie art. 151 ustawy z dnia 30 sierpnia 2002 r. - Prawo o postępowaniu przed sądami administracyjnymi (Dz. U. Nr 153, poz. 1270 ze zm.) orzekł, jak w sentencji.
Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 14.07.2026. · Źródło