• admin@kibc
• 20 kwietnia 2026
• Brak komentarzy

Zarządzanie nieruchomością to nie tylko dbanie o klatki schodowe i przeglądy techniczne. To także ogromna odpowiedzialność za dane osobowe mieszkańców. Przekonała się o tym jedna ze wspólnot mieszkaniowych, na którą Prezes Urzędu Ochrony Danych Osobowych (UODO) nałożył administracyjną karę pieniężną w wysokości 5 tys. zł.

UODO obalił tym samym popularny i niebezpieczny mit mówiący o tym, że jeśli pomyłka dotyczy tylko jednej osoby, to nie ma problemu. Niedawna decyzja Prezesa Urzędu Ochrony Danych Osobowych (DKN.5131.16.2025) nałożyła administracyjną karę pieniężną na wspólnotę mieszkaniową, udowadniając, że w RODO liczy się nie ilość, a jakość ochrony.

Wszystko zaczęło się od rutynowej czynności – doręczenia zawiadomień o rozliczeniu opłat za użytkowanie lokalu. Na skutek błędu, dokument trafił do rąk osoby nieuprawnionej. Choć sprawa dotyczyła tylko jednego lokatora, zakres danych, które „wyciekły”, był bardzo szeroki. Obejmował on: imię i nazwisko, dokładny adres i numer lokalu, wysokość opłat i stan zadłużenia, numery liczników wraz z odczytami oraz indywidualny numer rachunku bankowego.

Pułapka „skali mikro” – dlaczego jedna osoba to nie argument?

Wspólnota mieszkaniowa, broniąc się przed sankcjami, podnosiła argument, że naruszenie miało charakter jednostkowy – dotyczyło przecież tylko jednej osoby. Stanowisko UODO było jasne – skala naruszenia (liczba osób) to tylko jeden z wielu czynników, ale nie ten najważniejszy. Decydujące jest ryzyko naruszenia praw lub wolności tej konkretnej osoby.

Dlaczego UODO uznało to za poważny incydent?

Prezes UODO uznał to zdarzenie za poważny incydent przede wszystkim ze względu na szeroki profil danych, które trafiły w niepowołane ręce. Zestawienie imienia, nazwiska, adresu i numeru rachunku bankowego ze szczegółowymi informacjami o finansach lokatora stanowi gotowy scenariusz dla przestępcy, mogący posłużyć do kradzieży tożsamości lub precyzyjnych wyłudzeń metodą phishingu. Sytuację pogorszył fakt całkowitego braku zgłoszenia naruszenia do organu nadzorczego w wymaganym terminie 72 godzin, co wspólnota błędnie argumentowała niską skalą zdarzenia. Co więcej, administrator całkowicie pominął obowiązek zawiadomienia samej osoby poszkodowanej, odbierając jej tym samym szansę na podjęcie działań zapobiegawczych, takich jak zwiększenie czujności przy operacjach bankowych czy zmiana haseł dostępowych. Wszystkie te zaniechania sprawiły, że jednostkowy błąd przerodził się w poważne naruszenie przepisów RODO.

Jakie lekcje płyną z tej decyzji?

Ta sytuacja to czytelna lekcja dla wszystkich podmiotów przetwarzających dane. Jeśli zarządzasz nieruchomością lub prowadzisz firmę, nie ignoruj incydentu tylko dlatego, że dotyczy jednej osoby. Jeśli wyciekły dane wrażliwe (PESEL, dane finansowe, stan zdrowia), ryzyko jest wysokie z automatu. Zgodnie z art. 33 ust. 1 RODO, na zgłoszenie naruszenia do UODO masz 72 godziny. Jeśli przekroczysz ten termin, nawet drobne uchybienie staje się poważnym naruszeniem proceduralnym, które znacznie łatwiej ukarać. Współpraca z UODO i szybkie poinformowanie osoby poszkodowanej są traktowane jako okoliczności łagodzące. Ukrywanie incydentu pod dywan to najprostsza droga do otrzymania kary finansowej.

Zarządzasz wspólnotą? Sprawdź swoje procedury doręczania korespondencji już dziś. Koszt szkolenia personelu lub wdrożenia bezpiecznych kopert jest ułamkiem tego, co może wynieść administracyjna kara pieniężna.