W decyzji z dnia 16 kwietnia 2019 roku (ZSPU.440.131.2019) Prezes Urzędu Ochrony Danych Osobowych stwierdził, że jeżeli Wspólnota zawarła a innym podmiotem – osobą prawną lub fizyczną – umowę o zarządzanie Wspólnotą, to zarządzający jest jedynie podmiotem, któremu powierzono przetwarzanie danych osobowych w rozumieniu art. 28 RODO, a nie odrębnym administratorem danych – ponieważ zarządca działa w imieniu Wspólnoty.
W praktyce oznacza to, że obowiązek informacyjny względem właścicieli lokali powinien być realizowany w ten sposób, by jako administratora wskazać Wspólnotę, a nie zarządzającego.
W umowie z zarządzającym można – a w zasadzie powinno się wskazać, że w imieniu Wspólnoty czynności związane z praktyczną realizacją obowiązku informacyjnego wykona zarządca, nie będzie to jednak miało wpływu na samą treść obowiązku informacyjnego. Kolejnym ważnym elementem jest zadbanie, by treść umowy pomiędzy Wspólnotą a podmiotem zarządzającym spełniała warunki określone w art. 28 RODO, powinny być więc uregulowane w szczególności kwestie dopuszczalności i trybu ewentualnego dalszego powierzenia, przeprowadzania inspekcji i audytów, oraz usunięcia lub zwrotu dokumentów po zakończeniu współpracy.
W omawianej decyzji organ nadzorczy wypowiedział się także na temat podstaw prawnych przetwarzania danych osobowych przez Wspólnotę – nie będzie to zgoda, lecz realizacja obowiązku wynikającego z przepisów prawa oraz uzasadniony interes, czyli art. 6 ust. 1 lit. c i f RODO.
Nie przekreśla to możliwości stosowania przez Wspólnotę zgody – np. jeżeli planuje się wprowadzić powiadamianie przy pomocy smsów, lub maili – tzn. jeżeli wprowadzone zostaną fakultatywne, dobrowolne kanały kontaktu z członkami.
Oprócz powyższego nie należy zapominać o pozostałych obowiązkach wynikających z RODO, takich jak prowadzenie rejestru czynności przetwarzania (przez Wspólnotę), rejestr wszystkich kategorii czynności przetwarzania (przez zarządcę) oraz ewidencjonowanie, klasyfikowania i zgłaszanie naruszeń ochrony danych osobowych.