Zgodnie z art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (zwanej dalej ustawą) administratorem danych osobowych jest organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych. Podmiotem takim we wspólnotach mieszkaniowych jest sama wspólnota, gdyż jak wynika z art. 6 ustawy z dnia 24 czerwca 1994 r. o własności lokali jest ona podmiotem praw i obowiązków, w związku z czym to na niej spoczywają obowiązki wynikające z ustawy o ochronie danych osobowych.

Stosownie do brzmienia ustawy, przetwarzanie danych osobowych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Przetwarzanie jest dopuszczalne w momencie, gdy administrator danych osobowych wykaże się jedną z przesłanek legalizujących przetwarzanie tych danych. Ustawa dopuszcza możliwość przetwarzania danych m.in. wtedy, gdy wynika to z przepisów prawa lub jeżeli osoba, której dane dotyczą wyrazi na to zgodę. W związku z tym, iż wspólnota mieszkaniowa jest tworzona przez ogół właścicieli, została upoważniona z mocy samego prawa do przetwarzania danych osobowych swoich członków. Analogiczne uprawnienie przysługuje zarządowi wspólnoty, jeśli jego członkami są osoby wchodzące w skład wspólnoty.

Właściciele lokali mogą w umowie o ustanowieniu odrębnej własności lokali albo w umowie zawartej później w formie aktu notarialnego określić sposób zarządu nieruchomością wspólną, a w szczególności mogą powierzyć zarząd osobie fizycznej albo prawnej (art. 18 ust. 1ustawy). W celu prawidłowego wykonywania swoich obowiązków, takich jak m.in. prowadzenie i aktualizacja spisu właścicieli lokali oraz przypadających im udziałów w nieruchomości wspólnej, zarząd lub zarządca wspólnoty musi posiadać dostęp do dokumentów dotyczących lokali wchodzących w jej skład, jak również do danych osobowych ich właścicieli. Zarządca nieruchomości wspólnej jest zatem nie tylko upoważniony, ale i zobowiązany do gromadzenia danych osobowych dotyczących właścicieli lokali. Zgoda współwłaścicieli na przetwarzanie danych w tym przypadku nie jest wymagana, ponieważ przetwarzanie ich danych osobowych odbywa się na podstawie szczególnych przepisów prawa i jest niezbędne do zarządzania nieruchomością wspólną. Warto jednak wspomnieć, iż zarządca nie może gromadzić ani przechowywać aktów notarialnych dotyczących poszczególnych lokali, w których zawarte są dane osobowe ich właścicieli, ma jedynie prawo do wglądu w ich treść.

Wspólnota mieszkaniowa powierza zarządcy rolę podmiotu, o którym mowa w art. 31 ustawy o ochronie danych osobowych – a więc podmiotu, któremu powierza przetwarzanie danych osobowych swoich członków. Podmiot, któremu dane zostały powierzone może przetwarzać dane osobowe wyłącznie w zakresie i celu przewidzianym w zawartej w związku z tym umowie. Taka umowa powinna zawierać określenie celu, w jakim podmiot, któremu powierzono przetwarzanie danych może je przetwarzać oraz zakresu powierzonych do przetwarzania danych. Jeśli umowa o powierzeniu zarządcy zarządu nieruchomością wspólną, zawiera odpowiednie postanowienia dotyczące przetwarzania danych osobowych, to należy stwierdzić, iż nie jest wymagana odrębna umowa o przetwarzaniu danych osobowych, o której mowa w art. 31 ustawy. Należałoby ponadto wspomnieć, iż z zgodnie z ustawą o ochronie danych osobowych, każda osoba która posiada dostęp do danych osobowych powinna posiadać stosowne upoważnienie nadane przez administratora danych. Tym samym, każdy pracownik podmiotu zarządzającego nieruchomością wspólną , który może mieć dostęp do danych powinien legitymować się takim upoważnieniem. Ustawa o ochronie danych osobowych wskazuje również obowiązek wspólnoty mieszkaniowej w tym zakresie polegający na prowadzeniu ewidencji osób upoważnionych do przetwarzania danych osobowych.

Każdy właściciel lokalu ma zarówno prawo i obowiązek współdziałania w zarządzie nieruchomością wspólną. Do jego obowiązków należy również m.in. ponoszenie wydatków związanych z utrzymaniem lokalu oraz uczestniczenie w kosztach zarządu związanych z utrzymaniem nieruchomości wspólnej. Z ustawy o własności lokali wynika także prawo kontroli działalności zarządu, które służy każdemu właścicielowi lokalu. Z powołanych przepisów wynika zatem uprawnienie każdego współwłaściciela do dostępu do dokumentacji związanej z zarządzaniem nieruchomością. Wskazać w tym miejscu należy, iż zakres danych i informacji udostępnianych współwłaścicielom powinien być adekwatny do ich potrzeb związanych ze zgodnym z prawem celem udostępnienia. Administrator danych powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Nie jest więc dopuszczalne udostępnienie współwłaścicielom określonej nieruchomości danych, których przetwarzanie nie jest niezbędne do współdziałania w zarządzie nieruchomością wspólną czy do sprawowania kontroli w jej zarządzaniu. Warto wspomnieć, iż prawo udostępniania danych osobowych dotyczy jedynie członków wspólnoty mieszkaniowej. Niedopuszczalne jest podawanie takich danych do wiadomości publicznej, np. poprzez wywieszanie list lokatorów na klatkach schodowych, do których dostęp może mieć każda osoba wchodząca do budynku.

Ustawa o ochronie danych osobowych nakłada na administratorów danych (wspólnotę mieszkaniową) szereg obowiązków, a w szczególności zapewnienia, aby przetwarzanie odbywało się zgodnie z prawem. Ustawodawca wyłączył jednak obowiązek rejestracji zbioru danych członków wspólnoty mieszkaniowej z uwagi na treść art. 43 ust.1 pkt 4, który zwalnia administratora danych z rejestracji osób u niego zrzeszonych.

Wspólnota mieszkaniowa obowiązana jest chronić dane osobowe swoich członków, w szczególności poprzez  stosowanie zabezpieczeń, o których mowa w ustawie o ochronie danych osobowych i aktach wykonawczych. Zarówno administrator, jak i  podmiot, któremu przetwarzanie danych osobowych powierzono, czyli zarówno wspólnota jak i zarządca, muszą zastosować wymagania odnoszące się do zabezpieczenia danych, zgodnie z normami art. 36-39 ustawy o ochronie danych osobowych i rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Przedmiotowe rozporządzenie określa sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę danych. Określa także podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Należy pamiętać, iż ustawa o ochronie danych osobowych zawiera przepisy karne. Nawet nieumyślne naruszenie obowiązku zabezpieczenia danych przed ich zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem podlega grzywnie, karze pozbawienia wolności do roku albo karze ograniczenia wolności.