Tak, ale pod warunkiem że pracownikom dostarczającym korespondencję nadane zostały upoważnienia do przetwarzania danych osobowych.
Uzasadnienie
Zgodnie z przepisami ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, każda osoba, która przy wykonywaniu obowiązków służbowych ma dostęp do danych osobowych, powinna posiadać stosowne upoważnienie do przetwarzania danych, o którym mowa w art. 37 ustawy. Zgodnie z tym przepisem, do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych (w tym przypadku spółkę). Tym samym każdy pracownik, który przetwarza dane osobowe, musi legitymować się takim upoważnieniem. Upoważnienia należy zatem nadać nie tylko osobom, które zatrudnione zostały bezpośrednio w celu przetwarzania danych, ale również osobom, które mogą w takim przetwarzaniu uczestniczyć.
Osoby trudniące się doręczaniem korespondencji, z racji wykonywanych przez nich czynności, mają dostęp do danych osobowych choćby w zakresie imion i nazwisk, czy adresów osób, którym korespondencję doręczają, a tym samym przetwarzają dane osobowe. Przetwarzanie danych osobowych to bowiem wykonywanie jakichkolwiek operacji na danych osobowych, takich jak np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie (art. 7 pkt 2 ustawy). W konsekwencji, osoby dostarczające korespondencję, podobnie, jak wszystkie inne osoby przetwarzające dane osobowe w imieniu i na rzecz administratora, stosownie do art. 37 ustawy o ochronie danych osobowych, muszą otrzymać od niego odpowiednie upoważnienie do przetwarzania danych osobowych.
Upoważnienie do przetwarzania danych osobowych powinno być upoważnieniem specjalnym, odrębnym, a nie wywodzonym tylko z treści umowy czy z zakresu obowiązków pracowniczych. Powinno mieć charakter imienny, a także określać dozwolony zakres przetwarzania danych osobowych.
Wskazać należy także, iż art. 39 ust. 1 ustawy przewiduje obowiązek prowadzenia przez administratora danych ewidencji osób upoważnionych do przetwarzania danych osobowych, w której powinny być zawarte takie informacje, jak: imię i nazwisko osoby upoważnionej, data nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych oraz identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
Ewidencja powyższa powinna być prowadzona w formie pisemnej. Stanowi ona dokument poufny, chroniony tajemnicą pracodawcy, a informacje w niej zawarte są objęte również tajemnicą wyznaczoną przez art. 39 ust. 2 ustawy, zgodnie z którym osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.
A zatem spółka zarządzająca nieruchomością w imieniu wspólnoty mieszkaniowej może dostarczać członkom tej wspólnoty korespondencję za pośrednictwem swoich pracowników, ale musi nadać im upoważnienia do przetwarzania danych osobowych oraz prowadzić ewidencję takich upoważnień. Spółka ta – jako administrator danych (pracodawca) – powinna dostarczać korespondencję w taki sposób, aby zagwarantować odpowiednią ochronę zawartych w niej danych oraz uniemożliwić zapoznanie się z nimi osobom nieuprawnionym.