Generalnego Inspektora Ochrony Danych Osobowych w jednym z wystąpień zwrócił uwagę na fakt, że spółdzielnia mieszkaniowa, przetwarzając dane osobowe w rozumieniu art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, zamieszcza na powszechnie dostępnych stronach internetowych spółdzielni dokumenty zawierające dane osobowe – m. in. Sprawozdania Zarządu z działalności, uchwały organów spółdzielni, nie stosując przy tym żadnych środków technicznych i organizacyjnych dotyczących zabezpieczenia tych danych. Każde przedsięwzięcie związane z przetwarzaniem danych osobowych powinno przebiegać w zgodzie z przepisami obowiązującymi w zakresie przetwarzania danych osobowych.
Zasady przetwarzania danych osobowych określone zostały w przepisach ustawy, jak również w przepisach wykonawczych wydanych na jej podstawie, w szczególności w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Stosownie do treści art. 81 ustawy o spółdzielniach mieszkaniowych członek spółdzielni mieszkaniowej ma prawo otrzymania odpisu statutu i regulaminów oraz kopii uchwał organów spółdzielni i protokołów obrad organów spółdzielni, protokołów lustracji, rocznych sprawozdań finansowych oraz faktur i umów zawieranych przez spółdzielnie z osobami trzecimi. Zgodnie z ust. 3 wskazanego przepisu statut spółdzielni mieszkaniowej, regulaminy, uchwały i protokoły obrad organów spółdzielni, a także protokoły lustracji i roczne sprawozdanie finansowe powinny być udostępnione na stronie internetowej spółdzielni. W opinii Generalnego Inspektora Ochrony Danych Osobowych powyższe nie oznacza, że dokumenty zawierające dane osobowe mogą być bez zastosowania żadnych zabezpieczeń, chroniących przed dostępem do danych osobom nieupoważnionym, zamieszczone na stronie internetowej spółdzielni. Dokumenty (takie jak sprawozdania Zarządu, uchwały organów spółdzielni, itp.) zawierające dane osobowe, przed zamieszczeniem na powszechnie dostępnej stronie internetowej powinny zostać wcześniej zanonimizowane w sposób uniemożliwiający identyfikację osób. Natomiast dokumenty zawierające dane osobowe powinny być dostępne jedynie uprawnionym do tego na mocy stosownych przepisów, osobom.
Zgodnie z art. 36 ust. 1 ustawy o ochronie danych osobowych administrator danych ma obowiązek zabezpieczenia danych m.in. przed ich nieuprawnionym ujawnieniem. Jednym ze środków służących ochronie danych, jest ich szyfrowanie. W razie przesyłania danych metodą teletransmisji przy użyciu sieci publicznej zawsze istnieje możliwość przejęcia przesyłanych danych przez osobę nieuprawnioną. Istnieje również niebezpieczeństwo ich nieuprawnionej zmiany, uszkodzenia lub zniszczenia. Niezbędne jest zatem zastosowanie odpowiednich zabezpieczeń, które ochronią przesyłane dane. O tym, jakie środki należy zastosować, administrator danych powinien zdecydować samodzielnie. Może to być protokół szyfrowania danych SSL, jak również inne środki ochrony kryptograficznej, np. szyfrowanie przy użyciu poczty elektronicznej i klucza publicznego odbiorcy.
Administrator danych ma zarówno obowiązek do zorganizowania bezpieczeństwa procesu przetwarzania danych osobowych, w sposób odpowiadający przepisom obowiązującym w zakresie przetwarzania danych osobowych, jak i prawo dokonania tego w taki sposób, który odpowiadał będzie zagrożeniom oraz kategoriom przetwarzanych danych. To administrator decyduje i odpowiada za powyższe i za przetwarzanie danych zgodnie z prawem.
Umożliwienie dostępu do danych osobowych osobom nieupoważnionym, jak również zlekceważenie obowiązku zabezpieczenia danych osobowych przed ich zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, może prowadzić do odpowiedzialności karnej z art. 51 i 52 ustawy o ochronie danych osobowych.