Już 25 maja tego roku zacznie być stosowane unijne rozporządzenie o ochronie danych osobowych (w skrócie RODO/ang. GDPR), które będzie mieć zastosowanie również w stosunku do polskich przedsiębiorców przetwarzających dane osobowe.

Poniżej przeczytasz o wybranych aspektach RODO mających, w mojej ocenie, największy wpływ na podmioty działające w branży nieruchomości.

1. „Dzień dobry, widziałem Pani ogłoszenie…” – zanim zadzwonisz, przeczytaj – podstawy prawne przetwarzania danych

Jeśli zajmujesz się pośrednictwem w sprzedaży nieruchomości, zapewne zdarza Ci się wykonać telefon do osoby sprzedającej czy też wynajmującej nieruchomość, by zaproponować swoją pomoc. Jednak o tym, czy możesz zadzwonić do takiej osoby, nie powinno decydować tylko to, czy dysponujesz numerem telefonicznym, ale również m.in. to, czy masz podstawę prawną przetwarzania danych. Nadchodzące rozporządzenie wymienia kilka przesłanek uprawniających do przetwarzania danych
osobowych. Podstawami mogącymi mieć zastosowanie w branży nieruchomości będą najczęściej:

• zgoda osoby, której dane są przetwarzane (np. wyrażona przez wysłanie zapytania z formularza typu „Interesuje mnie ta nieruchomość” dostępnego na Twojej stronie internetowej lub w serwisie ogłoszeniowym),
• umowa, jeśli przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (np. umowa pośrednictwa czy umowa o zarządzanie nieruchomością),
•  prawnie uzasadnione interesy realizowane przez
  administratora.

Tak naprawdę, jeśli nie znajdziesz w RODO podstawy do swoich działań, nie powinieneś przetwarzać danych osobowych. Pamiętaj jednak, że RODO to nie wszystko i pod uwagę powinieneś wziąć również inne przepisy, np. dotyczące prawnych aspektów zgód marketingowych.

2. Pakiet informacji o Tobie dla osoby, której dane przetwarzasz – obowiązek informacyjny ciążący na przedsiębiorcy

Jeśli nie znajdziesz w RODO podstawy do swoich działań, nie powinieneś przetwarzać danych osobowych.

Jeśli zamierzasz przetwarzać czyjeś dane osobowe, zgodnie z RODO, jesteś zobowiązany do przekazania konkretnie wskazanych w rozporządzeniu, a dokładniej w art. 13, informacji o sobie. Nowe rozporządzenie znacznie rozszerzyło obowiązek informacyjny spoczywający na przedsiębiorcy w stosunku do tego, jak jest obecnie. Poza takimi oczywistymi kwestiami, jak tożsamość czy dane kontaktowe, przedsiębiorca jest zobowiązany do przekazania m.in. takich informacji, jak:

• cele przetwarzania, do których mają posłużyć dane osobowe,
• podstawę prawną przetwarzania,
• informacje o odbiorcach danych osobowych lub o kategoriach odbiorców (np. pośrednicy, którzy pracują dla Ciebie w oparciu o samozatrudnienie),
• okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu.

Obowiązek informacyjny w stosunku do osoby, której dotyczą zbierane dane

Jeśli dane zbierane są od osoby, której dotyczą, administrator (podczas pozyskiwania tych danych!) musi podać następujące informacje:

• swoją tożsamość i dane kontaktowe (jeśli ma przedstawiciela – także jego tożsamość i dane kontaktowe),
  jeśli ma to zastosowanie – dane kontaktowe inspektora ochrony danych osobowych,
• cele przetwarzania danych osobowych,
•  podstawę prawną przetwarzania,
• jeśli przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub stronę trzecią, należy podać ich interesy,
• informacje o tym, kto jest odbiorcą danych osobowych (lub o kategoriach tych odbiorców), jeśli istnieją,
• o zamiarze przekazania danych do państwa trzeciego lub organizacji międzynarodowej, oraz o stopniu ochrony (lub braku ochrony) danych osobowych stwierdzonym przez Komisję Europejską oraz możliwościach uzyskania kopii danych oraz miejscu ich udostępnienia.

Dodatkowo, administrator musi poinformować osobę, której dane przetwarza, o:

• okresie, przez który dane osobowe będą przetwarzane( lub kryteriach ustalania tego okresu),
• prawie do żądania od administratora dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia ich przetwarzania lub prawie do wniesienia sprzeciwu,
• prawie do przenoszenia danych,
• prawie do cofnięcia zgody na przetwarzanie danych osobowych w dowolnym momencie,
• prawie do wniesienia skargi do organu nadzorczego,
• tym, czy podanie danych jest wymogiem ustawowym,
• umownym lub warunkiem zawarcia umowy,
• tym, czy osoba, której dane dotyczą jest zobowiązana do ich podania i jakie są ewentualne konsekwencje ich niepodania,
• zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

Jeżeli administrator planuje przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, musi poinformować o tym osobę, której dane dotyczą. Co istotne, jeśli danych nie pozyskujesz od osoby, której one dotyczą, musisz wskazać źródło pochodzenia danych osobowych (np. konkretny serwis ogłoszeniowy, baner na nieruchomości). Być może pomyślisz, że przetwarzasz tylko numer telefonu danej osoby, nie ma jednak wątpliwości, że taka informacja o osobie stanowi jej daną osobową.

3. Obowiązek zgłaszania zbiorów danych osobowych do GIODO przejdzie do historii – pojawi się wymóg prowadzenia rejestru czynności przetwarzania danych

Być może zgłosiłeś zbiory danych do rejestracji u GIODO (Generalny Inspektor Ochrony Danych Osobowych), spełniając tym samym obowiązek prawny wynikający z aktualnej ustawy o ochronie danych osobowych, po rozpoczęciu stosowania RODO takiego wymogu już jednak nie będzie. Pojawi się natomiast nowy obowiązek – prowadzenie rejestru czynności przetwarzania, wewnętrznego dokumentu, w którym administrator danych powinien zawrzeć informacje o przetwarzaniu danych, którego dokonuje. W rejestrze nie podajesz danych konkretnych osób, ale wskazujesz m.in. jakie kategorie danych przetwarzasz, w jakim celu, a także czy ma miejsce przekazanie danych do państwa trzeciego (tj. poza Unię Europejską, a właściwie poza Europejski Obszar Gospodarczy).

W miejsce zgłaszana zbiorów danych do GIODO pojawi się nowy obowiązek – prowadzenie rejestru czynności przetwarzania.

4. Dokumentacja przetwarzania danych na nowych zasadach – w tym analiza ryzyka, polityki ochrony danych

Do tej pory to przede wszystkim przepisy określały, jak należy chronić dane w przedsiębiorstwie i właśnie w oparciu o nie przygotowywane są dokumentacje przetwarzania danych, z nadejściem RODO to się jednak zmieni. To administrator danych będzie oceniał, jakie środki, zarówno techniczne (np. monitoring w budynku), jak i organizacyjne (np. przydzielanie dostępu do systemu, w którym przetwarzane są dane wyłącznie poszczególnym osobom, a nie wszystkim pracownikom), należy zastosować w danym przypadku. Ustalenie takich środków będzie możliwe po przeprowadzeniu analizy ryzyka.

Opis zastosowanych w Twojej firmie środków zabezpieczających, w tym zasad przetwarzania danych, zawrzyj w wewnętrznych politykach ochrony danych osobowych, które powinny być na bieżąco aktualizowane.

5. Niezadowolony klient przechodzi do konkurencji – nowe prawo do przenoszenia danych

RODO wprowadza całkowicie nowe uprawnienie dla osób, których dane są przetwarzane, jakim jest prawo do przenoszenia danych osobowych, z którego może skorzystać np. klient niezadowolony z efektów Twoich działań.

Zgodnie z rozporządzeniem, osoba, której dotyczą dane, ma prawo przesłać dane, a nawet poprosić Cię o dokonanie tego, do innego administratora danych bez przeszkód z Twojej strony. Prawo to występuje m.in. wtedy, kiedy wiąże Was umowa (np. pośrednictwa). Dane powinny zostać dostarczone w powszechnie używanym formacie nadającym się do odczytu maszynowego. Uprawienie to dotyczy materiałów, danych dostarczonych przez Twojego klienta, a więc nie będzie miało zastosowania np. do zdjęć przygotowanych przez Ciebie.

6. „Samozatrudniony” pośrednik przetwarza dane Twoich klientów – wymogi związane z powierzeniem danych do przetwarzania

Jeśli np. pracujący dla Ciebie pośrednik prowadzi swoją działalność gospodarczą, w oparciu o którą współpracuje i obsługuje Twoich klientów, wykonując tym samym w Twoim imieniu część zadań Twojej firmy, powinna Was wiązać umowa powierzenia przetwarzania danych osobowych. Zakres tego dokumentu precyzyjnie określa RODO. Umowę możecie zawrzeć również drogą elektroniczną (takie ułatwienie wprowadza RODO).

Dotyczy to wszystkich sytuacji, w których inne podmioty przetwarzają dane Twoich klientów w Twoim imieniu (np. biuro księgowe), a także jeśli to Tobie zostaną powierzone do przetwarzania dane osobowe przez innych administratorów danych (np. dane najemców apartamentu wakacyjnego, którego właścicielem jest Twój klient, a Ty nim zarządzasz, m.in. obsługując rezerwacje).

Umowa powierzenia przetwarzania danych osobowych niezbędnym dokumentem dla pośredników współpracujących na zasadzie B2B.

7. Pośrednik w sieci – privacy by design również dla branży nieruchomości

Nadchodzące rozporządzenie nie pozostawia wątpliwości, że ochrona danych osobowych powinna być uwzględniana już w fazie projektowania. Jeśli tworzysz jakikolwiek projekt, w związku z którym będziesz przetwarzać dane osobowe (np. serwis ogłoszeniowy czy stronę internetową swojej firmy), musisz brać pod uwagę ochronę danych osobowych.

Zastanawiasz się, jak to powinno wyglądać w praktyce? Przykładowo, obowiązek informacyjny, o którym była mowa powyżej, możesz spełnić przez odpowiednio skonstruowaną politykę prywatności czy też regulamin serwisu. Pamiętaj, że nawet jeśli masz tylko zwykłą wizytówkę firmową, na której funkcjonuje formularz kontaktowy, poprzez który użytkownik przekazuje Ci swoje dane, powinieneś spełnić w stosunku do niego obowiązek informacyjny.

Ponadto np. przesyłane za pośrednictwem Twojej strony dane możesz zabezpieczyć przez zastosowanie certyfikatu SSL w serwisie.

8. Kary pieniężne

Od 25 maja 2018 r. niezgodne z prawem przetwarzanie danych osobowych może być znacznie bardziej kosztowne. RODO słynie z wysokich kar, które grożą przedsiębiorcom nieprzestrzegającym zasad przetwarzania danych. Górną granicą jest 20 000 000 euro, a w przypadku przedsiębiorstwa – do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Wymierzając karę, właściwy organ będzie brał pod uwagę m.in. wagę, charakter i czas trwania naruszenia.

Zainteresował Cię temat RODO? Więcej informacji znajdziesz w stworzonym przez Legal Geek e-booku „Law-how® RODO”.

Treści umieszczone w artykule są indywidualnymi interpretacjami i poglądami jego autora. Nie stanowią porad podatkowych ani prawnych.

Zofia Babicka-Klecor - Prawniczka, założycielka kancelarii prawnej Legal Geek. W Legal Geek odpowiada przede wszystkim za obsługę prawną podmiotów z branży e-commerce, doradzając im, jak zgodnie z prawem prowadzić działalność w sieci, a także za wdrożenia RODO. Ponadto zajmuje się rozwojem należącej do Legal Geek marki Dokrates.pl – projektu z dziedziny Legal Tech, w którym niebawem będzie można wygenerować dokumenty zgodne z RODO.