Status firm zarządzających nieruchomościami na gruncie ustawy o ochronie danych osobowych

Status firm zarządzających nieruchomościami na gruncie ustawy o ochronie danych osobowych nie jest jednolity. Zależy on od tego, w relacjach z jakimi podmiotami występują i czyje dane przetwarzają. Przetwarzanie przez takie podmioty danych osobowych ich pracowników, kontrahentów, klientów, kandydatów do pracy, dłużników, danych osobowych ze zbiorów marketingowych oznacza, że w stosunku do tych danych firmy te są administratorami danych. To one decydują o celach i środkach przetwarzania. W związku z tym, spełnić muszą cały szereg obowiązków jakie ustawa nakłada właśnie na administratorów. Zakres tych obowiązków i zadań obejmuje m.in. :

• Spełnienie przesłanek przetwarzania danych
• Spełnienie obowiązków informacyjnych
• Spełnienie obowiązków rejestracyjnych
• Odpowiednie zabezpieczenie danych
• Wdrożenie i utrzymywanie polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym
• Należyte przeszkolenie osób dopuszczonych do przetwarzania danych i nadanie im upoważnień
• Podjęcie decyzji o powołaniu administratora bezpieczeństwa informacji lub o budowaniu systemu ochrony danych osobowych bez ABI.

W przypadku uzyskiwania dostępu do danych w związku ze świadczonymi usługami kwalifikacja podmiotowa firm zarządzających nieruchomościami jest inna. W tym wypadku, firmy te należy bowiem kwalifikować jako procesorów, czyli podmioty przetwarzające dane na podstawie umowy w celu i zakresie wyznaczonych przez administratora danych, czyli wspólnotę mieszkaniową. Oznacza to, że przetwarzanie danych w związku ze świadczonymi przez podmioty zarządzające nieruchomościami odbywać się musi zgodnie z art. 31 ustawy o ochronie danych osobowych tj. na podstawie pisemnej umowy, w której określone zostaną cel i zakres przetwarzania, a także pewne ramy prawne tego działania.

Należy pamiętać, że procesor wykonuje jedynie pewne operacje przetwarzania na rzecz administratora danych. Nie decyduje o celach i środkach przetwarzania. Nie może danych swobodnie wykorzystywać. Granice jego uprawnień wyznaczone są przez określone cele administratora danych. Procesor odpowiada jednak za należyte zabezpieczenie danych powierzonych mu do przetwarzania. Musi wdrożyć odpowiednie środki techniczne i organizacyjne zabezpieczające dane. Musi także prowadzić dokumentację ochrony danych i wdrożyć wynikające z niej zasady. Oznacza to, że konieczność zastosowania szeregu wytycznych ujętych w ustawie o ochronie danych i rozporządzeniach wykonawczych wynika z jednej strony ze statusu firmy zarządzającej nieruchomościami jako administratora, z drugiej jako procesora.

Umowa powierzenia może i powinna regulować znacznie szerszy krąg zagadnień niż w/w wymienione. Powinna wskazywać także m.in., jakie są uprawnienia kontrolne administratora danych względem procesora (administrator odpowiada za zgodne z prawem przetwarzanie danych niezależnie od tego, czy dane te powierzył do przetwarzania czy nie), jak kształtować się będzie obowiązek zwrotu lub usunięcia danych w razie zakończenia współpracy, czy istnieje możliwość dalszego powierzenia danych przez procesora.

Oczywiście o podpisanie odpowiedniej umowy powinien zabiegać przede wszystkim administrator danych, ale powinno na tym zależeć także procesorowi. W braku umowy powierzenia procesor uzyskuje bowiem dostęp do danych bez odpowiedniej podstawy prawnej. Poza tym, dołożenie szczególnej staranności w celu zabezpieczenia danych powierzonych do przetwarzania do ważny i bardzo pozytywny aspekt wizerunkowy. Dlatego też firmy zarządzające nieruchomościami powinny ochronę danych osobowych wpisywać na stałe w swoją praktykę. 

Autor: Katarzyna Witkowska, Kancelaria Lubasz i Wspólnicy

15 kwietnia zapraszamy do Łodzi do Kancelarii Lubasz i Wspólnicy na wydarzenie „Prawo na śniadanie”, podczas którego Katarzyna Witkowska i  dr Dominik Lubasz szczegółowo przedstawią problematykę ochrony danych osobowych. 

Więcej informacji oraz zapisy dostępne są stronie Kancelarii Lubasz i Wspólnicy:

www.lubasziwspolnicy.pl.