RODO w branży deweloperskiej
Data publikacji: 04.07.2018, Data aktualizacji: 25.01.2022
Średnia ocen 4/5 na podstawie 15 głosów
:format(jpg)/articles/gallery/image/10091/e97a1a.jpg)
Ochrona danych osobowych po wejściu w życie RODO to ważny temat na rynku nieruchomości, w szczególności dla deweloperów. Przetwarzają oni bowiem dane osobowe nabywców mieszkań, w tym także potencjalnych klientów.
Nie sposób wymienić wszystkich ciążących na nich obowiązków bez poznania szczegółów działalności konkretnej firmy i wykonania profesjonalnego audytu lub chociażby uproszczonej analizy. Warto jednak zestawić te najważniejsze.
Z tego artułu dowiesz się m.in.:
- czym jest RODO
- jak działa RODO w branży deweloperskiej
- jakie obowiązki nakłada RODO na deweloperów
RODO – wejście w życie
Przypomnijmy, że dnia 25 maja 2018 roku weszły w życie nowe przepisy o ochronie danych osobowych - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (w skrócie „RODO”). Rozporządzenie zastępuje polską ustawę.
Rejestr czynności przetwarzania
Jest to dokument czysto wewnętrzny. Z tej przyczyny jego sporządzenie jest często odkładane. Czasem uważa się, że może on zostać sporządzony tuż przed ewentualną kontrolą. Jest to błędne myślenie, jeśli chcemy podejść do wdrożenia RODO w sposób rzetelny i profesjonalny. W istocie jest to jeden z pierwszych dokumentów, który powinien powstać. Dzięki niemu łatwiej ustalić zakres czynności niezbędnych do wdrożenia nowych przepisów.
Do oznaczenia procesów przepływu danych osobowych w strukturze organizacyjnej dewelopera konieczne jest określenie kategorii danych (nabywcy, potencjalni klienci itp.) pochodzenia danych (od kogo pochodzą) i komu te dane przekazujemy poza strukturę firmy (czyli poza pracownikami lub osobami świadczącymi pracę). Wymaga to współpracy wszystkich działów firmy, w szczególności działu handlowego, kadrowego i IT.
Oprócz rejestru w RODO znajdziemy także obowiązki posiadania innych dokumentów, w szczególności polityk ochrony danych, oceny skutków dla ochrony danych, dokumentów określających poziom ryzyka dla bezpieczeństwa danych, czy rejestru incydentów zagrażających bezpieczeństwu danych.
Umowy powierzenia przetwarzania danych
Firmy deweloperskie współpracują w związku z przetwarzaniem danych osobowych z wieloma innymi firmami. We wszelkich sytuacjach, w których dane przetwarzane są na zlecenie jednego podmiotu przez podmiot zewnętrzny, mamy do czynienia z powierzeniem przetwarzania danych. Oznacza to konieczność podpisania stosownej umowy. Jeśli umowa taka została już podpisana w ramach uprzednio obowiązującej ustawy należy sprawdzić, czy zawiera wszelkie elementy wymagane przez RODO i czy nie trzeba jej zaktualizować.
Do częstych błędów należy mylenie roli administratora, procesora (inaczej podmiotu przetwarzającego dane) i współadministratora. Warto sprawdzić, kto, biorąc pod uwagę zawarte umowy, ma decydujący wpływ na podejmowane decyzję co do danych osobowych, a więc kto jest administratorem. Czasem administrator powierza dane dalej np. firmie hostingowej. W innych sytuacjach przepływ danych może odbywać się w drugą stronę np. agencja marketingowa pozyskuje dane dla dewelopera.
Nie można również wykluczyć sytuacji, w których deweloper może być jedynie procesorem, czyli podmiotem przetwarzającym dane jedynie w imieniu administratora. W jeszcze innych sytuacjach następuje podział decyzji i obowiązków, a sytuację tą definiujemy jako współadministrowanie, która również wymaga stosownej umowy.
Czy konieczne jest powołanie inspektora danych osobowych?
Deweloperzy, jak wszyscy inni, muszą, zgodnie z art. 37 ust. 1 RODO, ustanowić inspektora danych osobowych, jeśli ich główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę. Brzmi to bardzo ogólnie i z początku trudno zrozumieć, co to właściwie oznacza.
W RODO nie znajdziemy jasnych kryteriów tego obowiązku. Nie ma więc jednolitego stanowiska prawników. Jeśli jednak deweloperzy prowadzą na zakrojoną skalę duże kampanie marketingowe, wykorzystując znaczne ilości danych osobowych albo administrują zasobami mieszkaniowymi, w skład których wchodzi duża ilość danych właścicieli lokali, nie ma wątpliwości, że powołanie takiego inspektora jest niezbędne.
Zgoda na przetwarzanie danych osobowych
Przetwarzanie danych osobowych musi mieć podstawę prawną wynikającą z art. 6 RODO. Jeśli deweloper podpisze umowę deweloperską, to podstawą przetwarzania danych osobowych będzie ta umowa. Nie musi już uzyskiwać zgody, a jedynie poinformować nabywcę o jego prawach. Tak samo, jeśli deweloper jest zarządcą wspólnoty mieszkaniowej, przetwarza dane właścicieli lokali w oparciu o ustawę o własności lokali.
Jeśli jednak dewelopera ani osoby fizycznej nie łączą żadne obowiązki umowne, czy wynikające z przepisu prawa, ani nie występuje żadna z innych szczególny podstaw wymienionych w art. 6 RODO, przetwarzanie danych może nastąpić jedynie po wyrażeniu zgody osoby, której dane dotyczą. Zgoda taka musi być dobrowolnym, konkretnym, świadomym i jednoznacznym wyrażeniem woli.
Deweloperzy często organizują bądź zlecają wykonanie różnych działań marketingowych, takich jak newslettery czy listy mailingowe. Dane osobowe spływają również od pośredników nieruchomości lub portali internetowych. Przetwarzanie danych tego typu potencjalnych klientów wymaga zatem ich zgody.
W przypadku istnienia jakichkolwiek formularzy zgody, czy formularzy informacyjnych, należy sprawdzić, czy są one dostosowane do nowych przepisów.
Prawa osób, których dane dotyczą
Jeśli, jako zainteresowani ofertą dewelopera, wyraziliśmy zgodę na przetwarzanie danych osobowych, mamy prawo dostępu do danych i ich sprostowania. Mamy prawo do usunięcia danych na skutek cofnięcia takiej zgody, a w szczególnych sytuacjach także ograniczenia ich przetwarzania.
Kolejne prawo to prawo do przenoszenia automatycznie przetwarzanych danych (w przypadku istnienia technicznej możliwości), a także prawo do sprzeciwu administratorowi i złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych. Prawa te (w szczególności sprzeciw i skargę) możemy realizować także wtedy, gdy ktoś przetwarza nasze dane bez naszej zgody i innej podstawy prawnej.
Warto pamiętać, że powyższe prawa są względne, w szczególności, jeśli przetwarzanie odbywa się nie na podstawie naszej zgody tylko innej podstawy prawnej.
Trudno wymagać od dewelopera, aby usunął nasze dane, skoro jest stroną praw i obowiązków podpisanej z nami umowy deweloperskiej, albo usunął nasze dane jako zarządca i nie dochodził opłat za lokal, o ile nie nastąpiła zmiana zarządcy, czy też umowa deweloperska została wykonana. W tym przypadku istotne jest, czy przetwarzanie danych stało się zbędne, w szczególności czy upłynęły wszelkie terminy przedawnień z tych stosunków prawnych.
Na zakończenie...
Należy podkreślić, że RODO nakłada stosowanie środków adekwatnych i proporcjonalnych, w zależności od rodzaju przetwarzanych danych, a także celu ich przetwarzania. Aby było to możliwe wskazane jest powierzenie prawnikowi sporządzenia audytu lub chociażby skróconej analizy, co w danym przypadku należy sporządzić. Pamiętajmy również, że aby RODO zostało rzeczywiście wdrożone, potrzebna jest współpraca z informatykami związana z tematem cyberbezpieczeństwa, a także odpowiednie wdrożenie zasad bezpieczeństwa przez cały personel firmy.
Opracowanie: Jan Jakub Jańczak, adwokat, prowadzący blog https://prawomieszkaniowe.com
Subskrybuj rynekpierwotny.pl w Google News
PODZIEL SIĘ:
KATEGORIE:
:format(jpg)/articles/gallery/image/12266/shutterstock_2029287413_c3d1e1.jpg)
:format(jpg)/articles/gallery/image/9076/rozliczenie-najmu-mieszkania-dzialalnosc-gospodarcza_d26826.jpg)
:format(jpg)/articles/gallery/image/12082/umowa-pozyczki_f5e86a.jpg)
:format(jpg)/articles/gallery/image/10439/koszty-sprzedazy-mieszkania.jpg)
