Od 25 maja obowiązuje unijne rozporządzenie o ochronie danych osobowych (w skrócie RODO). Ma ono zastosowanie również w stosunku do agentów świadczących usługi w zakresie obrotu nieruchomościami, przetwarzających dane osobowe swoich klientów. Unijne przepisy zostały częściowo wdrożone do polskiego systemu prawnego w ramach nowej ustawy o ochronie danych osobowych z 10 maja 2018 r. (Dz. U. 2018 poz. 1000).

Ilość zagadnień związanych ze stosowaniem RODO oraz wdrażaniem wynikających z niego regulacji jest ogromna. Tej tematyce poświęcone zostały już liczne specjalistyczne publikacje oraz godziny organizowanych szkoleń. W dzisiejszym artykule zwrócę zatem uwagę wyłącznie na temat RODO w agencjach nieruchomości.

Nie taka straszna zmiana

Dla uspokojenia na początku dodam, że te agencje, które przed wejściem w życie zmian dbały o bezpieczeństwo danych osobowych swoich klientów, a to znajdowało oparcie we właściwie sporządzonych politykach bezpieczeństwa, nie muszą obawiać się wprowadzanych regulacji. Ustawodawca unijny pragnie odejść od odgórnie narzucanych form ochrony danych osobowych, na rzecz większej swobody przedsiębiorców w dostosowywaniu wykorzystywanych mechanizmów ochrony danych do ich indywidualnej sytuacji.

Najbardziej znaczącą zmianą jest zniesienie obowiązku zgłaszania zbiorów danych osobowych do GIODO. Rozporządzenie RODO wprowadza w jego miejsce konieczność prowadzenia rejestru czynności przetwarzania danych. Ma to być informacja na temat przeprowadzonych procesów przetwarzania danych, z wyszczególnieniem ich rodzaju, wykorzystanych zabezpieczeniach technicznych, czy też podmiotów, które uzyskały dostęp do danych. Rozporządzenie szczegółowo reguluje, jakie dane powinny znaleźć się w omawianym rejestrze, zatem zachęcam do zapoznania się z tymi wytycznymi.

Co podlega pod przetwarzanie danych?

W kontekście opisanego wyżej rejestru dużego znaczenia nabiera właściwe rozumienie pojęcia „przetwarzanie”. W rozumieniu RODO przetwarzanie oznacza bowiem operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych. Przykładem jest zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych. Definicja jest zatem bardzo szeroka.

O czym należy informować klientów?

Kolejną zmiana to wprowadzenie rozbudowanego obowiązku informacyjnego względem osób, od których pozyskiwane są dane osobowe. Jeżeli dane są zbierane od osoby, której dotyczą, należy podać następujące informacje:

  • swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela,
  • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych,
  • cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania,
  • gdy ma to zastosowanie – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią,
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
  • gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia czy ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
  • jeżeli ma to zastosowanie – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem,
  • informacje o prawie wniesienia skargi do organu nadzorczego,
  • informację, czy podanie danych osobowych jest wymogiem ustawowym, umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.

Odpowiedzialność agencji

Jeżeli agencja nieruchomości planuje dalsze przetwarzanie danych osobowych w celu innym niż ten, w którym dane osobowe zostały zebrane, musi o tym poinformować osobę, której dane dotyczą. Co istotne, odnosi się to również do sytuacji, w której agencja będzie chciała skorzystać z numeru telefonu swojego dotychczasowego klienta, jednak w celu innym, aniżeli dotychczasowy przedmiot ich współpracy.

Rozporządzenie wprowadza także obowiązek informowania organu o wycieku danych osobowych. Obowiązkiem agencji będzie zatem czuwanie nad bezpieczeństwem przetwarzania danych osobowych jej klientów. W razie wystąpienia nieprawidłowości konieczne jest niezwłoczne notyfikowanie o tym fakcie.

Czym grozi niestosowanie się do RODO?

Kary pieniężne przewidziane dla sytuacji naruszenia przepisów dotyczących ochrony danych osobowych z pewnością pełnią rolę silnie odstraszającą. Górną granicą kary jest bowiem kwota aż 20 mln euro, a w przypadku przedsiębiorstwa do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku podatkowego, przy czym zastosowanie ma kwota wyższa. Wymierzając karę, właściwy organ będzie jednak brał pod uwagę m.in. wagę, charakter i czas trwania naruszenia prawa. Znika zatem znana do tej pory kontrola prewencyjna – w jej miejsce wprowadzono kontrolę następczą. Ma ona na celu ukaranie za stwierdzone nieprawidłowości.

Co ciekawe, nawet w sytuacji, kiedy do wycieku danych dojdzie z przyczyn leżących po stronie firmy świadczącej przykładowo usługi hostingowe, odpowiedzialność za wyciek i tak będzie ponosił administrator danych osobowych. Niemniej, o ile przywołana wyżej firma hostingowa dysponuje odpowiednimi certyfikatami bezpieczeństwa, administrator może podjąć próbę wykazania, że zachowano należytą staranność w ochronie danych osobowych jego klientów.