Nowe przepisy o ochronie danych osobowych wprowadzają rewolucję na rynku nieruchomości, w szczególności w zarządzaniu nieruchomościami.
25 maja 2018 r. wchodzi w życie Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, tzw. RODO. Nowe przepisy wprowadzają rewolucję także na rynku nieruchomości, w szczególności w zarządzaniu nieruchomościami. Rozporządzenie przewiduje konieczność dostosowania przetwarzanych danych i weryfikacji stosowanych procedur oraz obowiązek weryfikacji umów o powierzenie przetwarzania danych osobowych.
Przepisy o RODO na rynku nieruchomości
Administrator danych osobowych może zbierać i przetwarzać dane osobowe tylko w konkretnych, wyraźnych i prawnie usprawiedliwionych celach, w sposób zapewniający odpowiednie bezpieczeństwo danych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą. Ponadto dane osobowe muszą być adekwatne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Konieczne będzie też powołanie inspektora ochrony danych. Jego główne zadanie polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania, na dużą skalę. Zatem musi go powołać większość spółdzielni i zarządców obsługujących większą liczbę wspólnot mieszkaniowych. Konieczne będzie zadbanie o to, żeby inspektor uczestniczył we wszystkich sprawach dotyczących ochrony danych osobowych, a także wsparcie go w wypełnianiu zadań. Ponadto każdy administrator będzie musiał prowadzić rejestr czynności przetwarzania danych osobowych, określający dane administratora, cele przetwarzania, kategorie odbiorców czy opis technicznych i organizacyjnych środków bezpieczeństwa.
Umowa powierzenia przetwarzania danych osobowych
Warto też zwrócić uwagę na umowę powierzenia przetwarzania danych osobowych. W sytuacji, gdy wspólnota mieszkaniowa zleca zarządzanie nieruchomością zewnętrznemu podmiotowi, umowa o zarządzanie nieruchomością musi zawierać postanowienia o przetwarzaniu danych osobowych. Wprowadzane przepisy oznaczają dla administratorów danych osobowych nową rzeczywistość w aspekcie umów powierzenia przetwarzania danych osobowych, mocno uszczegóławiając elementy, które umowa powierzenia powinna zawierać. Warto zwrócić uwagę, że umowę powierzenia stosuje się w przypadku korzystania przez dany podmiot z usług zewnętrznych, z którymi związane jest przekazanie podmiotowi zewnętrznemu danych osobowych.
Kary za łamanie przepisów RODO
Za łamanie zasad ochrony danych osobowych przewidziano kary pieniężne. Będą to nie tylko grzywny nakładane w postępowaniu karnym, ale również kary pieniężne nakładane przez Prezesa Urzędu Ochrony Danych Osobowych – bez uprzedniego wezwania do usunięcia uchybień, a niestety ich wysokość to nawet 10 000 000 euro. Taką karę można otrzymać za naruszenia obowiązków administratora lub podmiotu przetwarzającego. Karę nawet dwa razy większą przewidziano za naruszenia podstawowych zasad przetwarzania. Oczywiście są to kary maksymalne i nie należy się ich spodziewać w przypadku mniejszej wagi naruszeń, dokonanych przez mniejsze podmioty. Ponadto ustalając, czy kara w ogóle powinna być nałożona, a także jaki ma być jej wymiar, organ powinien wziąć pod uwagę charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody. Pod uwagę muszą być wzięte też działania podjęte przez zarządcę w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
Podmioty zarządzające będą mogły wykazać, że przetwarzają dane osobowe zgodnie z prawem, poprzez zdobycie certyfikatu ochrony danych osobowych. Podmiot certyfikujący, po przeprowadzeniu audytu ochrony danych osobowych, będzie wystawiał znaki jakości i certyfikaty ochrony danych osobowych. Takie rozwiązanie pozwoli na wykazanie profesjonalnego podejścia do kwestii danych osobowych.
Czy ten artykuł był dla Ciebie interesujący?
Komentarze (4)
Werty ⋅ 10-05-2018 | 17:46
Małostkowe i brak rzetelnej wiedzy i faktów . Mam nadzieje ze nikt nie nabierze się na te cząstkowe informacje przez co może mieć problemy. Tak na przyszłość jeśli chce się napisać taki artykuł to należy się wysilic i zrobić to rzetelnie i zgodnie z prawda !
Janusz ⋅ 09-05-2018 | 13:21
Chyba Pan nie czyta własnego artykułu, w którym miejscu napisał Pan, że "może dotyczyć"? Napisane jest "Konieczne będzie też powołanie inspektora ochrony danych", a nie jak właściwie powinno być zapisane "Konieczne MOŻE okazać się powołanie IOD". Artykuł jest napisanie NIERZETELNIE, czytelnik który nie zna zagadnienia może więc wyciągnąć błędne wnioski. W poprzednim komentarzu, nigdzie nie stwierdziłem iż "bzdurą jest twierdzenie, że nie dotyczy podmiotów zarz. nieruchomościami", gdzie Pan to wyczytał/wydedukował? Przywołałem jedynie treść rozporządzenia, żeby skorygować waszą nierzetelność...
Autor tekstu ⋅ 08-05-2018 | 10:45
W tekście wyraźnie napisane jest kiedy obowiązek powołania administratora może dotyczyć podmiotów zarządzających nieruchomościami a mianowicie wtedy kiedy mamy do czynienia z operacjami przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania, na dużą skalę. Praktyka pokaże jak dużą część spółdzielni czy zarządców obsługujących większą liczbę wspólnot mieszkaniowych ten obowiązek obejmie ale na pewno dotyczy tych podmiotów więc wymagał omówienia w artykule. Dlatego bzdurą to jest twierdzenie że nie dotyczy podmiotów zarządzających nieruchomościami. Paweł Puch
Janusz ⋅ 07-05-2018 | 12:06
"Konieczne będzie też powołanie inspektora ochrony danych. " <- bzdura, ten obowiązek będą mieć tylko nieliczne podmioty głównie duże przedsiębiorstwa, organy publiczne i których głównym obszarem działania jest przetwarzanie danych. Ogólne rozporządzenie o ochronie danych w art. 37 ust 1przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów przetwarzających wówczas, gdy: a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę. c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o których mowa w art. 10.