fot.: istockphoto.com
Pośrednicy w obrocie nieruchomościami operują zwykle bardzo dużą ilością danych osobowych swoich klientów. Nie zawsze jednak zdają sobie sprawę z zasad prawidłowego przetwarzania i zabezpieczenia takich danych.
Jakie dane podlegają ochronie?
Zgodnie z definicją sformułowaną w ustawie o ochronie danych osobowych, dane osobowe to „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Osobą możliwą do zidentyfikowania jest „osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne”.
Przyjmuje się, że informacja nie umożliwia określenia tożsamości konkretnej osoby, czyli nie jest daną osobową, jeżeli identyfikacja wymagałaby nadmiernych kosztów, czasu lub działań, a do jej uzyskania nie wystarcza wykorzystanie łatwo osiągalnych i powszechnie dostępnych źródeł.
Danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności, na przykład samo imię ani nawet imię i nazwisko, jeżeli są bardzo popularne i często spotykane (np. Jan Nowak). Te same dane mogą jednak stanowić dane osobowe w połączeniu z innymi dodatkowymi informacjami, które umożliwiają identyfikację konkretnej osoby, np. imię w połączeniu z nazwiskiem i miejscem zamieszkania.
W praktyce danymi, z którymi najczęściej mają do czynienia pośrednicy, są dane zamieszczane w umowach pośrednictwa oraz w umowach sprzedaży nieruchomości: imiona i nazwiska klientów, imiona ich rodziców, numery PESEL, adresy zamieszkania, numery dokumentów tożsamości. Standardowo danymi pozyskiwanymi przez pośredników są również numery telefonów i adresy e-mail.
Warto pamiętać, że szczególną ochroną objęte są tzw. dane wrażliwe. Do takich danych należą informacje o pochodzeniu etnicznym lub rasowym, poglądach politycznych, przekonaniach religijnych lub filozoficznych, przynależności wyznaniowej, partyjnej lub związkowej, dane o stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, informacje dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. W obrocie nieruchomościami takie dane zwykle nie są wykorzystywane, warto jednak pamiętać, że ich przetwarzanie jest dopuszczalne jedynie w wyjątkowych sytuacjach.
Kilka podstawowych pojęć
„Przetwarzaniem” danych osobowych są wszystkie wykonywane na nich operacje, w szczególności zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Przetwarzamy dane na przykład wtedy, kiedy dajemy klientowi do wypełnienia formularz osobowy, a następnie wprowadzamy jego dane do pamięci komputera lub po prostu zapisujemy numer telefonu, imię i nazwisko klienta w pamięci naszego smartfona. Również wykasowanie danych lub przekazanie np. notariuszowi jest ich przetwarzaniem.
Podmiot, który decyduje o celach i środkach przetwarzania danych, nazywa się „administratorem danych”. W przypadku danych klientów administratorem danych jest z reguły usługodawca, na przykład spółka zajmująca się pośrednictwem w obrocie nieruchomościami lub właściciel biura obrotu – w przypadku osób prowadzących indywidualną działalność gospodarczą. Administratorem danych nie jest osoba zajmująca kierownicze stanowisko ani pracownik, któremu powierzono przetwarzanie danych.
Administratora danych należy odróżnić od „administratora bezpieczeństwa informacji”, to osoba, która z upoważnienia administratora danych nadzoruje przestrzeganie zasad ochrony danych osobowych.
Kiedy wolno przetwarzać dane osobowe?
Wbrew obiegowej opinii, do przetwarzania danych nie zawsze potrzebna jest zgoda osoby, której dane dotyczą.
Podstawy przetwarzania danych określa art. 23 ustawy o ochronie danych osobowych. Przede wszystkim warto pamiętać, że przetwarzanie danych osobowych jest możliwe, gdy jest konieczne do realizacji umowy, której stroną jest osoba, której przetwarzane dane dotyczą, a także gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której przetwarzane dane dotyczą. Oznacza to, że administrator może zbierać, utrwalać i przechowywać wszystkie dane, które są mu potrzebne do wykonania i rozliczenia umowy, i nie musi w tym celu uzyskiwać szczególnej zgody klienta. Na przykład, jeżeli w ramach wykonywania umowy pośrednictwa pośrednik kontaktuje się z notariuszem, przed którym zostanie zawarta umowa sprzedaży danej nieruchomości, to może udostępnić notariuszowi dane osobowe niezbędne do sporządzenia takiej umowy sprzedaży.
Dane można przetwarzać również wtedy, gdy jest to „niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą”. Do takich „prawnie usprawiedliwionych celów” należą na przykład marketing bezpośredni własnych produktów lub usług administratora albo dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej. Trzeba przy tym jednak zauważyć, że o ile w świetle ustawy o ochronie danych osobowych wykorzystanie danych do celów marketingu własnych usług jest możliwe bez dodatkowej zgody, o tyle kontakt marketingowy za pośrednictwem telefonu lub e-maila już takiej zgody wymaga, warto ją więc uwzględnić na etapie zawierania umowy z klientem.
Obowiązki administratorów
Fakt, że do przetwarzania danych nie zawsze potrzebna jest zgoda osoby, której dane dotyczą, nie oznacza, że administrator danych nie ma żadnych obowiązków. Przede wszystkim administrator powinien realizować tak zwany obowiązek informacyjny. Jeżeli uzyskuje dane od osoby, której one dotyczą, powinien zrealizować ten obowiązek przy zbieraniu danych. Jeżeli uzyskuje dane z innego źródła, bezpośrednio po utrwaleniu zebranych danych powinien przekazać osobie, której dane dotyczą, informacje wymagane ustawą. Jeżeli administrator uzyskuje dane od osoby, której one dotyczą, powinien poinformować ją o:
- adresie swojej siedziby i pełnej nazwie, a w przypadku, gdy administratorem jest osoba fizyczna (np. przedsiębiorca prowadzący indywidualną działalność gospodarczą) – o miejscu swojego zamieszkania oraz imieniu i nazwisku,
- celu zbierania danych, w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
- prawie dostępu do treści swoich danych oraz ich poprawiania,
- dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
Najprostszą metodą realizacji obowiązku informacyjnego wobec klientów jest zamieszczenie powyższych wiadomości we wzorze umowy.
Do obowiązków administratorów danych należy również rejestracja zbiorów danych. W celu zapewnienia jawności zabierania danych oraz celu ich zbierania Generalny Inspektor Ochrony Danych Osobowych (GIODO) prowadzi rejestr zbiorów danych.
Zasadniczo administratorzy powinni zgłaszać prowadzone przez siebie zbiory, np. „zbiór klientów”, „zbiór odbiorców newslettera”. Ustawa przewiduje jedynie nieliczne wyjątki w tym zakresie.
Administrator danych musi też zadbać o techniczne, fizyczne i organizacyjne zabezpieczenie danych, w tym prowadzić odpowiednią dokumentację opisującą sposób przetwarzania danych. Dotyczy to zarówno dużych podmiotów, przetwarzających znaczne ilości danych, jak i niewielkich przedsiębiorców, którzy prowadzą kilka czy kilkanaście zbiorów.
Kontrole i kary
Podmiotem uprawnionym do kontrolowania sposobu realizacji obowiązków administratora danych jest GIODO. Upoważnieni pracownicy Biura GIODO mają prawo wstępu do pomieszczeń, w których przetwarzane są dane, mogą też przeprowadzać niezbędne badania i inne czynności kontrolne w celu oceny zgodności przetwarzania danych z ustawą, żądać złożenia wyjaśnień, przesłuchiwać na przykład pracowników administratora, a także dokonywać oględzin komputerów i innych sprzętów służących do przetwarzania danych. Po zakończeniu kontroli sporządzany jest protokół. W przypadku stwierdzenia uchybień GIODO może podjąć dalsze kroki administracyjne, w szczególności wydać decyzję nakazującą przywrócenie stanu zgodnego z prawem. Niewykonanie takiej decyzji wiąże się z nałożeniem kary pieniężnej.
GIODO dokonuje kontroli z własnej inicjatywy (dotyczy to zwłaszcza tzw. kontroli sektorowych) lub na skutek skargi osoby, której dane dotyczą.
Trzeba również pamiętać, że przetwarzanie danych osobowych bez podstawy prawnej albo przez nieuprawnioną osobę, udostępnianie danych osobom nieupoważnionym, a także naruszenie obowiązku zabezpieczenia danych są przestępstwami, zagrożonymi nawet karą pozbawienia wolności. Policyjne statystyki pokazują, że przestępstwa z ustawy o ochronie danych osobowych są ścigane coraz intensywniej, a postępowania w tego typu sprawach przestają być rzadko spotykanym wyjątkiem.
Zmiany, zmiany…
Na zakończenie warto zwrócić uwagę, że już za mniej niż dwa lata (w maju 2018 roku) przepisy o ochronie danych osobowych ulegną zmianie. Zwiększy się zakres obowiązków administratorów, a za zaniechania zostaną wprowadzone surowe kary pieniężne, nawet do 20 mln euro lub 4 proc. rocznego obrotu. Dlatego nawet najmniejsze przedsiębiorstwa powinny zacząć przygotowywać się do tej zmiany i już na etapie projektowania swoich działań prawidłowo oszacować ryzyka i dobrać do nich odpowiednie rozwiązania.
Magazyn ESTATE
Skupiamy uwagę na nieruchomościach
Bezpłatny e-magazyn w 100% dla pośredników
Wiedza i inspiracje do wykorzystania od ręki dostarczane przez doświadczonych uczestników rynku nieruchomości z zakresu marketingu nieruchomości, sprzedaży i negocjacji, prawa i finansów oraz rozwoju osobistego.