25 maja zacznie obowiązywać unijne rozporządzenie o ochronie danych osobowych (RODO). Będzie miało zastosowanie w stosunku do wszystkich osób przetwarzających dane osobowe. Jak wygląda kwestia RODO na rynku nieruchomości?
RODO, czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych (ang. General Data Protection Regulation) ma za zadanie ujednolicić zasady i procedury dotyczące przetwarzania i ochrony danych osobowych. Rozporządzenie od 25 maja będzie obowiązywało wszystkich, także firmy mające siedzibę poza UE, ale przetwarzające dane osobowe obywateli Unii Europejskiej. Zatem RODO na rynku nieruchomości obowiązuje w taki sam sposób jak w przypadku innych branży.
Jakie zmiany?
Rozporządzenie Ogólne o Ochronie Danych Osobowych porusza wiele kwestii i niezwykle trudno jest je wszystkie skomentować w jednym artykule. Dlatego pozwolimy sobie wskazać kilka kluczowych zagadnień.
Przede wszystkim RODO znosi obowiązek zgłaszania zbiorów do GIODO. Ponadto nie będzie już wymagane posiadanie polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi. W zamian za to należy prowadzić rejestr czynności przetwarzania danych. Powinien on zawierać informacje o kategoriach przetwarzania oraz celach.
Rozbudowany obowiązek informacyjny
RODO znacznie rozbudowuje obowiązek informacyjny. Jako administratorzy danych będziemy musieli podczas zbierania danych przekazać tym ich właścicielom dużo więcej informacji w jasny i czytelny sposób. Słabo widoczne, niezrozumiałe klauzule zupełnie nie wchodzą w grę. Jeżeli dane zbieramy bezpośrednio od osoby, której one dotyczą, zobowiązani jesteśmy podać:
- swoją tożsamość i dane kontaktowe;
- gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
- cele oraz podstawę prawną przetwarzania danych osobowych;
- prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- informacje o prawie do cofnięcia zgody;
- informacje o prawie wniesienia skargi do organu nadzorczego;
- informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz, czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.
Więcej informacji na ten temat bezpośrednio w rozporządzeniu tutaj.
Samodoniesienie
Kolejną zmianą wprowadzaną przez RODO jest fakt, że w razie wycieku bądź naruszenia danych osobowych będziemy musieli sami zgłosić się do odpowiednich organów oraz poinformować osoby, których te dane dotyczą. Warto więc wdrożyć właściwe rozwiązania oraz rozważyć odpowiednie procedury i schematy działania w razie ewentualnego naruszenia.
Jakie środki zastosować?
RODO nie wskazuje jednoznacznie, jakie środki powinniśmy zastosować, by zabezpieczyć dane. Mówi jednak o tym, że mają być one odpowiednie. Zatem to od nas zależy jakie środki organizacyjne i techniczne wdrożymy w konkretnym przypadku. W ich ustaleniu z pewnością pomoże przeprowadzenie analizy ryzyka.
RODO na rynku nieruchomości. Jak się przygotować?
Wprowadzenie wymogów RODO w branży nieruchomości wygląda podobnie jak w przypadku innych branży. Przede wszystkim powinniśmy przeanalizować, w jaki sposób przetwarzamy dane osobowe w firmie. Jak je chronimy, gdzie przetrzymujemy i kto ma do nich dostęp. Powinniśmy także zweryfikować, czy mamy odpowiednią podstawę do ich przetwarzania, czyli czy dysponujemy właściwą zgodą. Następnie należy przygotować odpowiednie komunikaty w postaci klauzul, broszur czy regulaminów. Pamiętajmy o tym, by były napisane prostym, zrozumiałym językiem i zawierały wszelkie informacje wymagane przez rozporządzenie. Warto sprawdzić także, czy nasza infrastruktura techniczna spełnia standardy, które stawia przed nami RODO. Kolejnym krokiem jest przeszkolenie wszystkich osób, które mają kontakt z przetwarzanymi przez nas danymi.
Biura nieruchomości a RODO
Ochronę danych osobowych powinniśmy uwzględnić już w fazie projektowania. Jeżeli tworzymy projekt (strona internetowa, serwis ogłoszeniowy), w ramach którego będziemy przetwarzać dane, powinniśmy wziąć pod uwagę kwestię ich ochrony. Wspomniany wyżej obowiązek informacyjny możemy spełnić, konstruując odpowiedni regulamin czy też politykę prywatności. Pamiętajmy o tym, że nawet jeżeli mamy stronę typu wizytówka firmowa, na której umieszczony jest formularz kontaktowy to i tak powinniśmy spełnić obowiązek informacyjny. Przesyłane dane warto zabezpieczyć certyfikatem SSL.
Kary finansowe
Firmy przetwarzające dane powinny liczyć się z niespodziewanymi kontrolami w związku z przetwarzaniem danych osobowych. Jeżeli okaże się, że którąś kwestię zaniedbaliśmy bądź czegoś nie dopilnowaliśmy, nieważne czy świadomie, czy nieświadomie, możemy otrzymać karę wysokości nawet do 4% rocznego obrotu z poprzedniego roku lub do 20 mln euro. Oczywiście organy będą brały pod uwagę czas trwania naruszenia, jego charakter i wagę.
Poradnik dotyczący RODO
Wymogi RODO nie są bardzo skomplikowane. Cała trudność polega na tym, że niektóre są dosyć nieprecyzyjne i pozostawiają nam pole do manewru. Ma to swoje zalety, ale i wady. Na stronie prakreacja.pl dostępny jest poradnik dotyczący RODO. Jego autorzy poruszają i wyjaśniają wiele istotnych kwestii związanych z wymogami rozporządzenia. Zachęcamy do zapoznania się i wdrożenia odpowiednich środków, by nie narazić się na kary pieniężne.