25 maja 2018 r. wchodzi w życie Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, tzw. RODO. Nowe przepisy wprowadzają rewolucję także na rynku nieruchomości, w szczególności w zarządzaniu nieruchomościami. Rozporządzenie przewiduje konieczność dostosowania przetwarzanych danych i weryfikacji stosowanych procedur oraz obowiązek weryfikacji umów o powierzenie przetwarzania danych osobowych.
Przepisy o RODO na rynku nieruchomości
Administrator danych osobowych może zbierać i przetwarzać dane osobowe tylko w konkretnych, wyraźnych i prawnie usprawiedliwionych celach, w sposób zapewniający odpowiednie bezpieczeństwo danych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą. Ponadto dane osobowe muszą być adekwatne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Konieczne będzie też powołanie inspektora ochrony danych. Jego główne zadanie polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania, na dużą skalę. Zatem musi go powołać większość spółdzielni i zarządców obsługujących większą liczbę wspólnot mieszkaniowych. Konieczne będzie zadbanie o to, żeby inspektor uczestniczył we wszystkich sprawach dotyczących ochrony danych osobowych, a także wsparcie go w wypełnianiu zadań. Ponadto każdy administrator będzie musiał prowadzić rejestr czynności przetwarzania danych osobowych, określający dane administratora, cele przetwarzania, kategorie odbiorców czy opis technicznych i organizacyjnych środków bezpieczeństwa.
Umowa powierzenia przetwarzania danych osobowych
Warto też zwrócić uwagę na umowę powierzenia przetwarzania danych osobowych. W sytuacji, gdy wspólnota mieszkaniowa zleca zarządzanie nieruchomością zewnętrznemu podmiotowi, umowa o zarządzanie nieruchomością musi zawierać postanowienia o przetwarzaniu danych osobowych. Wprowadzane przepisy oznaczają dla administratorów danych osobowych nową rzeczywistość w aspekcie umów powierzenia przetwarzania danych osobowych, mocno uszczegóławiając elementy, które umowa powierzenia powinna zawierać. Warto zwrócić uwagę, że umowę powierzenia stosuje się w przypadku korzystania przez dany podmiot z usług zewnętrznych, z którymi związane jest przekazanie podmiotowi zewnętrznemu danych osobowych.
Kary za łamanie przepisów RODO
Za łamanie zasad ochrony danych osobowych przewidziano kary pieniężne. Będą to nie tylko grzywny nakładane w postępowaniu karnym, ale również kary pieniężne nakładane przez Prezesa Urzędu Ochrony Danych Osobowych – bez uprzedniego wezwania do usunięcia uchybień, a niestety ich wysokość to nawet 10 000 000 euro. Taką karę można otrzymać za naruszenia obowiązków administratora lub podmiotu przetwarzającego. Karę nawet dwa razy większą przewidziano za naruszenia podstawowych zasad przetwarzania. Oczywiście są to kary maksymalne i nie należy się ich spodziewać w przypadku mniejszej wagi naruszeń, dokonanych przez mniejsze podmioty. Ponadto ustalając, czy kara w ogóle powinna być nałożona, a także jaki ma być jej wymiar, organ powinien wziąć pod uwagę charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody. Pod uwagę muszą być wzięte też działania podjęte przez zarządcę w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą,
Podmioty zarządzające będą mogły wykazać, że przetwarzają dane osobowe zgodnie z prawem, poprzez zdobycie certyfikatu ochrony danych osobowych. Podmiot certyfikujący, po przeprowadzeniu audytu ochrony danych osobowych, będzie wystawiał znaki jakości i certyfikaty ochrony danych osobowych. Takie rozwiązanie pozwoli na wykazanie profesjonalnego podejścia do kwestii danych osobowych.