Kiedy pośrednik w obrocie nieruchomościami może legalnie korzystać z danych swoich klientów?

Podstawą przetwarzania danych klientów w większości przypadków będzie tutaj umowa zawierana pomiędzy pośrednikiem a agencją pośrednictwa nieruchomości.

Jakie grożą kary za naruszenie przepisów o RODO?

Wszystko zależy od skali naruszeń. Mniejsze kary grożą, jeżeli pośrednik raz czy dwa razy w swojej bazie danych zamieścił ogłoszenie bez zgody osoby, która wcześniej opublikowała je w internecie. Wówczas tego typu naruszenie należy zakwalifikować jako przetwarzanie danych bez podstawy prawnej, ale skutki naruszenia nie są duże. W takim wypadku prezes Urzędu Ochrony Danych Osobowych (UODO) może zapewne ukarać upomnieniem lub ostrzeżeniem oraz nakazać uzyskanie zgody od osoby, której ogłoszenie znajduje się w internecie. Niestety zdarza się, że pośrednik stale pobiera ogłoszenia z portali internetowych i nigdy nie pyta o zgodę. W takim wypadku w swojej pracy posługuje się nielegalną bazą danych. A gdy są w niej setki, a nawet tysiące ogłoszeń, skala naruszeń jest duża. Wtedy w grę może wchodzić prawdopodobnie już duża odpowiedzialność finansowa.

Wysokość kary zależy od wielu czynników. Mianowicie, czy doszło do naruszeń z winy umyślnej lub nieumyślnej, a także czy taka agencja wdrożyła kodeks branżowy, z którego wynika, w jaki sposób dba o ochronę danych osobowych. Ważne jest również, czy biuro nieruchomości współpracowało w trakcie kontroli z urzędem.

Te czynniki, jak szereg innych, mają wpływ na to, czy dostanie się karę i w jakiej wysokości.

Może ona wynieść maksymalnie do 10 lub do 20 mln euro w zależności od rodzaju naruszenia.

To bardzo wysokie kwoty, wręcz z sufitu. Większości firm nie będzie stać na ich zapłacenie.

To jest maksymalna wysokość. Kara musi być dostosowana do wielkości przedsiębiorstwa. Czasami wynosi 2–4 proc. światowego obrotu danej firmy.

Czy doszło już w Polsce do ukarania kogoś na podstawie RODO za naruszenia z zakresu ochrony danych osobowych?

Dwa tygodnie temu prezes UODO nałożył pierwszą karę na przedsiębiorcę. Nie była to wprawdzie firma z branży nieruchomości, ale chodziło o bazę danych.

Firma stworzyła ją na podstawie danych powszechnie dostępnych z rejestrów: Centralnej Ewidencji Działalności Gospodarczej oraz Krajowego Rejestru Sądowego. Firma poinformowała o przetwarzaniu danych tylko przedsiębiorców, którzy podali swoje e-maile w CEDIG i KRS. Było ich w sumie ponad 600 tys.

Tymczasem baza ukaranego obejmowała kilka razy więcej danych. A to oznacza, że większość z nich nie została poinformowana. Dlaczego? Chodziło o pieniądze. Firma wyceniła, że na przesyłki listowne musiałaby wydać niemal 30 mln. zł. Tymczasem jej roczny obrót wynosił taką kwotę. W związku z tym postanowiła zrezygnować z informowania paru milionów firm. Powołała się przy tym na przesłankę z RODO, że nie trzeba informować o przetwarzaniu danych, jeżeli spowodowałoby to niewspółmiernie duże koszty.

UODO uznał inaczej. W swojej decyzji organ uznał, że koszty finansowe, które poniosłaby ta firma, nie były tutaj okolicznością uzasadniającą odstąpienie od realizacji obowiązku informacyjnego. Firmę ukarano sankcją w wysokości prawie miliona złotych.

Małej agencji nieruchomości raczej nie grozi tego rodzaju kara finansowa.

Nie lubię gdybać ani wróżyć. Proszę pamiętać natomiast, że UODO nie karze masowo. W ciągu 12 miesięcy od wejścia w życie RODO zrobił to tylko raz.

Na masową skalę dane przetwarzają również zarządcy nieruchomości. Dysponują olbrzymi bazami danych dotyczących m.in. właścicieli lokali. Oni również muszą mieć zgody?

Większość danych przetwarzana jest na podstawie umów. W związku z tym zgody najczęściej nie są potrzebne. Niemniej każde pozyskanie danych musi poprzedzać obowiązek informacyjny. Realizować można go różnie. W wielu przypadkach wystarczy np. nakleić na biurko lub blat recepcji odpowiednią informację. W praktyce nie jest to często przestrzegane.

Wielokrotnie spotkałem się również z praktyką, że duże firmy, zapraszając na zebrania członków wspólnoty lub informując o remontach etc., stosują tzw. rozdzielniki otwarte. Oznacza to, że wszyscy mieszkańcy otrzymują swoje dane, często dotyczące kondycji finansowej.

Tymczasem mamy prawo sobie tego nie życzyć, zwłaszcza że w tak małej społeczności lokalnej wszyscy się znają. Ponadto duże firmy zarządzające oraz spółdzielnie mieszkaniowe powinny powołać inspektora danych osobowych. Taka osoba prowadzi rejestr przetwarzania danych oraz analizuje ryzyko związane z przetwarzaniem.

Rozumiem, że nie każda firma zarządzająca musi zatrudnić inspektora. W takim razie, ile powinna obsługiwać wspólnot mieszkaniowych, by taki obowiązek na niej ciążył?

To nie ma znaczenia, Najważniejsze kryterium jest takie, czy firma zarządzająca prowadzi we wspólnotach mieszkaniowych monitoring, a jeżeli tćak, to na jaką skalę. Moim zdaniem dużych zarządców nieruchomości, operujących złożonymi systemami monitoringu w tym monitoringu wizyjnego, można zakwalifikować jako podejmujących takie działania na dużą skalę.

Jakie kwalifikacje musi mieć inspektor. Słyszałam o przypadkach, że powierza się tę funkcję pierwszemu z brzegu pracownikowi, byleby było w papierach, że taki inspektor w firmie jest.

Musi mieć odpowiednią wiedzę i doświadczenie z zakresu ochrony danych osobowych. Nie trzeba mieć żadnych certyfikatów, dyplomu ukończenia studiów podyplomowych. Ich posiadanie stanowi oczywiście atut, ale nie jest formalnym wymogiem pełnienia tej funkcji.

Maciej Kawecki jest koordynatorem krajowej reformy ochrony danych osobowych. Kieruje Departamentem Zarządzania Danymi w Ministerstwie Cyfryzacji. W latach 2016–2017 był doradcą w Gabinecie Politycznym Ministra Cyfryzacji, a od 2015 do 2016 r. pracował w Biurze Generalnego Inspektora Ochrony Danych Osobowych. Jest autorem kilkudziesięciu publikacji z zakresu bezpieczeństwa danych osobowych. Uczestnik kilkudziesięciu krajowych oraz międzynarodowych konferencji naukowych z zakresu prawa nowych technologii. ?