Grzegorz Grabowski

Jak wdrożyć RODO w firmie prowadzącej wynajem mieszkań

Jednym z obowiązków firm zajmujących się wynajmem jest przestrzeganie RODO. Wbrew pozorom, wdrożenie RODO nie polega tylko na dodaniu odpowiednich klauzul informacyjnych do umowy najmu. To tylko nikła część tego, co trzeba zrobić, żeby prawidłowo wypełnić wymagania związane z ochroną danych osobowych. W tym artykule dokładnie tłumaczę, na przykładzie konkretnej firmy, w jaki sposób „wdrożyć RODO” w małej firmie zajmującej się wynajmem mieszkań.

Ten artykuł opisuje moje podejście do RODO dla firmy, która wynajmuje komuś mieszkania. Jest on adekwatny dla wynajmujących prowadzących swój najem w ramach indywidualnej działalności gospodarczej, spółki z ograniczoną odpowiedzialnością czy też innego rodzaju podmiotu gospodarczego.

Przede wszystkim, zanim zaczniesz czytać ten artykuł, przeczytaj mój poprzedni artykuł o RODO dla wynajmujących. Znajdziesz tam m.in. krótkie podsumowanie kwestii teoretycznych:

  • co to jest RODO,
  • co to są dane osobowe i ich przetwarzanie,
  • kiedy RODO obowiązuje wynajmujących,
  • jakie masz obowiązki związane z RODO.

W niniejszym artykule nie będę więc ww. informacji powtarzał. Niniejszy artykuł jest bardziej praktyczny, pokazujący, jak te obowiązki wynikające z RODO zrealizować, ale do jego zrozumienia i stosowania konieczna jest znajomość teorii z poprzedniego.

W szczególności, na podstawie poprzedniego artykułu oceń, czy RODO w ogóle Cię dotyczy. W dużym skrócie, jeśli przetwarzasz dane wyłącznie w celach osobistych, to możesz skorzystać z wyłączenia z art. 2 pkt 2 lit c rozporządzenia i RODO Cię nie dotyczy. Nie musisz wtedy czytać niniejszego artykułu. Zaoszczędzisz pewnie co najmniej kilkanaście minut swojego życia 😉

Niemniej, niektórzy specjaliści od RODO twierdzą, że tzw. „wynajem prywatny” (którego nie uznajemy za działalność gospodarczą z punktu widzenia Ustawy o PIT) to nie jest przetwarzanie danych wyłącznie w celach osobistych. Oznacza to, że ich zdaniem RODO dotyczy w praktyce wszystkich wynajmujących.

Spis treści:

Zastrzeżenia

Nie jestem prawnikiem ani zaawansowanym specjalistą od ochrony danych osobowych. Moje doświadczenia z RODO są takie, że „wdrażałem RODO” w kilku swoich firmach, ale ze wsparciem prawników m.in. Wojtka Wawrzaka z bloga Prakreacja.pl (którego zresztą pozdrawiam i dziękuję za solidne wsparcie).

RODO nie jest ścisłą regulacją i daje tylko ogólne wskazówki, jak powinny być realizowane określone w rozporządzeniu obowiązki. To pozostawia bardzo wiele do decyzji osób i firm, które chcą przetwarzać dane osobowe, stąd opisane w tym artykule podejście jest wynikiem mojej analizy i moich decyzji.

Co więcej, w miarę upływu czasu oraz nabywania doświadczenia (czyli tzw. praktyki), na pewno będę swoje podejście modyfikował. Przykładowo, moje podejście może się zmienić w wyniku publikacji UODO (warto śledzić stronę https://uodo.gov.pl/) lub powstania adekwatnych kodeksów postępowania zgodnie z art. 40 RODO. Przykładowo, jakiś czas temu UODO opublikował 10 wskazówek dla administratorów danych w kontekście RODO.

Niniejszy artykuł ma Wam pomóc we „wdrożeniu RODO” w firmie prowadzącej wynajem mieszkań. Pamiętajcie jednak, że każdy przypadek jest inny i z pewnością materiały z tego artykułu musicie dostosować do swojej sytuacji. Nie biorę też odpowiedzialności za skutki wykorzystania tego artykułu i nie stanowi on doradztwa prawnego.

Dodatkowo, o ile uważam, że w najprostszych przypadkach można „wdrożyć RODO” samemu, to nie obawiajcie się korzystać z prawników, przy czym zadbajcie o to, żeby to był prawnik znający się na tym temacie. W branży kreatywnej/e-commerce polecam Wojtka Wawrzaka, a w branży nieruchomości Piotra Dobrowolskiego.

Poniższy artykuł jest oparty o „wdrożenie RODO” w rzeczywistej firmie zajmującej się wynajmem, ale w przykładowych dokumentach zamieniłem jej nazwę na MOJEPOKOJE ADAM NOWAK. Pozostałe nazwy również zamieniłem na takie, które nie pozwolą na identyfikację rzeczywistych osób.

Jestem administratorem danych osobowych

W moim odczuciu zrozumienie idei administratora danych osobowych, a także procesora, a przede wszystkim różnicy między tymi dwoma pojęciami jest kluczowe.

Całe RODO dotyczy ochrony danych osobowych (definicję danych osobowych znajdziesz w moim poprzednim artykule). Zwracam uwagę, że chodzi o dane osobowe zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, czyli konkretnego człowieka (dane osoby prawnej np. spółki nie podlegają ochronie w ramach RODO). Ochrona danych osób fizycznych jest postrzegana jako podstawowe prawo człowieka.

Zgodnie z art. 4 RODO administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Wg mnie będzie nim podmiot, który przetwarza dane osobowe na swoje potrzeby (najczęściej pozyskane od osób, których dane dotyczą, ale mogą one być pozyskane także od innych osób np. gdy od najemcy uzyskujemy dane jego poręczyciela).

Z kolei, gdy jakiś podmiot przetwarza dane osobowe dla innego podmiotu, staje się podmiotem przetwarzającym dane, czyli tzw. procesorem (uwaga, nazwa „procesor” jest nazwą zwyczajową i nie występuje oficjalnie w RODO).

Z kolei procesor może powierzyć dane innemu procesorowi, który w ten sposób staje się podprocesorem.

Jako firma wynajmująca komuś mieszkania, jestem administratorem danych osobowych najemców, pracowników (o ile ich posiadam) oraz dostawców, a także osób, z którymi koresponduję (którzy nie zawsze zaliczają się do wcześniej wymienionych grup).

Nie jestem natomiast procesorem, ponieważ nie przetwarzam danych osobowych powierzonych mi przez kogoś innego do przetwarzania na jego zlecenie.

Powierzam jednak dane osobowe swoich najemców, pracowników oraz dostawców innym podmiotom do przetwarzania np. firmie księgowej (ona staje się ich procesorem).

Podstawa przetwarzania

Zgodne z prawem przetwarzanie danych osobowych, jak mówi art. 6 ust. 1 RODO, zawsze odbywa się na jakiejś podstawie:

  • zgody,
  • wykonania umowy,
  • wypełnienia obowiązku prawnego ciążącego na administratorze,
  • ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej,
  • prawnie uzasadnionych interesów administratora.

Wg mnie w ramach najmu nie przetwarzam danych szczególnych kategorii (art. 9 RODO) ani „karnych” (art. 10 RODO), nie zwracam więc uwagi na szczególne wymagania dotyczące przetwarzania tego rodzaju danych.

W przypadku najmu i przetwarzania danych najemców podstawą przetwarzania będzie najczęściej:

  • konieczność wykonania umowy (trudno zrealizować umowę najmu, jeśli nie znamy danych najemcy),
  • wypełnienie obowiązków prawnych przez administratora (np. wystawienie faktury, rozliczenie księgowe), a także
  • prawnie uzasadniony interes administratora (przechowujemy dane najemcy do momentu przedawnienia roszczeń, które mogą wytoczyć obydwie strony).

Dla przetwarzanych przeze mnie danych pracowników, dostawców i osób, z którymi koresponduję, podstawy mogą być nieco inne (patrz fragment artykułu o obowiązku informacyjnym).

Wystarczy znaleźć jedną podstawę prawną dla danego rodzaju przetwarzania.

Jeśli nie masz dla jakichś danych co najmniej jednej podstawy przetwarzania, to nie powinieneś ich przetwarzać.

Uwaga, wg mnie zasadniczo w przypadku działalności polegającej na najmie nie musimy od nikogo zbierać zgód na przetwarzanie jego danych (chyba że zamierzamy robić coś wykraczającego poza najem). Jeśli mogę wykazać, że jakieś przetwarzanie jest niezbędne do wykonania umowy lub zabezpieczenia mojego prawnie uzasadnionego interesu, to zgoda nie jest potrzebna.

Moje podejście do RODO na jednym obrazku 😉

Po przeczytaniu 2 czy 3 książek o RODO, kilkudziesięciu artykułów i dość szybkim „wdrożeniu” RODO w kilku swoich firmach (ze wsparciem ww. prawników) nadal nie czuję się ekspertem w tym temacie. Doszedłem jednak do wniosku, że RODO nie jest jakimś oderwanym od rzeczywistości zbiorem wymagań, ale ogólnym, jak najbardziej jednak spójnym, systemem mającym zapewnić ochronę danych osobowych w całej Unii. Postarałem się więc zwizualizować swoje rozumienie RODO dla firmy zajmującej się wynajmem mieszkań na jednym obrazku:

Podkreślam, że nie jest to obrazek, który ma zilustrować całe „RODO”, ale pokazać podejście do ochrony danych osobowych dla konkretnego podmiotu gospodarczego, czyli firmy wynajmującej mieszkania. Powyższy obrazek pozwolił mi na weryfikację, czy objąłem „wdrożeniem” wszystkie elementy, a także na pewne uporządkowanie podejścia i uporządkowanie tego artykułu. Nie przejmuj się w tym momencie, jeśli nie rozumiesz w pełni tego obrazka. Poniżej opisuję poszczególne jego elementy – po przeczytaniu tego artykułu stanie się on dla Ciebie jasny.

Analiza ryzyka

RODO narzuca nam podejście do przetwarzania danych osobowych oparte o ryzyko.

O jakie ryzyko chodzi?

Patrząc na motyw 75 RODO, można powiedzieć, że chodzi o ryzyko naruszenia praw lub wolności osób, których te dane dotyczą. Nie chodzi więc o ryzyko dla naszej firmy np. kary lub szkody biznesowej wynikającej z wycieku danych, ale o to, czy ucierpią osoby, których dane przetwarzamy.

To ryzyko musimy regularnie analizować (szacować).

RODO nie podaje konkretnej metody przeprowadzania analizy. Każdy musi dokonywać jej samodzielnie, uwzględniając wiele specyficznych dla niego czynników, takich jak: wielkość, struktura organizacyjna, możliwości techniczne czy charakter, zakres danych oraz cel przetwarzania, kontekst oraz zagrożenia dla tych danych.

Następnie powinniśmy dostosować do tego ryzyka nasze podejście do przetwarzania danych, w szczególności musimy dostosować wszelkie środki związane z bezpieczeństwem przetwarzanych danych.

RODO nie narzuca więc nam jakichś konkretnych rozwiązań zabezpieczających przetwarzane dane, ale wymusza analizę ryzyka i dostosowanie tych rozwiązań do wyników tej analizy.

Wziąłem więc sobie powyższe założenia do serca i dokonałem analizy ryzyka. Fakt ten opisałem w notatce (znajdziecie ją w pakiecie dokumentów).

Wszystkie przykładowe dokumenty z tego artykułu możesz otrzymać, zapisując się na mój DARMOWY newsletter. Oprócz tych dokumentów (za darmo!) otrzymasz także inne m.in. wzór umowy najmu. Jeśli jesteś już moim subskrybentem, po wpisaniu adresu e-mail w formularzu do zapisu na newsletter zostaniesz od razu przekierowany na stronę, z której będziesz mógł pobrać pliki RODO oraz inne bonusy.

Z mojego rozumienia RODO wynika, że analiza ryzyka powinna być przeprowadzana raz na jakiś czas, a inne elementy powinny być dostosowane do wyników tej powtarzanej analizy (art. 24 ust. 1 RODO: „[…] Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”.).

W moim wykonaniu polega to po prostu na tym, że raz na rok dokonuję ponownej analizy i oceniam, czy muszę zmienić coś w swoim podejściu do przetwarzania danych (a jeśli coś wymaga zmiany, to odpowiednio modyfikuję podejście). Zgodnie z zasadą rozliczalności (o której piszę niżej) z tej ponownej analizy również sporządzam notatkę (z tego powodu w pakiecie dokumentów znajdziecie dwie notatki – z 1 maja 2018 roku oraz z 1 maja 2019 roku) i archiwizuję w odpowiednim folderze.

Więcej szczegółów na temat podejścia opartego o ryzyko znajdziesz w dwuczęściowym poradniku przygotowanym przez Prezesa UODO.

Ocena skutków przetwarzania

Opisana wyżej ocena ryzyka jest też podstawą do decyzji, czy musimy zrobić ocenę skutków przetwarzania.

Artykuł 35 RODO mówi, że jeżeli dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to musimy, przed rozpoczęciem przetwarzania (!), dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. W tym samym artykule wymienione są również przykładowe sytuacje, w których taka ocena jest konieczna. Narzuca też na organ nadzorczy (w przypadku Polski na Prezesa UODO) obowiązek podania do publicznej wiadomości wykazu rodzajów operacji przetwarzania, które powodują konieczność zrobienia oceny skutków przetwarzania.

W lipcu 2019 roku Prezes UODO wydał komunikat w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.

Po analizie ryzyka oraz przejrzeniu ww. komunikatu Prezesa UODO stoję na stanowisku, że operacje przetwarzania danych, które wykonuje moja firma świadcząca usługi najmu, nie wymagają dokonania oceny skutków przetwarzania.

Uwaga to jest moja subiektywna ocena, dokonana na bazie wykonanej w mojej firmie analizy ryzyka. W Twoim wypadku sytuacja może być inna.

Analizę ryzyka, jak wspomniałem wcześniej, przeprowadzam raz na rok, więc adekwatnie do tego raz na rok dokonuję decyzji, czy muszę wykonać ocenę skutków przetwarzania.

Jesteś winny (zasada rozliczalności, czyli domniemanie winy)!

Artykuł  5 ust. 2 RODO mówi, że „Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”)”.

Dodatkowo, artykuł 82 ust. 3 RODO mówi, że „Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności […], jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody”.

Zasada rozliczalności oznacza, że nie tylko musimy wykonać obowiązki wynikające z RODO, ale także być w stanie udowodnić, że je wykonaliśmy. RODO zakłada domniemanie winy, czyli jeśli nie wykażesz, że nie ponosisz winy, to automatycznie, jako administrator, odpowiadasz za szkody spowodowane przetwarzaniem naruszającym RODO (artykuł 82 ust. 2).

Jedynym chyba sposobem na udowodnienie, że coś zrobiliśmy zgodnie z RODO, jest odpowiednia dokumentacja. Z tego powodu przy wszystkich obowiązkach opisywanych w tym artykule zawsze opisuję także, w jaki sposób dokumentuję wykonanie tego obowiązku. Dzięki dokumentacji będę miał w razie potrzeby możliwość udowodnienia, że tego obowiązku dopełniłem. Przykładowo, każda wspomniana wcześniej analiza ryzyka jest opisana w osobnej notatce, która jest dowodem, że tej analizy dokonałem.

Na samym końcu tego artykułu opisuję dokładniej, w jaki sposób zarządzam dokumentacją, przede wszystkim właśnie po to, żeby zadośćuczynić zasadzie rozliczalności.

Uwaga, ta konieczność dokumentacji wszystkiego doprowadziła do tego, że spełnienie obowiązków wynikających z RODO jest przez wiele osób utożsamiane ze zrobieniem/prowadzeniem odpowiedniej dokumentacji! Nic bardziej mylnego!

Do spełnienia obowiązków wynikających z RODO nie wystarczy „zrobić papiery”. Trzeba spełniać wymagania RODO, czyli m.in. odpowiednio przetwarzać i zabezpieczać dane, a potem to jeszcze (niestety) udokumentować, żeby mieć dowód, że to prawidłowo robimy.

Obowiązek informacyjny

Jednym z praw, które zapewnia wszystkim RODO, jest prawo do wiedzy, co się dzieje z naszymi danymi osobowymi. Z tym wiąże się narzucony na administratora obowiązek informacyjny. Ma on poinformować osobę, której dane przetwarza:

  • gdy zbiera dane od tej osoby (artykuł 13 RODO),
  • gdy zbiera dane na temat tej osoby z innych źródeł (artykuł 14 RODO),
  • gdy zmienia albo dodaje cel przetwarzania,
  • gdy osoba, której dane dotyczą, zażąda dostępu do danych (artykuł 15 RODO).

Ale o czym poinformować?

Dość precyzyjnie określają to wspomniane wyżej artykuły 13, 14 i 15 RODO.

Przykładowo, gdy zbieramy dane od osoby, której te dane dotyczą, musimy przedstawić jej m.in.:

  • tożsamość i dane kontaktowe administratora,
  • cel i podstawy prawne przetwarzania danych,
  • odbiorców lub kategorie odbiorców danych,
  • informację o okresie przechowywania danych (lub kryteriach jego ustalania),
  • jej prawach i ewentualnym profilowaniu

(uwaga, powyższa lista nie jest pełna – odsyłam do artykułu 13 RODO).

Trzeba pamiętać, że musimy spełnić obowiązek informacyjny wobec wszystkich osób, których dane przetwarzamy (nie tylko wobec najemców).

Jak to zrobić?

Wobec najemców

Ja przedstawiam najemcom kartkę, na której umieszczam odpowiednie informacje (jest to załącznik do umowy najmu) i proszę o podpis. Potem tę kartkę skanuję i wrzucam do odpowiedniego folderu razem z zeskanowaną umową, a papierową wersję archiwizuję w segregatorze.

Przykład takiego dokumentu znajdziesz w pakiecie, który otrzymasz po zapisaniu się na newsletter. Uprzedzam, że ten dokument należy odpowiednio zmodyfikować i dostosować do swojego przypadku (pewnym minimum jest, chociażby wstawienie odpowiednich danych administratora 😉).

Jednym z elementów, o których trzeba poinformować osoby, których dane przetwarzamy, jest podstawa ich przetwarzania. Zwracam uwagę, że, zgodnie z tym, co napisałem wcześniej w tym artykule, w przypadku przetwarzania danych osobowych naszych najemców podstawą przetwarzania nie jest zgoda najemcy (nie musimy mieć od nich zgody). Z tego powodu podpis na tej kartce nie jest zgodą, ale wyłącznie potwierdzeniem dla mnie, że najemca otrzymał i zapoznał się z tymi informacjami (pamiętasz o zasadzie rozliczalności? Ten podpis jest dowodem, że dopełniłem obowiązku informacyjnego).

Czasami niektórzy wynajmujący uzyskują jednak od najemców zgody np. na przedstawienie im oferty przedłużenia najmu na kolejny rok. Wg mnie najlepiej dodać wtedy odpowiednie pole w ww. dokumencie oraz odpowiednio zmodyfikować informacje m.in. o celach i podstawach przetwarzania. Podpis najemcy będzie potwierdzeniem zgody.

Jak już wspomniałem wcześniej, przetwarzam dane osobowe nie tylko najemców, ale także innych osób: pracowników, dostawców i osób, z którymi wymieniam maile (którzy nie zawsze należą do jednej z wcześniej wymienionych grup). Wobec nich również należy dopełnić obowiązku informacyjnego.

Wobec pracowników

Właściwie to musiałem dopełnić obowiązku informacyjnego wobec jednego pracownika, bo tylko jednego zatrudniam 😉. Zrobiłem to poprzez przedstawienie odpowiedniego dokumentu, a na jego kopii uzyskałem potwierdzenie, że zapoznał się z nim. Oczywiście, zarchiwizowałem dokument w postaci elektronicznej oraz papierowej.

Przykład takiego dokumentu znajdziesz w pakiecie, który otrzymasz po zapisaniu się na newsletter.

Przetwarzanie danych w procesach rekrutacji i zatrudniania pracowników to oczywiście bardzo szeroki temat, którego nie jestem w stanie pokryć w tym artykule. Jeśli jesteś pracodawcą, polecam poradnik UODO na ten temat.

Aczkolwiek inny organ też wypowiedział się na ten temat i, jak to zwykle w Polsce bywa, jego zdanie jest odmienne 😉

Wobec dostawców

Wobec dostawców, o ile są to osoby fizyczne, spełniłem obowiązek informacyjny wysyłając im również odpowiedni dokument, a potem zachowałem kopię maili, które wysłałem.

Przykład takiego dokumentu znajdziesz w pakiecie, który otrzymasz po zapisaniu się na newsletter.

Wobec odbiorców maili

Polityka w kontaktach bezpośrednich, do której link mam w stopce każdego maila (mojepokojeadamnowak.pl/klauzula-informacyjna-mail), jest sposobem na spełnienie obowiązku informacyjnego wobec osób, z którymi koresponduję mailowo.

Przykład takiego dokumentu znajdziesz w pakiecie, który otrzymasz po zapisaniu się na newsletter.

W przypadku wielu firm elementem związanym z obowiązkiem informacyjnym jest polityka prywatności publikowana najczęściej na stronie internetowej. W moim przypadku zdecydowałem, że nie będę mieć/publikować polityki prywatności, bo… firma nie ma strony internetowej i obowiązek informacyjny spełniam poprzez wcześniej wymienione elementy.

Niektórzy wynajmujący żądają od swoich najemców poręczenia od kogoś innego np. od studenta żądają poręczenia od rodziców. W takim wypadku należy również spełnić obowiązek informacyjny wobec osób poręczających.

W przypadku podnajmu, gdzie przetwarzasz dane osobowe właścicieli mieszkań, obowiązku informacyjnego należy dopełnić także wobec nich.

Obsługa praw jednostki

Jeśli przejrzałeś dokumenty przedstawiane najemcom i innym osobom, których dane przetwarzamy, to zauważyłeś zapewne, że informujemy tam te osoby o prawach im przysługujących m.in. prawie dostępu do swoich danych oraz otrzymania ich kopii, prawie do sprostowania (poprawiania) swoich danych, prawie do usunięcia danych, ograniczenia przetwarzania danych, prawie do wniesienia sprzeciwu wobec przetwarzania danych, prawie do przenoszenia danych, prawie do wniesienia skargi do organu nadzorczego.

Skoro informujemy ich, że mogą skorzystać z tych wszystkich praw, to musimy im jeszcze to umożliwić (zrealizować ich żądania). To, w jaki sposób to zrobić, opisuje art. 12 RODO.

Przede wszystkim, musimy się komunikować „w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem”. Dotyczy to nie tylko komunikacji podczas obsługi żądań, ale całej komunikacji z osobami, których dane przetwarzamy. Przykładowo, o jakość komunikacji musimy zadbać również w dokumencie informacyjnym. Nie powinniśmy więc np. używać żargonu prawniczego, cytować wyłącznie przepisów, a najlepiej też przeprowadzić tzw. „test Kowalskiego” (czyli dać to do przeczytania przeciętnemu człowiekowi bez doświadczenia z ochroną danych i sprawdzić, czy rozumie).

Zanim odpowiemy na żądanie, musimy potwierdzić tożsamość/uwierzytelnić daną osobę, żeby mieć pewność, że udzielamy informacji właściwej osobie.

Ze względu na zasadę rozliczalności powinniśmy komunikować się na piśmie lub elektronicznie. Na żądanie wnioskodawcy można informacji udzielić ustnie, ale i tak wtedy trzeba potwierdzić tożsamość i udokumentować jakoś obsługę żądania.

Powinniśmy bezzwłocznie odpowiadać na każde żądanie, a w każdym razie w ciągu miesiąca (w uzasadnionych przypadkach można to wydłużyć o 2 miesiące, z podaniem uzasadnienia). W ciągu miesiąca powinniśmy także poinformować wnioskodawcę, jeśli zdecydujemy się nie zrealizować żądania (i podać powody).

W przypadku nieuzasadnionych lub nadmiernych (także ze względu na swój ustawiczny charakter) żądań możemy pobrać rozsądną opłatę (uwzględniającą koszty administracyjne) za ich realizację albo odmówić podjęcia działań. Powinniśmy jednak sami wykazać, że żądanie jest nieuzasadnione lub nadmierne.

Jak więc mogłaby wyglądać obsługa takiego żądania? Wg mnie trzeba wykonać następujące kroki:

  • potwierdzenie tożsamości (żeby się upewnić, że odpowiemy właściwej osobie),
  • analiza, czy jest zasadne i nie jest nadmierne,
  • ewentualne pobranie opłaty, jeśli żądanie jest nieuzasadnione lub nadmierne, lub odmowa realizacji,
  • sprawdzenie, czy w ogóle przetwarzamy dane wnioskodawcy (jeśli nie, informujemy go o tym i zamykamy sprawę),
  • analiza i realizacja żądania np. poprzez udzielenie informacji.

Dobrym przykładem żądania, które często się pojawia, a jednocześnie możemy odmówić jego realizacji, jest wniosek od byłego najemcy, żebyśmy usunęli wszystkie jego dane. Często tak się dzieje, gdy rozstajemy się z najemcą w nie najlepszej atmosferze (bo np. zatrzymaliśmy część jego kaucji na poczet zniszczeń, które zrobił w lokalu) i on w złości przysyła nam żądanie „Na podstawie RODO proszę skasować wszystkie moje dane, które Państwo mają”.

W takiej sytuacji należy zapisać jego żądanie, wysłać odpowiedź odmowną i ją również zapisać.

A dlaczego możemy odmówić realizacji tego żądania? Ponieważ mamy inne niż jego zgoda podstawy przetwarzania jego danych np. obowiązki wynikające z przepisów prawa (np. musimy przechowywać dokumentację księgową czy też prawnie uzasadniony interes (np. ochrona przed jego roszczeniami w przyszłości)).

Przy każdym żądaniu, nawet gdy odmówimy jego realizacji, musimy pamiętać o zasadzie rozliczalności, czyli o dokumentowaniu. Ja po prostu zapisuję w odpowiednim folderze wszystkie żądania (np. wydruk maila do PDF) oraz nasze odpowiedzi na nie (także wydruk maila do PDF).

Ograniczenie celu, minimalizacja danych, ograniczenie przechowywania

Zgodnie z artykułem 5 ust. 1 pkt b RODO dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczenie celu”).

Wg mnie oznacza to tyle, że jeśli wzięliśmy dane od najemców w celu realizacji umowy najmu i ochrony przed roszczeniami, to nie możemy zacząć wykorzystywać je, bez dodatkowych kroków (m.in. dopełnienia obowiązku informacyjnego i zdobycia zgody) np. do marketingu jakichś usług wśród naszych najemców. Dbam więc o to, żeby wykorzystywać je wyłącznie w tych celach, do których je od nich zebrałem (i o tych celach tych najemców poinformowałem).

Zgodnie z artykułem 5 ust. 1 pkt c RODO dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”).

W dużym skrócie oznacza to, że zbieramy od najemców i potem przetwarzamy wyłącznie te dane, których naprawdę potrzebujemy (które są niezbędne do realizacji celów przetwarzania). Przykładowo, od dawna nie kopiuję już ich dowodów osobistych (akurat tego nie robię nie tylko z powodu RODO), nie pytam najemców o informacje, których nie potrzebuję. W przypadku zaświadczeń o zatrudnieniu proszę jedynie o ich okazanie, natomiast ich nie zbieram i nie archiwizuję.

Zgodnie z artykułem 5 ust. 1 pkt e RODO dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane („ograniczenie przechowywania”).

Oznacza to, że dane możemy przechowywać tak długo, jak jest to uzasadnione celami ich przetwarzania (czyli tak długo jak mamy podstawę ich przetwarzania). Przykładowo, jeśli przechowujemy je w celu ochrony przed roszczeniami, to robimy to wyłącznie do upływu okresu przedawnienia roszczeń (te okresy są określone innymi przepisami).

W mojej opinii nie jest łatwo określić, jak długo powinniśmy czy też możemy przetwarzać (przechowywać) poszczególne dane. Wg mnie w przypadku danych najemcy znajdujących się na umowie uzasadnione może być przechowywanie nawet przez kilkanaście lat.

W każdym razie zadbałem o to, żeby o okresie lub kryteriach jego ustalania poinformować w dokumencie informacyjnym wszystkie osoby, których dane przetwarzam. Do tego raz na jakiś czas analizuję przetwarzane dane i ewentualnie usuwam te, do przetwarzania których nie mam już podstaw. Niemniej, to zagadnienie nie jest banalne i nie mam jeszcze dobrego rozwiązania np. na usuwanie tych danych z kopii zapasowych (na których siłą rzeczy możemy mieć sporo danych, dla których podstawy przetwarzania zniknęły i należałoby je usunąć).

 

Zapewnienie bezpieczeństwa danych

Zgodnie z artykułem 5 ust. 1 pkt d i e RODO dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane („prawidłowość”), a także przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).

Na podstawie analizy ryzyka, o której pisałem wcześniej oraz adekwatnie do wyników tej analizy, trzeba wdrożyć odpowiednie środki techniczne i organizacyjne, żeby zapewnić prawidłowość, integralność i poufność danych osobowych, które przetwarzam.

Wg mnie środki techniczne to m.in. te dotyczące infrastruktury służącej do przetwarzania danych osobowych: urządzeń końcowych (komputery, telefony, tablety), serwerów i sieci, usług w chmurze, ale także po prostu firmowych szaf z dokumentami papierowymi. Nie wiem, czy widzieliście w Internecie reklamy „szaf zgodnych z RODO”? Nie bardzo wiem, czym różnią się od normalnych szaf zamykanych na klucz, ale jestem prawie pewien, że niczym 😉

Jakie środki techniczne wdrożyłem (prawdę mówiąc, wiele z nich było wdrożone już wcześniej, zanim w firmie nastało RODO 😉)?

Przede wszystkim, każda osoba w firmie ma swój login i hasło do każdego systemu, którego używamy. Nie stosujemy pożyczania sobie urządzeń czy też udostępniania loginu/hasła innym osobom. Wdrożyłem odpowiednią politykę zmiany tych haseł.

Dostęp do każdego urządzenia (komputera, telefonu, tabletu) jest chroniony hasłem.

Oczywiście, dbamy o to, żeby nie stracić komputera, telefonu czy tabletu, ale jeśli już do tego dojdzie, to osoba, która przejmie dane urządzenia, w praktyce nie powinna mieć możliwości odczytania danych znajdujących się na tym urządzeniu, ponieważ dane na nim są odpowiednio szyfrowane, tak, aby bez znajomości hasła nie można było ich odczytać.

W przypadku rezygnacji z danego urządzenia (np. wyrzucenia na śmietnik czy sprzedaży), a także w przypadku oddawania go do serwisu dbamy o skasowanie danych osobowych z nośników w danym urządzeniu.

Używamy tylko sprawdzonego oprogramowania, w tym oprogramowania antywirusowego, od wiarygodnych dostawców i na bieżąco je aktualizujemy.

Pliki firmowe trzymane są w chmurze, co niejako oznacza tworzenie kopii bezpieczeństwa poza siedzibą firmy, ale niezależnie od tego jeszcze robimy regularne kopie tych danych na lokalny „dysk sieciowy”.

Zadbaliśmy o ograniczony dostęp do biura (klucze i karty dostępowe), a jeśli już ktoś obcy wchodzi do biura, to dbamy o to, żeby nigdy nie został sam w pokoju/miejscu, gdzie mógłby mieć dostęp do danych.

Dokumenty papierowe zawierające dane osobowe trzymamy w zamkniętej na klucz szafie i nie leżą one nigdy „luzem” na naszym biurkach (chyba że akurat nad nimi pracujemy). A tak generalnie, nie tylko z tego względu, dążę do tego, żeby dokumenty papierowe wyeliminować (co jednak w polskiej rzeczywistości nigdy nie będzie do końca możliwe).

Powyższe kwestie można zawrzeć w „polityce czystego biurka”- zbiorze zasad, który możemy wdrożyć w firmie.

Środki organizacyjne to przede wszystkim ludzie. Są oni, tak naprawdę, kluczowym elementem bezpieczeństwa danych w firmie.

Mam w firmie jednego pracownika, w związku z tym przeprowadziłem szkolenie dla tego pracownika (zrobiłem to samodzielnie, z dokumentacją uczestnictwa w postaci karty szkolenia w celu spełnienia zasady rozliczalności), dałem upoważnienie do przetwarzania danych oraz pracownik podpisał zobowiązanie do zachowania poufności (te dokumenty również znajdziesz w pakiecie, który otrzymasz po zapisaniu się na newsletter). Oczywiście, w przypadku, gdy pracownik odchodzi, upoważnienie powinno być odwołane. W przypadku większej liczby pracowników/współpracowników należałoby prowadzić ewidencję wydanych i odwołanych upoważnień. Zgodnie z art. 24 ust. 2 RODO, wszystkie powyższe zasady opisałem w „Polityce ochrony danych osobowych”, która jest zbiorem zasad postępowania z danymi osobowymi, do przestrzegania których zobowiązani są wszyscy w mojej firmie. Taką politykę znajdziesz także wśród dokumentów, które otrzymasz po zapisaniu się na newsletter. Uwaga, absolutnie musisz dostosować jej treść do swojego przypadku.

Ponownie zgodnie z art. 24 ust. 2 RODO, stworzyłem także instrukcję zarządzania systemami informatycznymi, w której opisałem wszystkie zasady związane z naszą infrastrukturą IT wykorzystywaną do przetwarzania danych osobowych.

Moją wersję instrukcji zarządzania systemami informatycznymi otrzymasz w pakiecie po zapisaniu się na newsletter. Uwaga, absolutnie musisz dostosować jej treść do swojego przypadku.

Zgodnie z art. 24 ust. 1 RODO („Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.”) polityka ochrony danych osobowych a także instrukcja zarządzania systemami informatycznymi mogą, a wręcz powinny podlegać zmianom, w miarę nabywania nowych doświadczeń, nowych zagrożeń czy sposobów na zabezpieczenie danych.

Jedna uwaga na koniec: art. 24 ust. 2 mówi o wdrożeniu przez administratora odpowiednich polityk ochrony danych „Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania”. Nie wiem, czy stworzenie i wdrożenie tych dwóch dokumentów jest adekwatne w małej firmie zajmującej się wynajmem. W mojej opinii tak, ale ktoś może mieć inne zdanie, a ja w pełni je uszanuję.

Oczywiście, ww. elementy zapewniają zabezpieczenie danych w obrębie mojej firmy, ale ja przecież przekazuję te dane także innym podmiotom. Wdrażanie tych wszystkich zabezpieczeń u siebie w firmie nie miałoby sensu, gdybyśmy nie zadbali o to, żeby dane osobowe, które przetwarzamy, były bezpieczne u partnerów, którym je powierzamy. O tym, jak zapewnić bezpieczeństwo w przypadku powierzenia innym podmiotom, piszę poniżej.

Powierzenie danych innym podmiotom

Przekazuję dane swoich klientów innym podmiotom tj. powierzam im je do przetwarzania (te podmioty stają się dla mnie procesorami). Zgodnie z art. 28 ust. 1 RODO powinienem korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Co to oznacza? Trzeba po prostu wybierać wiarygodnych partnerów/dostawców, którzy wiedzą co to jest RODO i co do których masz pewność, że to RODO wdrożyli.

Zgodnie z art. 28 ust. 3 RODO administrator z każdym procesorem, któremu powierza dane do przetwarzania, powinien podpisać umowę powierzenia lub to powierzenie powinno odbywać się na podstawie innego instrumentu prawnego.

Art. 28 ust. 3 RODO dość precyzyjnie określa, jakie wymagania powinna spełniać umowa powierzenia lub inny instrument prawny wiążący administratora (czyli Twoją firmę) z procesorem.

Jeśli któryś z partnerów/dostawców, którym masz potencjalnie powierzać dane osobowe do przetwarzania, ma problem z podpisaniem umowy powierzenia albo nie podoba Ci się ta umowa (np. nie spełnia wymagań art. 28 ust. 3 RODO, dostawca nie bierze na siebie żadnej odpowiedzialności), to być może nie jest właściwym dostawcą i trzeba poszukać innego.

A komu powierza dane osobowe firma zajmująca się wynajmem mieszkań? Niestety, wielu podmiotom np.:

  • swojej firmie księgowej (nasze biuro podpisuje z klientami umowę powierzenia przy okazji podpisywania umowy na obsługę księgową),
  • firmie zarządzającej najmem w naszym imieniu (jeśli z takowej korzystamy),
  • firmie utrzymującej system do zarządzania najmem (w moim przypadku korzystam z Systemu Obsługi Najmu, który udostępnia odpowiednie informacje o RODO),
  • firmie obsługującej skrzynki mailowe (może to być firma hostingowa bądź po prostu Google lub Microsoft, jeśli korzystamy z płatnych skrzynek od tych firm),
  • dostawcy usługi chmurowej np. Dropbox, Google, Microsoft,
  • firmie IT zapewniającej wsparcie informatyczne,
  • firmie kurierskiej (jeśli z takowej korzystamy),
  • konserwatorom budynków,
  • innym podmiotom, w zależności od tego, w jaki sposób prowadzimy swój biznes.

Duże znaczenie ma to, czy dane będą przekazane poza Europejski Obszar Gospodarczy (EOG). Pamiętajcie, że RODO to akt unijny, w związku z tym z pewną dozą nieufności podchodzi do faktu, że dane mogłyby wypłynąć poza obszar obowiązywania RODO. Tak naprawdę, wg mnie, nie jest łatwo tego uniknąć, bo sporo firm korzysta z usług Google’a, który swoje serwery ma na całym świecie. Istnieje jednak możliwość sprawienia, żeby usługodawcy typu Google czy Microsoft przetwarzali Twoje dane tylko na obszarze EOG i/lub w innych bezpiecznych lokalizacjach (wg moich informacji opcja dostępna chyba tylko w ramach płatnych usług tych firm np. GSuite).

Jak podpisałem umowy powierzenia? W większości przypadków dostałem propozycję od partnerów/dostawców lub znalazłem na ich stronie internetowej i po przeanalizowaniu, czy dana umowa spełnia wymagania (obejmuje wszystkie elementy wymienione w art. 28 ust. 3 RODO) zawarłem je w formie dokumentowej (na papierze bądź inaczej). W przypadku niektórych dostawców upewniłem się, że wiąże mnie z nimi inny instrument prawny (tak było z Google, co do którego upewniłem się też, że znajduje się na liście Privacy Shield).

Oczywiście, dbam o to, żeby wszystkie powierzenia mieć udokumentowane. Każdy procesor, któremu powierzam dane, ma u mnie osobny folder, w którym trzymam informacje o podpisanej umowie powierzenia. Wśród pakietu dokumentów, który otrzymasz po zapisaniu się na newsletter, jest także przykładowa umowa powierzenia danych, którą klienci naszego biura rachunkowego podpisują z nami.

Zgłaszanie oraz ewidencja incydentów naruszeń 

Zgodnie z art. 33 ust. 1 RODO każdy administrator w przypadku naruszenia ochrony danych osobowych, bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu […], chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Co to jest naruszenie? Zgodnie z art. 4 pkt 12 RODO „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Można również odwołać się tu do trzech różnych typów naruszenia ochrony danych osobowych:

  • Naruszenie poufności (czyli gdy dane zostaną ujawnione komuś, kto nie powinien mieć do nich dostępu),
  • Naruszenie dostępności (czyli dane uległy trwałemu zniszczeniu/utracie lub trwale straciliśmy do nich dostęp),
  • Naruszenie integralności (czyli dane uległy zmianie w sposób nieautoryzowany).

Dodatkowo, art. 33 ust. 5 RODO mówi, że Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu.

Co to wszystko oznacza? Wg mnie powinniśmy w firmie monitorować wszystkie incydenty związane z ochroną danych osobowych. Gdy jakiś wystąpi, powinniśmy:

  • ocenić, czy naruszenie danych osobowych skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych (art. 33 ust. 1)
  • jeśli ryzyko nie jest mało prawdopodobne, bez zbędnej zwłoki, nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia, dokonać zgłoszenia do Prezesa UODO (tutaj znajdziecie opis, jak to zrobić),
  • ewentualnie powiadomić osobę, której dane dotyczą (art. 34 ust. 1 i 2 RODO), chyba że nie będzie to wymagane na podstawie art. 34 ust. 3 RODO,
  • udokumentować to naruszenie, w tym okoliczności, skutki i podjęte działania zaradcze (art. 33 ust. 5 RODO), niezależnie od tego, czy naruszenie zostało zgłoszone do Prezesa UODO i czy została powiadomiona osoba, której dane dotyczą.

Dokumentacja, o której mowa w ostatnim punkcie, musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania RODO (art. 33 ust. 5 RODO).

Mój plan na zarządzanie incydentami to ich monitorowanie i robienie raportu z każdego naruszenia w postaci osobnego pliku tekstowego, który umieszczam potem w odpowiednim folderze.

Dodatkowo, w tym samym folderze mam ewidencję naruszeń, gdzie zapisuję te wszystkie autodonosy 😉 (jej wzór znajdziesz w pakiecie dokumentów, który otrzymasz po zapisaniu się na newsletter).

Dodatkowo, odsyłam do bardzo szczegółowego dokumentu opublikowanego w maju 2019 przez Prezesa UODO pt. „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”.

Dokumentacja wewnętrzna

RODO nie określa formalnych wymagań dotyczących dokumentacji przetwarzania danych osobowych, dając tym samym dużą swobodę w tym zakresie administratorom danych (polecam przejrzenie tego, co na temat dokumentacji napisał Prezes UODO). Nie oznacza to jednak, że można takiej dokumentacji nie robić 😉 Wg mnie oznacza to, że określenie właściwego zakresu dokumentacji jest nawet trudniejsze.

Dlaczego w ogóle robić tę dokumentację?

Wiele osób nazywa to „papierologią stosowaną” czy też po prostu biurokracją.

Jestem zagorzałym przeciwnikiem biurokracji i osobiście słabo znoszę kontakty ze wszelkimi urzędami (które są siedliskiem biurokracji) oraz dużymi firmami, które też często działają jak urzędy (a czasami wręcz jeszcze gorzej). 

RODO zawiera tylko kilka konkretnych informacji dot. wymaganej dokumentacji (wspomina o wdrożeniu odpowiednich polityk ochrony danych, rejestrze czynności przetwarzania i rejestrze kategorii czynności przetwarzania itp.), ale tak naprawdę konieczność prowadzenia dokumentacji wynika ze wspomnianej już wyżej zasady rozliczalności (art. 5 ust. 1 RODO: „Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”)”.). W powyższym artykule podczas omawiania poszczególnych obowiązków odnosiłem się do tego, w jaki sposób dokumentuję spełnienie tego obowiązku. Przykładowy komplet dokumentacji otrzymasz po zapisaniu się na newsletter.

Jednym z istotniejszych elementów dokumentacji, wymagający osobnego omówienia, jest rejestr czynności przetwarzania.

Rejestr czynności przetwarzania

Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych jest nałożony (prawie) na każdego administratora poprzez art. 30 RODO. Określa on dość dobrze, co powinno znaleźć się w takim rejestrze oraz że ma on formę pisemną (może być elektroniczna). Wiem, że niektórzy mogą uznać, że nie muszą prowadzić rejestru czynności przetwarzania, ponieważ zatrudniają mniej niż 250 osób (art. 30 ust. 5 RODO). Po analizie art. 30 ust. 5 RODO stwierdziłem jednak, że nie ma ucieczki od stworzenia rejestru.

W jaki sposób stworzyłem taki rejestr?

Najpierw określiłem, jakie zbiory danych osobowych przetwarzam: najemców, potencjalnych najemców, pracowników, potencjalnych pracowników, dostawców, osób, z którym koresponduję.

Następnie na tej podstawie zdefiniowałem czynności przetwarzania tak, żeby pokryć wszystkie ww. zbiory tj. żeby zbiór tych czynności obejmował wszystkie aktywności podejmowane wobec tych zbiorów danych osobowych. Jednocześnie jednak kierowałem się dążeniem do prostoty, wychodząc z założenia, że w tak niewielkiej firmie nie ma sensu danej czynności rozbijać na mniejsze.

W ten sposób w rejestrze znalazły się następujące czynności przetwarzania:

  • Poszukiwanie najemców
  • Obsługa najmu
  • Rekrutacja pracowników
  • Kadry i płace
  • Rozliczenia i administrowanie dostawcami
  • Korespondencja mailowa
  • Komunikacja telefoniczna

Na stronie UODO znajdziecie krótki poradnik na ten temat, wraz z przykładowym rejestrem czynności przetwarzania. Nie ukrywam, że swój rejestr czynności przetwarzania w firmie zajmującej się najmem właśnie na tym przykładzie wzorowałem.

Jeśli będziesz tworzył swój rejestr czynności przetwarzania, zadbaj o to, żeby obejmował on wszystkie elementy wymagane przez RODO (te zaznaczone na czerwono w przykładzie z UODO).

Nie stworzyłem i nie prowadzę natomiast rejestru kategorii czynności przetwarzania, gdyż jako firma wynajmująca tylko komuś mieszkania nie przetwarzam danych osobowych na zlecenie innych administratorów (nie jestem procesorem).

Zarządzanie i udostępnianie dokumentacji

Jak zarządzać tą dokumentacją?

Wg mnie warto te dokumenty mieć w swoich zasobach w formie elektronicznej (oczywiście, odpowiednio zabezpieczone) i w razie potrzeby ją uaktualniać. Stworzyłem sobie do tej dokumentacji odpowiednią strukturę folderów na dysku, żeby zachować logikę i porządek:

  • ODO (główny folder dotyczący Ochrony Danych Osobowych. Nie nazwałem go RODO, ponieważ ochrona danych osobowych jest szerszym pojęciem niż RODO i istniała dużo wcześniej niż RODO)
    • Analiza ryzyka
    • Obowiązek informacyjny
    • Personel
    • Powierzenia
    • Realizacja uprawnień
    • Naruszenia

Wszystkie przykładowe dokumenty z tego artykułu otrzymasz właśnie w wyżej przedstawionej strukturze (o ile zapiszesz się na mój DARMOWY newsletter).

Nie uważam, że trzeba całą tę dokumentację mieć w formie papierowej (z pewnym wyjątkiem, o którym poniżej).

Niektóre z dokumentów mają formę papierową np. podpisana przez najemcę informacja o przetwarzaniu danych, niektóre umowy przetwarzania, podpisane przez pracowników karty szkolenia czy też upoważnienia i zobowiązania do zachowania poufności. W tej sytuacji ja skanuję te dokumenty, wkładam na dysk (do jednego z ww. folderów), a papierowe wersje archiwizuję w odpowiednio zabezpieczonym segregatorze podpisanym „RODO”.

Zwracam też uwagę, że dokumentacja, którą stworzysz (a potem będziesz aktualizować), nie jest publiczna tj. nie trzeba jej nigdzie publikować np. na stronie internetowej 😉 Niektóre z tych informacji są przekazywane zewnętrznym podmiotom np. informacja o przetwarzaniu danych dla najemców, umowy powierzenia z kontrahentami itp. Większość dokumentacji jednak jest przeznaczona dla administratora jako spełnienie zasady rozliczalności, powinna być chroniona i nie trzeba jej udostępniać nawet na żądanie innych podmiotów. Trzeba dość świadomie zarządzać tym, które elementy dokumentacji i komu udostępniamy (zachęcam do przeczytania tego artykułu na stronie GIODO, mimo tego, że powstał przed wejściem w życie RODO).

Specyficzne sytuacje/modele działalności

Firma wynajmująca komuś mieszkania może też w ramach swoich struktur zajmować się innymi rzeczami, w szczególności rzeczami pokrewnymi z branży nieruchomości. Mogą to być np. zarządzanie najmem, podnajem, usługi krótkotrwałego zakwaterowania. Poniżej umieszczam moje uwagi związane z tymi tematami w kontekście RODO.

Zarządzanie najmem – gdy oprócz wynajmu zarządzasz także dla kogoś najmem albo korzystasz z firmy zarządzającej najmem, to rodzi to pewne obowiązki wynikające z RODO m.in. obowiązek informacyjny wobec partnerów czy klientów. Moim zdaniem, w przypadku korzystania/świadczenia usług zarządzania najmem, administratorem danych osobowych najemców nadal będzie wynajmujący, a firma zarządzająca będzie przetwarzać dane na jego zlecenie (będzie procesorem), co oznacza m.in. konieczność podpisania odpowiedniej umowy powierzenia. Dodatkowo, w idealnej sytuacji firma zarządzająca wykonuje w imieniu wynajmującego obowiązki związane z ochroną danych osobowych (np. obowiązek informacyjny wobec najemców).

Podnajem – gdy jesteś jednocześnie najemcą oraz wynajmującym, wg mnie dochodzi kolejna grupa podmiotów, których dane przetwarzamy i wobec których trzeba np. wypełnić obowiązek informacyjny. Tą nową/dodatkową grupą są oczywiście właściciele mieszkań, które wykorzystujesz do swojej działalności polegającej na podnajmie.

Wynajem krótkoterminowy – jeśli regularnie przyjmujesz gości dokonujących rezerwacji z wykorzystaniem portali typu Airbnb.com i Booking.com, to prowadzisz działalność gospodarczą i RODO dotyczy Cię w całej rozciągłości. Wg mnie dochodzi kolejna grupa podmiotów, czyli gości, których dane przetwarzamy i wobec których trzeba wypełnić obowiązek informacyjny.

W obszarze wynajmu czasami też wykorzystuje się instytucje poręczycieli, a także np. monitoring wizyjny. Każdy z tych tematów wymaga przemyślenia i spełnienia odpowiednich obowiązków wynikających z RODO. Powyższe tematy być może będę rozwijał w ciągu najbliższych kilku/kilkunastu miesięcy, w zależności od zainteresowania.

Zastrzeżenia na koniec

Zdaję sobie sprawę, że osoba siedząca w temacie ochrony danych osobowych (prawnik, zaawansowany specjalista ochrony danych) zapewne będzie miała sporo uwag do zastosowanego przeze mnie podejścia. W szczególności być może nie wykonałem/opisałem wszystkich obowiązków, które mnie dotyczą. Jestem otwarty na wszelkie uwagi, w szczególności krytykę, ale wyłącznie na tę konstruktywną 😊

Przypominam jednak, że RODO to tzw. „softlaw” i to moja decyzja/ocena, jakie środki zastosować. Apeluję więc o konstruktywne uwagi, z uwzględnieniem specyficznej sytuacji firmy wynajmującej komuś mieszkania. Pamiętajcie, że ten artykuł to przykład „wdrożenia RODO” w firmie w konkretnej branży (wynajmu mieszkań) i o konkretnej strukturze/modelu działania przedsiębiorstwa. Nie jest to przykład uniwersalny!  Przykładowo, nie zajmowałem się kompletnie kwestiami przetwarzania danych osobowych w kontekście firmowej strony internetowej, social media (np. gdy posiadamy fanpage na Facebooku), wysyłania newslettera, gdyż moja firma zajmująca się wynajmem mieszkań nic z tych rzeczy nie robi/nie posiada😉.

Zastanawiam się nad tym, czy byłoby zainteresowanie szkoleniem stacjonarnym na żywo o tym, jak wdrożyć RODO w firmie zajmującej się wynajmem mieszkań. Zakładam, że powyższy artykuł może być podstawą do samodzielnego wdrożenia, ale być może ktoś woli ten obszar poznać głębiej i stworzyć dokumentację podczas szkolenia na żywo w sali szkoleniowej.

Jeśli coś takiego Cię interesuje, napisz do mnie maila na adres wynajmistrz(małpa)wynajmistrz.pl (wystarczy pusty mail o temacie “Szkolenie RODO”). Do osób, które przekażą mi swój adres, odezwę się w pierwszej kolejności w przypadku, gdy zdecydujemy się zorganizować takie szkolenie (najprawdopodobniej w Warszawie).

Na koniec, chciałbym serdecznie podziękować Andrzejowi Petrulewiczowi oraz Michałowi Zimniewiczowi za konstruktywną krytykę i uwagi do artykułu. Jesteście Wielcy!

 

Dyskusja

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *