Grzegorz Grabowski

Jak wdrożyć RODO w firmie prowadzącej wynajem mieszkań

Jednym z obowiązków firm zajmujących się wynajmem jestprzestrzeganie RODO. Wbrew pozorom, wdrożenie RODO nie polega tylko na dodaniuodpowiednich klauzul informacyjnych do umowy najmu. To tylko nikła część tego,co trzeba zrobić, żeby prawidłowo wypełnić wymagania związane z ochroną danychosobowych. W tym artykule dokładnie tłumaczę, na przykładzie konkretnej firmy,w jaki sposób „wdrożyć RODO” w małej firmie zajmującej się wynajmem mieszkań.

Ten artykuł opisuje moje podejście do RODO dla firmy, która wynajmuje komuś mieszkania. Jest on adekwatny dla wynajmujących prowadzących swój najem w ramach indywidualnej działalności gospodarczej, spółki z ograniczoną odpowiedzialnością czy też innego rodzaju podmiotu gospodarczego.

Przede wszystkim, zanim zaczniesz czytać ten artykuł, przeczytaj mój poprzedni artykuł o RODO dla wynajmujących. Znajdziesz tam m.in. krótkie podsumowanie kwestii teoretycznych:

  • co to jest RODO,
  • co to są dane osobowe i ich przetwarzanie,
  • kiedy RODO obowiązuje wynajmujących,
  • jakie masz obowiązki związane z RODO.

W niniejszym artykule nie będę więc ww. informacjipowtarzał. Niniejszy artykuł jest bardziej praktyczny, pokazujący, jak teobowiązki wynikające z RODO zrealizować, ale do jego zrozumienia i stosowaniakonieczna jest znajomość teorii z poprzedniego.

W szczególności, na podstawie poprzedniego artykułu oceń,czy RODO w ogóle Cię dotyczy. W dużym skrócie, jeśli przetwarzasz danewyłącznie w celach osobistych, to możesz skorzystać z wyłączenia z art. 2 pkt 2lit c rozporządzenia i RODO Cię nie dotyczy. Nie musisz wtedy czytaćniniejszego artykułu. Zaoszczędzisz pewnie co najmniej kilkanaście minutswojego życia 😉

Niemniej, niektórzy specjaliści od RODO twierdzą, że tzw. „wynajem prywatny” (którego nie uznajemy za działalność gospodarczą z punktu widzenia Ustawy o PIT) to nie jest przetwarzanie danych wyłącznie w celach osobistych. Oznacza to, że ich zdaniem RODO dotyczy w praktyce wszystkich wynajmujących.

Spis treści:

Zastrzeżenia

Nie jestem prawnikiem ani zaawansowanym specjalistą od ochrony danych osobowych. Moje doświadczenia z RODO są takie, że „wdrażałem RODO” w kilku swoich firmach, ale ze wsparciem prawników m.in. Wojtka Wawrzaka z bloga Prakreacja.pl (którego zresztą pozdrawiam i dziękuję za solidne wsparcie).

RODO nie jest ścisłą regulacją i daje tylko ogólnewskazówki, jak powinny być realizowane określone w rozporządzeniu obowiązki. Topozostawia bardzo wiele do decyzji osób i firm, które chcą przetwarzać daneosobowe, stąd opisane w tym artykule podejście jest wynikiem mojej analizy i moichdecyzji.

Co więcej, w miarę upływu czasu oraz nabywania doświadczenia (czyli tzw. praktyki), na pewno będę swoje podejście modyfikował. Przykładowo, moje podejście może się zmienić w wyniku publikacji UODO (warto śledzić stronę https://uodo.gov.pl/) lub powstania adekwatnych kodeksów postępowania zgodnie z art. 40 RODO. Przykładowo, jakiś czas temu UODO opublikował 10 wskazówek dla administratorów danych w kontekście RODO.

Niniejszy artykuł ma Wam pomóc we „wdrożeniu RODO” w firmieprowadzącej wynajem mieszkań. Pamiętajcie jednak, że każdy przypadek jest innyi z pewnością materiały z tego artykułu musicie dostosować do swojej sytuacji. Niebiorę też odpowiedzialności za skutki wykorzystania tego artykułu i nie stanowion doradztwa prawnego.

Dodatkowo, o ile uważam, że w najprostszych przypadkach można „wdrożyć RODO” samemu, to nie obawiajcie się korzystać z prawników, przy czym zadbajcie o to, żeby to był prawnik znający się na tym temacie. W branży kreatywnej/e-commerce polecam Wojtka Wawrzaka, a w branży nieruchomości Piotra Dobrowolskiego.

Poniższy artykuł jest oparty o „wdrożenie RODO” w rzeczywistej firmie zajmującej się wynajmem, ale w przykładowych dokumentach zamieniłem jej nazwę na MOJEPOKOJE ADAM NOWAK. Pozostałe nazwy również zamieniłem na takie, które nie pozwolą na identyfikację rzeczywistych osób.

Jestem administratorem danych osobowych

W moim odczuciu zrozumienie idei administratora danychosobowych, a także procesora, a przede wszystkim różnicy między tymi dwomapojęciami jest kluczowe.

Całe RODO dotyczy ochrony danych osobowych (definicję danych osobowych znajdziesz w moim poprzednim artykule). Zwracam uwagę, że chodzi o dane osobowe zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, czyli konkretnego człowieka (dane osoby prawnej np. spółki nie podlegają ochronie w ramach RODO). Ochrona danych osób fizycznych jest postrzegana jako podstawowe prawo człowieka.

Zgodnie z art. 4 RODO administrator oznacza osobęfizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, którysamodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danychosobowych. Wg mnie będzie nim podmiot, który przetwarza dane osobowe naswoje potrzeby (najczęściej pozyskane od osób, których dane dotyczą, alemogą one być pozyskane także od innych osób np. gdy od najemcy uzyskujemy danejego poręczyciela).

Z kolei, gdy jakiś podmiot przetwarza dane osobowe dlainnego podmiotu, staje się podmiotem przetwarzającym dane, czylitzw. procesorem (uwaga, nazwa „procesor” jest nazwą zwyczajową i niewystępuje oficjalnie w RODO).

Z kolei procesor może powierzyć dane innemu procesorowi, który w ten sposób staje się podprocesorem.

Jako firma wynajmująca komuś mieszkania, jestemadministratorem danych osobowych najemców, pracowników (o ile ich posiadam) orazdostawców, a także osób, z którymi koresponduję (którzy nie zawszezaliczają się do wcześniej wymienionych grup).

Nie jestem natomiast procesorem, ponieważ nie przetwarzamdanych osobowych powierzonych mi przez kogoś innego do przetwarzania na jegozlecenie.

Powierzam jednak dane osobowe swoich najemców, pracowników oraz dostawców innym podmiotom do przetwarzania np. firmie księgowej (ona staje się ich procesorem).

Podstawa przetwarzania

Zgodne z prawem przetwarzanie danych osobowych, jak mówiart. 6 ust. 1 RODO, zawsze odbywa się na jakiejś podstawie:

  • zgody,
  • wykonania umowy,
  • wypełnienia obowiązku prawnego ciążącego naadministratorze,
  • ochrony żywotnych interesów osoby, którejdane dotyczą lub innej osoby fizycznej,
  • prawnie uzasadnionych interesówadministratora.

Wg mnie w ramach najmu nie przetwarzam danych szczególnychkategorii (art. 9 RODO) ani „karnych” (art. 10 RODO), nie zwracam więc uwagi naszczególne wymagania dotyczące przetwarzania tego rodzaju danych.

W przypadku najmu i przetwarzania danych najemców podstawąprzetwarzania będzie najczęściej:

  • konieczność wykonania umowy (trudnozrealizować umowę najmu, jeśli nie znamy danych najemcy),
  • wypełnienie obowiązków prawnych przezadministratora (np. wystawienie faktury, rozliczenie księgowe), a także
  • prawnie uzasadniony interes administratora(przechowujemy dane najemcy do momentu przedawnienia roszczeń, które mogąwytoczyć obydwie strony).

Dla przetwarzanych przeze mnie danych pracowników, dostawcówi osób, z którymi koresponduję, podstawy mogą być nieco inne (patrz fragmentartykułu o obowiązku informacyjnym).

Wystarczy znaleźć jedną podstawę prawną dla danego rodzajuprzetwarzania.

Jeśli nie masz dla jakichś danych co najmniej jednej podstawyprzetwarzania, to nie powinieneś ich przetwarzać.

Uwaga, wg mnie zasadniczo w przypadku działalności polegającej na najmie nie musimy od nikogo zbierać zgód na przetwarzanie jego danych (chyba że zamierzamy robić coś wykraczającego poza najem). Jeśli mogę wykazać, że jakieś przetwarzanie jest niezbędne do wykonania umowy lub zabezpieczenia mojego prawnie uzasadnionego interesu, to zgoda nie jest potrzebna.

Moje podejście do RODO na jednym obrazku 😉

Po przeczytaniu 2 czy 3 książek o RODO, kilkudziesięciu artykułów i dość szybkim „wdrożeniu” RODO w kilku swoich firmach (ze wsparciem ww. prawników) nadal nie czuję się ekspertem w tym temacie. Doszedłem jednak do wniosku, że RODO nie jest jakimś oderwanym od rzeczywistości zbiorem wymagań, ale ogólnym, jak najbardziej jednak spójnym, systemem mającym zapewnić ochronę danych osobowych w całej Unii. Postarałem się więc zwizualizować swoje rozumienie RODO dla firmy zajmującej się wynajmem mieszkań na jednym obrazku:

Podkreślam, że nie jest to obrazek, który ma zilustrować całe„RODO”, ale pokazać podejście do ochrony danych osobowych dla konkretnegopodmiotu gospodarczego, czyli firmy wynajmującej mieszkania. Powyższyobrazek pozwolił mi na weryfikację, czy objąłem „wdrożeniem” wszystkieelementy, a także na pewne uporządkowanie podejścia i uporządkowanie tegoartykułu. Nie przejmuj się w tym momencie, jeśli nie rozumiesz w pełni tegoobrazka. Poniżej opisuję poszczególne jego elementy – po przeczytaniu tego artykułustanie się on dla Ciebie jasny.

Analiza ryzyka

RODO narzuca nam podejście do przetwarzania danychosobowych oparte o ryzyko.

O jakie ryzyko chodzi?

Patrząc na motyw 75 RODO, można powiedzieć, że chodzi o ryzykonaruszenia praw lub wolności osób, których te dane dotyczą. Nie chodzi więco ryzyko dla naszej firmy np. kary lub szkody biznesowej wynikającej z wyciekudanych, ale o to, czy ucierpią osoby, których dane przetwarzamy.

To ryzyko musimy regularnie analizować (szacować).

RODO nie podaje konkretnej metody przeprowadzania analizy.Każdy musi dokonywać jej samodzielnie, uwzględniając wiele specyficznych dlaniego czynników, takich jak: wielkość, struktura organizacyjna, możliwościtechniczne czy charakter, zakres danych oraz cel przetwarzania, kontekst orazzagrożenia dla tych danych.

Następnie powinniśmy dostosować do tego ryzyka naszepodejście do przetwarzania danych, w szczególności musimy dostosować wszelkieśrodki związane z bezpieczeństwem przetwarzanych danych.

RODO nie narzuca więc nam jakichś konkretnych rozwiązańzabezpieczających przetwarzane dane, ale wymusza analizę ryzyka i dostosowanietych rozwiązań do wyników tej analizy.

Wziąłem więc sobie powyższe założenia do serca i dokonałem analizy ryzyka. Fakt ten opisałem w notatce (znajdziecie ją w pakiecie dokumentów).

Wszystkie przykładowe dokumenty z tego artykułu możesz otrzymać, zapisując się na mój DARMOWY newsletter. Oprócz tych dokumentów (za darmo!) otrzymasz także m.in. wzór umowy najmu oraz mailowy kurs rozliczania podatków od najmu. Jeśli jesteś już moim subskrybentem, po wpisaniu adresu e-mail w formularzu do zapisu na newsletter zostaniesz od razu przekierowany na stronę, z której będziesz mógł pobrać pliki RODO oraz inne bonusy.

Z mojego rozumienia RODO wynika, że analiza ryzyka powinnabyć przeprowadzana raz na jakiś czas, a inne elementy powinny być dostosowanedo wyników tej powtarzanej analizy (art. 24 ust. 1 RODO: „[…] Środki te są wrazie potrzeby poddawane przeglądom i uaktualniane”.).

W moim wykonaniu polega to po prostu na tym, że raz na rokdokonuję ponownej analizy i oceniam, czy muszę zmienić coś w swoim podejściu doprzetwarzania danych (a jeśli coś wymaga zmiany, to odpowiednio modyfikujępodejście). Zgodnie z zasadą rozliczalności (o której piszę niżej) z tejponownej analizy również sporządzam notatkę (z tego powodu w pakieciedokumentów znajdziecie dwie notatki – z 1 maja 2018 roku oraz z 1 maja 2019roku) i archiwizuję w odpowiednim folderze.

Więcej szczegółów na temat podejścia opartego o ryzyko znajdziesz w dwuczęściowym poradniku przygotowanym przez Prezesa UODO.

Ocena skutków przetwarzania

Opisana wyżej ocena ryzyka jest też podstawą do decyzji, czymusimy zrobić ocenę skutków przetwarzania.

Artykuł 35 RODO mówi, że jeżeli dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, to musimy, przed rozpoczęciem przetwarzania (!), dokonać oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. W tym samym artykule wymienione są również przykładowe sytuacje, w których taka ocena jest konieczna. Narzuca też na organ nadzorczy (w przypadku Polski na Prezesa UODO) obowiązek podania do publicznej wiadomości wykazu rodzajów operacji przetwarzania, które powodują konieczność zrobienia oceny skutków przetwarzania.

W lipcu 2019 roku Prezes UODO wydał komunikat w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony.

Po analizie ryzyka oraz przejrzeniu ww. komunikatu PrezesaUODO stoję na stanowisku, że operacje przetwarzania danych, które wykonuje mojafirma świadcząca usługi najmu, nie wymagają dokonania oceny skutkówprzetwarzania.

Uwaga to jest moja subiektywna ocena, dokonana na bazie wykonanejw mojej firmie analizy ryzyka. W Twoim wypadku sytuacja może być inna.

Analizę ryzyka, jak wspomniałem wcześniej, przeprowadzam raz na rok, więc adekwatnie do tego raz na rok dokonuję decyzji, czy muszę wykonać ocenę skutków przetwarzania.

Jesteś winny (zasada rozliczalności, czyli domniemanie winy)!

Artykuł  5 ust. 2 RODO mówi, że „Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”)”.

Dodatkowo, artykuł 82 ust. 3 RODO mówi, że „Administratorlub podmiot przetwarzający zostają zwolnieni z odpowiedzialności […], jeżeliudowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, któredoprowadziło do powstania szkody”.

Zasada rozliczalności oznacza, że nie tylko musimy wykonaćobowiązki wynikające z RODO, ale także byćw stanie udowodnić, że je wykonaliśmy. RODO zakłada domniemanie winy, czylijeśli nie wykażesz, że nie ponosisz winy, to automatycznie, jako administrator,odpowiadasz za szkody spowodowane przetwarzaniem naruszającym RODO (artykuł 82ust. 2).

Jedynym chyba sposobem na udowodnienie, że coś zrobiliśmyzgodnie z RODO, jest odpowiednia dokumentacja. Z tego powodu przywszystkich obowiązkach opisywanych w tym artykule zawsze opisuję także, w jakisposób dokumentuję wykonanie tego obowiązku. Dzięki dokumentacji będę miał wrazie potrzeby możliwość udowodnienia, że tego obowiązku dopełniłem.Przykładowo, każda wspomniana wcześniej analiza ryzyka jest opisana w osobnej notatce,która jest dowodem, że tej analizy dokonałem.

Na samym końcu tego artykułu opisuję dokładniej, w jakisposób zarządzam dokumentacją, przede wszystkim właśnie po to, żebyzadośćuczynić zasadzie rozliczalności.

Uwaga, ta konieczność dokumentacji wszystkiego doprowadziłado tego, że spełnienie obowiązków wynikających z RODO jest przez wiele osób utożsamianeze zrobieniem/prowadzeniem odpowiedniej dokumentacji! Nic bardziej mylnego!

Do spełnienia obowiązków wynikających z RODO nie wystarczy „zrobić papiery”. Trzeba spełniać wymagania RODO, czyli m.in. odpowiednio przetwarzać i zabezpieczać dane, a potem to jeszcze (niestety) udokumentować, żeby mieć dowód, że to prawidłowo robimy.

Obowiązek informacyjny

Jednym z praw, które zapewnia wszystkim RODO, jest prawo dowiedzy, co się dzieje z naszymi danymi osobowymi. Z tym wiąże się narzucony naadministratora obowiązek informacyjny. Ma on poinformować osobę, której daneprzetwarza:

  • gdy zbiera dane od tej osoby (artykuł 13 RODO),
  • gdy zbiera dane na temat tej osoby z innychźródeł (artykuł 14 RODO),
  • gdy zmienia albo dodaje cel przetwarzania,
  • gdy osoba, której dane dotyczą, zażąda dostępudo danych (artykuł 15 RODO).

Ale o czym poinformować?

Dość precyzyjnie określają to wspomniane wyżej artykuły 13,14 i 15 RODO.

Przykładowo, gdy zbieramy dane od osoby, której te danedotyczą, musimy przedstawić jej m.in.:

  • tożsamość i dane kontaktowe administratora,
  • cel i podstawy prawne przetwarzania danych,
  • odbiorców lub kategorie odbiorców danych,
  • informację o okresie przechowywania danych (lubkryteriach jego ustalania),
  • jej prawach i ewentualnym profilowaniu

(uwaga, powyższa lista nie jest pełna – odsyłam do artykułu13 RODO).

Trzeba pamiętać, że musimy spełnić obowiązek informacyjnywobec wszystkich osób, których dane przetwarzamy (nie tylko wobec najemców).

Jak to zrobić?

Wobec najemców

Ja przedstawiam najemcom kartkę, na której umieszczamodpowiednie informacje (jest to załącznik do umowy najmu) i proszę o podpis.Potem tę kartkę skanuję i wrzucam do odpowiedniego folderu razem z zeskanowanąumową, a papierową wersję archiwizuję w segregatorze.

Przykład takiego dokumentu znajdziesz w pakiecie, który otrzymasz po zapisaniu się na newsletter. Uprzedzam, że ten dokument należy odpowiednio zmodyfikować i dostosować do swojego przypadku (pewnym minimum jest, chociażby wstawienie odpowiednich danych administratora 😉).

Jednym z elementów, o których trzeba poinformować osoby,których dane przetwarzamy, jest podstawa ich przetwarzania. Zwracam uwagę, że,zgodnie z tym, co napisałem wcześniej w tym artykule, w przypadku przetwarzaniadanych osobowych naszych najemców podstawą przetwarzania nie jest zgoda najemcy(nie musimy mieć od nich zgody). Z tego powodu podpis na tej kartce nie jestzgodą, ale wyłącznie potwierdzeniem dla mnie, że najemca otrzymał i zapoznałsię z tymi informacjami (pamiętasz o zasadzie rozliczalności? Ten podpis jestdowodem, że dopełniłem obowiązku informacyjnego).

Czasami niektórzy wynajmujący uzyskują jednak od najemcówzgody np. na przedstawienie im oferty przedłużenia najmu na kolejny rok. Wgmnie najlepiej dodać wtedy odpowiednie pole w ww. dokumencie oraz odpowiedniozmodyfikować informacje m.in. o celach i podstawach przetwarzania. Podpisnajemcy będzie potwierdzeniem zgody.

Jak już wspomniałem wcześniej, przetwarzam dane osobowenie tylko najemców, ale także innych osób: pracowników, dostawców i osób, zktórymi wymieniam maile (którzy nie zawsze należą do jednej z wcześniejwymienionych grup). Wobec nich również należy dopełnić obowiązkuinformacyjnego.

Wobec pracowników

Właściwie to musiałem dopełnić obowiązku informacyjnegowobec jednego pracownika, bo tylko jednego zatrudniam 😉.Zrobiłem to poprzez przedstawienie odpowiedniego dokumentu, a na jego kopiiuzyskałem potwierdzenie, że zapoznał się z nim. Oczywiście, zarchiwizowałem dokumentw postaci elektronicznej oraz papierowej.

Przykład takiego dokumentu znajdziesz w pakiecie, który otrzymasz po zapisaniu się na newsletter.

Przetwarzanie danych w procesach rekrutacji i zatrudniania pracowników to oczywiście bardzo szeroki temat, którego nie jestem w stanie pokryć w tym artykule. Jeśli jesteś pracodawcą, polecam poradnik UODO na ten temat.

Aczkolwiek inny organ też wypowiedział się na ten temat i, jak to zwykle w Polsce bywa, jego zdanie jest odmienne 😉

Wobec dostawców

Wobec dostawców, o ile są to osoby fizyczne, spełniłemobowiązek informacyjny wysyłając im również odpowiedni dokument, a potemzachowałem kopię maili, które wysłałem.

Przykład takiego dokumentu znajdziesz w pakiecie, który otrzymasz po zapisaniu się na newsletter.

Wobec odbiorców maili

Polityka w kontaktach bezpośrednich, do której link mam w stopce każdego maila (mojepokojeadamnowak.pl/klauzula-informacyjna-mail), jest sposobem na spełnienie obowiązku informacyjnego wobec osób, z którymi koresponduję mailowo.

Przykład takiego dokumentu znajdziesz w pakiecie, który otrzymasz po zapisaniu się na newsletter.

W przypadku wielu firm elementem związanym z obowiązkieminformacyjnym jest polityka prywatności publikowana najczęściej na stronieinternetowej. W moim przypadku zdecydowałem, że nie będę mieć/publikowaćpolityki prywatności, bo… firma nie ma strony internetowej i obowiązek informacyjnyspełniam poprzez wcześniej wymienione elementy.

Niektórzywynajmujący żądają od swoich najemców poręczenia od kogoś innego np. odstudenta żądają poręczenia od rodziców. W takim wypadku należy również spełnićobowiązek informacyjny wobec osób poręczających.

W przypadku podnajmu, gdzie przetwarzasz dane osobowe właścicieli mieszkań, obowiązku informacyjnego należy dopełnić także wobec nich.

Obsługa praw jednostki

Jeśli przejrzałeś dokumenty przedstawiane najemcom i innymosobom, których dane przetwarzamy, to zauważyłeś zapewne, że informujemy tam teosoby o prawach im przysługujących m.in. prawie dostępu do swoich danych orazotrzymania ich kopii, prawie do sprostowania (poprawiania) swoich danych, prawiedo usunięcia danych, ograniczenia przetwarzania danych, prawie do wniesieniasprzeciwu wobec przetwarzania danych, prawie do przenoszenia danych, prawie downiesienia skargi do organu nadzorczego.

Skoro informujemy ich, że mogą skorzystać z tychwszystkich praw, to musimy im jeszcze to umożliwić (zrealizować ich żądania). To,w jaki sposób to zrobić, opisuje art. 12 RODO.

Przede wszystkim, musimy się komunikować „w zwięzłej,przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem”.Dotyczy to nie tylko komunikacji podczas obsługi żądań, ale całej komunikacji zosobami, których dane przetwarzamy. Przykładowo, o jakość komunikacji musimyzadbać również w dokumencie informacyjnym. Nie powinniśmy więc np. używaćżargonu prawniczego, cytować wyłącznie przepisów, a najlepiej też przeprowadzićtzw. „test Kowalskiego” (czyli dać to do przeczytania przeciętnemu człowiekowibez doświadczenia z ochroną danych i sprawdzić, czy rozumie).

Zanim odpowiemy na żądanie, musimy potwierdzićtożsamość/uwierzytelnić daną osobę, żeby mieć pewność, że udzielamy informacjiwłaściwej osobie.

Ze względu na zasadę rozliczalności powinniśmy komunikowaćsię na piśmie lub elektronicznie. Na żądanie wnioskodawcy można informacjiudzielić ustnie, ale i tak wtedy trzeba potwierdzić tożsamość i udokumentowaćjakoś obsługę żądania.

Powinniśmy bezzwłocznie odpowiadać na każde żądanie, a wkażdym razie w ciągu miesiąca (w uzasadnionych przypadkach można to wydłużyć o2 miesiące, z podaniem uzasadnienia). W ciągu miesiąca powinniśmy takżepoinformować wnioskodawcę, jeśli zdecydujemy się nie zrealizować żądania (ipodać powody).

W przypadku nieuzasadnionych lub nadmiernych (także zewzględu na swój ustawiczny charakter) żądań możemy pobrać rozsądną opłatę(uwzględniającą koszty administracyjne) za ich realizację albo odmówić podjęciadziałań. Powinniśmy jednak sami wykazać, że żądanie jest nieuzasadnione lubnadmierne.

Jak więc mogłaby wyglądać obsługa takiego żądania? Wg mnietrzeba wykonać następujące kroki:

  • potwierdzenie tożsamości (żeby się upewnić, żeodpowiemy właściwej osobie),
  • analiza, czy jest zasadne i nie jest nadmierne,
  • ewentualne pobranie opłaty, jeśli żądanie jestnieuzasadnione lub nadmierne, lub odmowa realizacji,
  • sprawdzenie, czy w ogóle przetwarzamy danewnioskodawcy (jeśli nie, informujemy go o tym i zamykamy sprawę),
  • analiza i realizacja żądania np. poprzezudzielenie informacji.

Dobrym przykładem żądania, które często się pojawia, ajednocześnie możemy odmówić jego realizacji, jest wniosek od byłego najemcy,żebyśmy usunęli wszystkie jego dane. Często tak się dzieje, gdy rozstajemy sięz najemcą w nie najlepszej atmosferze (bo np. zatrzymaliśmy część jego kaucjina poczet zniszczeń, które zrobił w lokalu) i on w złości przysyła nam żądanie„Na podstawie RODO proszę skasować wszystkie moje dane, które Państwo mają”.

W takiej sytuacji należy zapisać jego żądanie, wysłaćodpowiedź odmowną i ją również zapisać.

A dlaczego możemy odmówić realizacji tego żądania? Ponieważmamy inne niż jego zgoda podstawy przetwarzania jego danych np. obowiązkiwynikające z przepisów prawa (np. musimy przechowywać dokumentację księgową czyteż prawnie uzasadniony interes (np. ochrona przed jego roszczeniami w przyszłości)).

Przy każdym żądaniu, nawet gdy odmówimy jego realizacji, musimy pamiętać o zasadzie rozliczalności, czyli o dokumentowaniu. Ja po prostu zapisuję w odpowiednim folderze wszystkie żądania (np. wydruk maila do PDF) oraz nasze odpowiedzi na nie (także wydruk maila do PDF).

Ograniczenie celu, minimalizacja danych, ograniczenie przechowywania

Zgodnie z artykułem 5 ust. 1 pkt b RODO dane osobowe musząbyć zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach inieprzetwarzane dalej w sposób niezgodny z tymi celami („ograniczeniecelu”).

Wg mnie oznacza to tyle, że jeśli wzięliśmy dane od najemcóww celu realizacji umowy najmu i ochrony przed roszczeniami, to nie możemyzacząć wykorzystywać je, bez dodatkowych kroków (m.in. dopełnienia obowiązkuinformacyjnego i zdobycia zgody) np. do marketingu jakichś usług wśród naszychnajemców. Dbam więc o to, żeby wykorzystywać je wyłącznie w tych celach, doktórych je od nich zebrałem (i o tych celach tych najemców poinformowałem).

Zgodnie z artykułem 5 ust. 1 pkt c RODO dane osobowe musząbyć adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, wktórych są przetwarzane („minimalizacja danych”).

W dużym skrócie oznacza to, że zbieramy od najemców i potemprzetwarzamy wyłącznie te dane, których naprawdę potrzebujemy (które sąniezbędne do realizacji celów przetwarzania). Przykładowo, od dawna nie kopiujęjuż ich dowodów osobistych (akurat tego nie robię nie tylko z powodu RODO), niepytam najemców o informacje, których nie potrzebuję. W przypadku zaświadczeń ozatrudnieniu proszę jedynie o ich okazanie, natomiast ich nie zbieram i nie archiwizuję.

Zgodnie z artykułem 5 ust. 1 pkt e RODO dane osobowe musząbyć przechowywane w formie umożliwiającej identyfikację osoby, której danedotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w którychdane te są przetwarzane („ograniczenie przechowywania”).

Oznacza to, że dane możemy przechowywać tak długo, jak jestto uzasadnione celami ich przetwarzania (czyli tak długo jak mamy podstawę ichprzetwarzania). Przykładowo, jeśli przechowujemy je w celu ochrony przedroszczeniami, to robimy to wyłącznie do upływu okresu przedawnienia roszczeń(te okresy są określone innymi przepisami).

W mojej opinii nie jest łatwo określić, jak długo powinniśmy czy też możemy przetwarzać (przechowywać) poszczególne dane. Wg mnie w przypadku danych najemcy znajdujących się na umowie uzasadnione może być przechowywanie nawet przez kilkanaście lat.

W każdym razie zadbałem o to, żeby o okresie lub kryteriach jego ustalania poinformować w dokumencie informacyjnym wszystkie osoby, których dane przetwarzam. Do tego raz na jakiś czas analizuję przetwarzane dane i ewentualnie usuwam te, do przetwarzania których nie mam już podstaw. Niemniej, to zagadnienie nie jest banalne i nie mam jeszcze dobrego rozwiązania np. na usuwanie tych danych z kopii zapasowych (na których siłą rzeczy możemy mieć sporo danych, dla których podstawy przetwarzania zniknęły i należałoby je usunąć).

Zapewnienie bezpieczeństwa danych

Zgodnie z artykułem 5 ust. 1 pkt d i e RODO dane osobowemuszą być prawidłowe i w razie potrzeby uaktualniane („prawidłowość”),a także przetwarzane w sposób zapewniający odpowiednie bezpieczeństwodanych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawemprzetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, zapomocą odpowiednich środków technicznych lub organizacyjnych („integralnośći poufność”).

Na podstawie analizy ryzyka, o której pisałem wcześniej orazadekwatnie do wyników tej analizy, trzeba wdrożyć odpowiednie środkitechniczne i organizacyjne, żeby zapewnić prawidłowość, integralność ipoufność danych osobowych, które przetwarzam.

Wg mnie środki techniczne to m.in. te dotycząceinfrastruktury służącej do przetwarzania danych osobowych: urządzeń końcowych(komputery, telefony, tablety), serwerów i sieci, usług w chmurze, ale także poprostu firmowych szaf z dokumentami papierowymi. Nie wiem, czy widzieliście wInternecie reklamy „szaf zgodnych z RODO”? Niebardzo wiem, czym różnią się od normalnych szaf zamykanych na klucz, ale jestemprawie pewien, że niczym 😉

Jakieśrodki technicznewdrożyłem (prawdę mówiąc, wiele z nich było wdrożone już wcześniej, zanim wfirmie nastało RODO 😉)?

Przede wszystkim, każda osoba w firmie maswój login i hasło do każdego systemu, którego używamy. Nie stosujemypożyczania sobie urządzeń czy też udostępniania loginu/hasła innym osobom.Wdrożyłem odpowiednią politykę zmiany tych haseł.

Dostęp do każdego urządzenia (komputera,telefonu, tabletu) jest chroniony hasłem.

Oczywiście, dbamy o to, żeby nie stracićkomputera, telefonu czy tabletu, ale jeśli już do tego dojdzie, to osoba, któraprzejmie dane urządzenia, w praktyce nie powinna mieć możliwości odczytaniadanych znajdujących się na tym urządzeniu, ponieważ dane na nim są odpowiednioszyfrowane, tak, aby bez znajomości hasła nie można było ich odczytać.

W przypadku rezygnacji z danegourządzenia (np. wyrzucenia na śmietnik czy sprzedaży), a także w przypadkuoddawania go do serwisu dbamy o skasowanie danych osobowych z nośników w danymurządzeniu.

Używamy tylko sprawdzonego oprogramowania,w tym oprogramowania antywirusowego, od wiarygodnych dostawców i na bieżąco jeaktualizujemy.

Pliki firmowe trzymane są w chmurze, coniejako oznacza tworzenie kopii bezpieczeństwa poza siedzibą firmy, aleniezależnie od tego jeszcze robimy regularne kopie tych danych na lokalny „dysksieciowy”.

Zadbaliśmy o ograniczony dostęp do biura(klucze i karty dostępowe), a jeśli już ktoś obcy wchodzi do biura, to dbamy oto, żeby nigdy nie został sam w pokoju/miejscu, gdzie mógłby mieć dostęp dodanych.

Dokumenty papierowe zawierające daneosobowe trzymamy w zamkniętej na klucz szafie i nie leżą one nigdy „luzem” nanaszym biurkach (chyba że akurat nad nimi pracujemy). A tak generalnie, nietylko z tego względu, dążę do tego, żeby dokumenty papierowe wyeliminować (cojednak w polskiej rzeczywistości nigdy nie będzie do końca możliwe).

Powyższe kwestie można zawrzeć w„polityce czystego biurka”- zbiorze zasad, który możemy wdrożyć w firmie.

Środki organizacyjne to przede wszystkim ludzie. Są oni, taknaprawdę, kluczowym elementem bezpieczeństwa danych w firmie.

Mam w firmie jednego pracownika, w związku z tym przeprowadziłem szkolenie dla tego pracownika (zrobiłem to samodzielnie, z dokumentacją uczestnictwa w postaci karty szkolenia w celu spełnienia zasady rozliczalności), dałem upoważnienie do przetwarzania danych oraz pracownik podpisał zobowiązanie do zachowania poufności (te dokumenty również znajdziesz w pakiecie, który otrzymasz po zapisaniu się na newsletter). Oczywiście, w przypadku, gdy pracownik odchodzi, upoważnienie powinno być odwołane. W przypadku większej liczby pracowników/współpracowników należałoby prowadzić ewidencję wydanych i odwołanych upoważnień. Zgodnie z art. 24 ust. 2 RODO, wszystkie powyższe zasady opisałem w „Polityce ochrony danych osobowych”, która jest zbiorem zasad postępowania z danymi osobowymi, do przestrzegania których zobowiązani są wszyscy w mojej firmie. Taką politykę znajdziesz także wśród dokumentów, które otrzymasz po zapisaniu się na newsletter. Uwaga, absolutnie musisz dostosować jej treść do swojego przypadku.

Ponownie zgodnie z art. 24 ust. 2 RODO, stworzyłem także instrukcjęzarządzania systemami informatycznymi, w której opisałem wszystkie zasadyzwiązane z naszą infrastrukturą IT wykorzystywaną do przetwarzania danychosobowych.

Moją wersję instrukcji zarządzania systemami informatycznymi otrzymasz w pakiecie po zapisaniu się na newsletter. Uwaga, absolutnie musisz dostosować jej treść do swojego przypadku.

Zgodnie z art. 24 ust. 1 RODO („Środki te są w raziepotrzeby poddawane przeglądom i uaktualniane.”) polityka ochrony danychosobowych a także instrukcja zarządzania systemami informatycznymi mogą, awręcz powinny podlegać zmianom, w miarę nabywania nowych doświadczeń, nowychzagrożeń czy sposobów na zabezpieczenie danych.

Jedna uwaga na koniec: art. 24 ust. 2 mówi o wdrożeniu przezadministratora odpowiednich polityk ochrony danych „Jeżeli jest toproporcjonalne w stosunku do czynności przetwarzania”. Nie wiem, czy stworzeniei wdrożenie tych dwóch dokumentów jest adekwatne w małej firmie zajmującej sięwynajmem. W mojej opinii tak, ale ktoś może mieć inne zdanie, a ja w pełni jeuszanuję.

Oczywiście, ww. elementy zapewniają zabezpieczenie danych w obrębie mojej firmy, ale ja przecież przekazuję te dane także innym podmiotom. Wdrażanie tych wszystkich zabezpieczeń u siebie w firmie nie miałoby sensu, gdybyśmy nie zadbali o to, żeby dane osobowe, które przetwarzamy, były bezpieczne u partnerów, którym je powierzamy. O tym, jak zapewnić bezpieczeństwo w przypadku powierzenia innym podmiotom, piszę poniżej.

Powierzenie danych innym podmiotom

Przekazuję dane swoich klientów innym podmiotom tj. powierzamim je do przetwarzania (te podmioty stają się dla mnie procesorami).Zgodnie z art. 28 ust. 1 RODO powinienem korzystać wyłącznie z usług takichpodmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożeniaodpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniałowymogi RODO i chroniło prawa osób, których dane dotyczą.

Co to oznacza? Trzeba po prostu wybierać wiarygodnychpartnerów/dostawców, którzy wiedzą co to jest RODO i co do których maszpewność, że to RODO wdrożyli.

Zgodnie z art. 28 ust. 3 RODO administrator z każdymprocesorem, któremu powierza dane do przetwarzania, powinien podpisać umowępowierzenia lub to powierzenie powinno odbywać się na podstawie innegoinstrumentu prawnego.

Art. 28 ust. 3 RODO dość precyzyjnie określa, jakiewymagania powinna spełniać umowa powierzenia lub inny instrument prawny wiążącyadministratora (czyli Twoją firmę) z procesorem.

Jeśli któryś z partnerów/dostawców, którym masz potencjalniepowierzać dane osobowe do przetwarzania, ma problem z podpisaniem umowy powierzeniaalbo nie podoba Ci się ta umowa (np. nie spełnia wymagań art. 28 ust. 3 RODO,dostawca nie bierze na siebie żadnej odpowiedzialności), to być może nie jestwłaściwym dostawcą i trzeba poszukać innego.

A komu powierza dane osobowe firma zajmująca się wynajmemmieszkań? Niestety, wielu podmiotom np.:

  • swojej firmie księgowej (nasze biuro podpisuje z klientami umowę powierzenia przy okazji podpisywania umowy na obsługę księgową),
  • firmie zarządzającej najmem w naszym imieniu (jeśli z takowej korzystamy),
  • firmie utrzymującej system do zarządzania najmem (w moim przypadku korzystam z Systemu Obsługi Najmu, który udostępnia odpowiednie informacje o RODO),
  • firmie obsługującej skrzynki mailowe (może to być firma hostingowa bądź po prostu Google lub Microsoft, jeśli korzystamy z płatnych skrzynek od tych firm),
  • dostawcy usługi chmurowej np. Dropbox, Google, Microsoft,
  • firmie IT zapewniającej wsparcie informatyczne,
  • firmie kurierskiej (jeśli z takowej korzystamy),
  • konserwatorom budynków,
  • innym podmiotom, w zależności od tego, w jaki sposób prowadzimy swój biznes.

Duże znaczenie ma to, czy dane będą przekazane pozaEuropejski Obszar Gospodarczy (EOG). Pamiętajcie, że RODO to akt unijny, wzwiązku z tym z pewną dozą nieufności podchodzi do faktu, że dane mogłybywypłynąć poza obszar obowiązywania RODO. Tak naprawdę, wg mnie, nie jest łatwotego uniknąć, bo sporo firm korzysta z usług Google’a, który swoje serwery mana całym świecie. Istnieje jednak możliwość sprawienia, żeby usługodawcy typuGoogle czy Microsoft przetwarzali Twoje dane tylko na obszarze EOG i/lub winnych bezpiecznych lokalizacjach (wg moich informacji opcja dostępna chyba tylkow ramach płatnych usług tych firm np. GSuite).

Jak podpisałem umowy powierzenia? W większości przypadków dostałem propozycję od partnerów/dostawców lub znalazłem na ich stronie internetowej i po przeanalizowaniu, czy dana umowa spełnia wymagania (obejmuje wszystkie elementy wymienione w art. 28 ust. 3 RODO) zawarłem je w formie dokumentowej (na papierze bądź inaczej). W przypadku niektórych dostawców upewniłem się, że wiąże mnie z nimi inny instrument prawny (tak było z Google, co do którego upewniłem się też, że znajduje się na liście Privacy Shield).

Oczywiście, dbam o to, żeby wszystkie powierzenia mieć udokumentowane. Każdy procesor, któremu powierzam dane, ma u mnie osobny folder, w którym trzymam informacje o podpisanej umowie powierzenia. Wśród pakietu dokumentów, który otrzymasz po zapisaniu się na newsletter, jest także przykładowa umowa powierzenia danych, którą klienci naszego biura rachunkowego podpisują z nami.

Zgłaszanie oraz ewidencja incydentów naruszeń 

Zgodnie z art. 33 ust. 1 RODO każdy administrator wprzypadku naruszenia ochrony danych osobowych, bez zbędnej zwłoki – w miaręmożliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia –zgłasza je organowi nadzorczemu właściwemu […], chyba że jest małoprawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lubwolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu poupływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

Co to jest naruszenie? Zgodnie z art. 4 pkt 12 RODO„naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwaprowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia,zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu dodanych osobowych przesyłanych, przechowywanych lub w inny sposóbprzetwarzanych.

Można również odwołać się tu do trzech różnych typównaruszenia ochrony danych osobowych:

  • Naruszenie poufności (czyli gdy dane zostanąujawnione komuś, kto nie powinien mieć do nich dostępu),
  • Naruszenie dostępności (czyli dane uległytrwałemu zniszczeniu/utracie lub trwale straciliśmy do nich dostęp),
  • Naruszenie integralności (czyli dane uległyzmianie w sposób nieautoryzowany).

Dodatkowo, art. 33 ust. 5 RODO mówi, że Administratordokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okolicznościnaruszenia ochrony danych osobowych, jego skutki oraz podjęte działaniazaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanieprzestrzegania niniejszego artykułu.

Co to wszystko oznacza? Wg mnie powinniśmy w firmiemonitorować wszystkie incydenty związane z ochroną danych osobowych. Gdy jakiśwystąpi, powinniśmy:

  • ocenić, czy naruszenie danych osobowych skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych (art. 33 ust. 1)
  • jeśli ryzyko nie jest mało prawdopodobne, bez zbędnej zwłoki, nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia, dokonać zgłoszenia do Prezesa UODO (tutaj znajdziecie opis, jak to zrobić),
  • ewentualnie powiadomić osobę, której dane dotyczą (art. 34 ust. 1 i 2 RODO), chyba że nie będzie to wymagane na podstawie art. 34 ust. 3 RODO,
  • udokumentować to naruszenie, w tym okoliczności, skutki i podjęte działania zaradcze (art. 33 ust. 5 RODO), niezależnie od tego, czy naruszenie zostało zgłoszone do Prezesa UODO i czy została powiadomiona osoba, której dane dotyczą.

Dokumentacja, o której mowa w ostatnim punkcie, musipozwolić organowi nadzorczemu weryfikowanie przestrzegania RODO (art. 33 ust. 5RODO).

Mój plan na zarządzanie incydentami to ich monitorowanie i robienieraportu z każdego naruszenia w postaci osobnego pliku tekstowego, któryumieszczam potem w odpowiednim folderze.

Dodatkowo, w tym samym folderze mam ewidencję naruszeń, gdzie zapisuję te wszystkie autodonosy 😉 (jej wzór znajdziesz w pakiecie dokumentów, który otrzymasz po zapisaniu się na newsletter).

Dodatkowo, odsyłam do bardzo szczegółowego dokumentu opublikowanego w maju 2019 przez Prezesa UODO pt. „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”.

Dokumentacja wewnętrzna

RODO nie określa formalnych wymagań dotyczących dokumentacji przetwarzania danych osobowych, dając tym samym dużą swobodę w tym zakresie administratorom danych (polecam przejrzenie tego, co na temat dokumentacji napisał Prezes UODO). Nie oznacza to jednak, że można takiej dokumentacji nie robić 😉 Wg mnie oznacza to, że określenie właściwego zakresu dokumentacji jest nawet trudniejsze.

Dlaczego w ogóle robić tę dokumentację?

Wiele osób nazywa to „papierologią stosowaną” czy też poprostu biurokracją.

Jestem zagorzałym przeciwnikiem biurokracji i osobiściesłabo znoszę kontakty ze wszelkimi urzędami (które są siedliskiem biurokracji)oraz dużymi firmami, które też często działają jak urzędy (a czasami wręczjeszcze gorzej). 

RODO zawiera tylko kilka konkretnych informacji dot. wymaganej dokumentacji (wspomina o wdrożeniu odpowiednich polityk ochrony danych, rejestrze czynności przetwarzania i rejestrze kategorii czynności przetwarzania itp.), ale tak naprawdę konieczność prowadzenia dokumentacji wynika ze wspomnianej już wyżej zasady rozliczalności (art. 5 ust. 1 RODO: „Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”)”.). W powyższym artykule podczas omawiania poszczególnych obowiązków odnosiłem się do tego, w jaki sposób dokumentuję spełnienie tego obowiązku. Przykładowy komplet dokumentacji otrzymasz po zapisaniu się na newsletter.

Jednym z istotniejszych elementów dokumentacji, wymagający osobnego omówienia, jest rejestr czynności przetwarzania.

Rejestr czynności przetwarzania

Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych jest nałożony (prawie) na każdego administratora poprzez art. 30 RODO. Określa on dość dobrze, co powinno znaleźć się w takim rejestrze oraz że ma on formę pisemną (może być elektroniczna). Wiem, że niektórzy mogą uznać, że nie muszą prowadzić rejestru czynności przetwarzania, ponieważ zatrudniają mniej niż 250 osób (art. 30 ust. 5 RODO). Po analizie art. 30 ust. 5 RODOstwierdziłem jednak, że nie ma ucieczki od stworzenia rejestru.

W jaki sposób stworzyłem taki rejestr?

Najpierw określiłem, jakie zbiory danych osobowychprzetwarzam: najemców, potencjalnych najemców, pracowników, potencjalnychpracowników, dostawców, osób, z którym koresponduję.

Następnie na tej podstawie zdefiniowałem czynnościprzetwarzania tak, żeby pokryć wszystkie ww. zbiory tj. żeby zbiór tychczynności obejmował wszystkie aktywności podejmowane wobec tych zbiorów danychosobowych. Jednocześnie jednak kierowałem się dążeniem do prostoty, wychodząc zzałożenia, że w tak niewielkiej firmie nie ma sensu danej czynności rozbijać namniejsze.

W ten sposób w rejestrze znalazły się następujące czynnościprzetwarzania:

  • Poszukiwanie najemców
  • Obsługa najmu
  • Rekrutacja pracowników
  • Kadry i płace
  • Rozliczenia i administrowanie dostawcami
  • Korespondencja mailowa
  • Komunikacja telefoniczna

Na stronie UODO znajdziecie krótki poradnik na ten temat, wraz z przykładowym rejestrem czynności przetwarzania. Nie ukrywam, że swój rejestr czynności przetwarzania w firmie zajmującej się najmem właśnie na tym przykładzie wzorowałem.

Jeśli będziesz tworzył swój rejestr czynności przetwarzania,zadbaj o to, żeby obejmował on wszystkie elementy wymagane przez RODO (te zaznaczonena czerwono w przykładzie z UODO).

Nie stworzyłem i nie prowadzę natomiast rejestru kategorii czynności przetwarzania, gdyż jako firma wynajmująca tylko komuś mieszkania nie przetwarzam danych osobowych na zlecenie innych administratorów (nie jestem procesorem).

Zarządzanie i udostępnianie dokumentacji

Jak zarządzać tą dokumentacją?

Wg mnie warto te dokumenty mieć w swoich zasobach w formieelektronicznej (oczywiście, odpowiednio zabezpieczone) i w razie potrzeby jąuaktualniać. Stworzyłem sobie do tej dokumentacji odpowiednią strukturęfolderów na dysku, żeby zachować logikę i porządek:

  • ODO (główny folder dotyczący Ochrony Danych Osobowych. Nie nazwałemgo RODO, ponieważ ochrona danych osobowych jest szerszym pojęciem niż RODO iistniała dużo wcześniej niż RODO)
    • Analiza ryzyka
    • Obowiązek informacyjny
    • Personel
    • Powierzenia
    • Realizacja uprawnień
    • Naruszenia

Wszystkie przykładowe dokumenty z tego artykułu otrzymasz właśnie w wyżej przedstawionej strukturze (o ile zapiszesz się na mój DARMOWY newsletter).

Nie uważam, że trzeba całą tę dokumentację mieć w formiepapierowej (z pewnym wyjątkiem, o którym poniżej).

Niektóre z dokumentów mają formę papierową np. podpisanaprzez najemcę informacja o przetwarzaniu danych, niektóre umowy przetwarzania,podpisane przez pracowników karty szkolenia czy też upoważnienia i zobowiązaniado zachowania poufności. W tej sytuacji ja skanuję te dokumenty, wkładam nadysk (do jednego z ww. folderów), a papierowe wersje archiwizuję w odpowiedniozabezpieczonym segregatorze podpisanym „RODO”.

Zwracam też uwagę, że dokumentacja, którą stworzysz (a potem będziesz aktualizować), nie jest publiczna tj. nie trzeba jej nigdzie publikować np. na stronie internetowej 😉 Niektóre z tych informacji są przekazywane zewnętrznym podmiotom np. informacja o przetwarzaniu danych dla najemców, umowy powierzenia z kontrahentami itp. Większość dokumentacji jednak jest przeznaczona dla administratora jako spełnienie zasady rozliczalności, powinna być chroniona i nie trzeba jej udostępniać nawet na żądanie innych podmiotów. Trzeba dość świadomie zarządzać tym, które elementy dokumentacji i komu udostępniamy (zachęcam do przeczytania tego artykułu na stronie GIODO, mimo tego, że powstał przed wejściem w życie RODO).

Specyficzne sytuacje/modele działalności

Firma wynajmująca komuś mieszkania może też w ramach swoichstruktur zajmować się innymi rzeczami, w szczególności rzeczami pokrewnymi zbranży nieruchomości. Mogą to być np. zarządzanie najmem, podnajem, usługikrótkotrwałego zakwaterowania. Poniżej umieszczam moje uwagi związane z tymitematami w kontekście RODO.

Zarządzanie najmem – gdy oprócz wynajmu zarządzasztakże dla kogoś najmem albo korzystasz z firmy zarządzającej najmem, to rodzito pewne obowiązki wynikające z RODO m.in. obowiązek informacyjny wobecpartnerów czy klientów. Moim zdaniem, w przypadku korzystania/świadczenia usługzarządzania najmem, administratorem danych osobowych najemców nadal będziewynajmujący, a firma zarządzająca będzie przetwarzać dane na jego zlecenie(będzie procesorem), co oznacza m.in. konieczność podpisania odpowiedniej umowypowierzenia. Dodatkowo, w idealnej sytuacji firma zarządzająca wykonuje wimieniu wynajmującego obowiązki związane z ochroną danych osobowych (np.obowiązek informacyjny wobec najemców).

Podnajem – gdy jesteś jednocześnie najemcą orazwynajmującym, wg mnie dochodzi kolejna grupa podmiotów, których daneprzetwarzamy i wobec których trzeba np. wypełnić obowiązek informacyjny. Tąnową/dodatkową grupą są oczywiście właściciele mieszkań, które wykorzystujeszdo swojej działalności polegającej na podnajmie.

Wynajem krótkoterminowy – jeśli regularnieprzyjmujesz gości dokonujących rezerwacji z wykorzystaniem portali typuAirbnb.com i Booking.com, to prowadzisz działalność gospodarczą i RODO dotyczyCię w całej rozciągłości. Wg mnie dochodzi kolejna grupa podmiotów, czyligości, których dane przetwarzamy i wobec których trzeba wypełnić obowiązekinformacyjny.

W obszarze wynajmu czasami też wykorzystuje się instytucje poręczycieli, a także np. monitoring wizyjny. Każdy z tych tematów wymaga przemyślenia i spełnienia odpowiednich obowiązków wynikających z RODO. Powyższe tematy być może będę rozwijał w ciągu najbliższych kilku/kilkunastu miesięcy, w zależności od zainteresowania.

Zastrzeżenia na koniec

Zdaję sobie sprawę, że osoba siedząca w temacie ochronydanych osobowych (prawnik, zaawansowany specjalista ochrony danych) zapewnebędzie miała sporo uwag do zastosowanego przeze mnie podejścia. W szczególnościbyć może nie wykonałem/opisałem wszystkich obowiązków, które mnie dotyczą.Jestem otwarty na wszelkie uwagi, w szczególności krytykę, ale wyłącznie na tękonstruktywną 😊

Przypominam jednak, że RODO to tzw. „softlaw” i to moja decyzja/ocena, jakie środki zastosować. Apeluję więc o konstruktywne uwagi, z uwzględnieniem specyficznej sytuacji firmy wynajmującej komuś mieszkania. Pamiętajcie, że ten artykuł to przykład „wdrożenia RODO” w firmie w konkretnej branży (wynajmu mieszkań) i o konkretnej strukturze/modelu działania przedsiębiorstwa. Nie jest to przykład uniwersalny!  Przykładowo, nie zajmowałem się kompletnie kwestiami przetwarzania danych osobowych w kontekście firmowej strony internetowej, social media (np. gdy posiadamy fanpage na Facebooku), wysyłania newslettera, gdyż moja firma zajmująca się wynajmem mieszkań nic z tych rzeczy nie robi/nie posiada😉.

Zastanawiam się nad tym, czy byłoby zainteresowanie szkoleniem stacjonarnym na żywo o tym, jak wdrożyć RODO w firmie zajmującej się wynajmem mieszkań. Zakładam, że powyższy artykuł może być podstawą do samodzielnego wdrożenia, ale być może ktoś woli ten obszar poznać głębiej i stworzyć dokumentację podczas szkolenia na żywo w sali szkoleniowej.

Jeśli coś takiego Cię interesuje, napisz do mnie maila na adres wynajmistrz(małpa)wynajmistrz.pl (wystarczy pusty mail o temacie „Szkolenie RODO”). Do osób, które przekażą mi swój adres, odezwę się w pierwszej kolejności w przypadku, gdy zdecydujemy się zorganizować takie szkolenie (najprawdopodobniej w Warszawie).

Na koniec, chciałbym serdecznie podziękować Andrzejowi Petrulewiczowi oraz Michałowi Zimniewiczowi za konstruktywną krytykę i uwagi do artykułu. Jesteście Wielcy!

Dyskusja

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *