Grzegorz Grabowski

RODO i wynajem mieszkań

RODO, czyli unijne rozporządzenie, które od 25 maja 2018 roku zastąpiło krajowe regulacje dotyczące ochrony danych osobowych we wszystkich krajach Unii Europejskiej, dotyczy praktycznie wszystkich. Spójrzmy więc na to, jakie niesie konsekwencje dla podmiotów wynajmujących komuś nieruchomości.

Ten artykuł nie będzie opisywał dokładnie szczegółów RODO i wynikających z niego obowiązków i konsekwencji. W tym artykule skupię się na tym, co RODO oznacza dla osób i firm wynajmujących komuś mieszkanie lub mieszkania.

Na początek jednak w kilku zdaniach opiszę, co to jest RODO, dane osobowe i ich przetwarzanie, a dopiero potem przejdziemy do tego, czy dotyczy ono wynajmujących, a jeśli dotyczy, jakie rodzi obowiązki.

Zanim przejdziemy muszę zrobić oczywiste zastrzeżenie: wprawdzie jestem zaangażowany w kwestie ochrony danych osobowych w swoich firmach i sporo na ten temat wiem, nie jestem jednak prawnikiem ani zaawansowanym specjalistą od ochrony danych osobowych. Poniższy tekst nie jest więc doradztwem prawnym, a jedynie wyrażeniem mojej opinii.

Ok, przejdźmy do teorii RODO 😉

Co to jest RODO?

RODO to ogólne rozporządzenie o ochronie danych, czyli unijny akt, który reguluje obszar ochrony danych osobowych w całej Unii Europejskiej. Uchwalony w 2016 roku, ma zastosowanie od 25 maja 2018 roku do wszystkich krajów unijnych i stosuje się go bezpośrednio (w przeciwieństwie do dyrektyw, które wymagają implementacji do krajowych regulacji). Oznacza to, że krajowe, w tym także polska, ustawy dotyczące ochrony danych osobowych są zastąpione przez to rozporządzenie.

Rozporządzenie mówi, że państwo członkowskie może wprowadzić przepisy dostosowujące krajowe regulacje do RODO. Polski ustawodawca z tej możliwości skorzystał – Sejm uchwalił ustawę (druk 2410), a 22 maja 2018 podpisał ją Prezydent. Znajdziesz ją tutaj.

Co to są dane osobowe i ich przetwarzanie?

RODO dotyczy ochrony danych osobowych, więc zacznijmy od tego, co to są dane osobowe.

Zgodnie z art. 4 RODO dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), a z kolei możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (ta definicja pochodzi bezpośrednio z rozporządzenia i brzmi dość „urzędowo”, ale wg mnie jest dosyć jasna).

Przetwarzanie danych, zgodnie z tym samym art. 4 RODO, oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. W dużym skrócie, wg mnie przetwarzanie danych to wszystko, co robimy z danymi między ich zebraniem a usunięciem, nawet jeśli te dane wyłącznie przechowujemy.

Czy RODO obowiązuje wynajmujących?

Każdy wynajmujący przetwarza dane osobowe swoich najemców.

Analizując materialny zakres stosowania RODO, a więc art. 2 RODO znajdziemy tam punkt 2, który mówi, że RODO „nie ma zastosowania do przetwarzania danych osobowych: […] c) przez osobę fizyczną w ramach czynności  o czysto osobistym lub domowym charakterze”.

Opierając się na opiniach prawników, można stwierdzić, że jeśli prowadzimy najem będący działalnością gospodarczą, to podlega on pod RODO. Jeśli jednak robimy to jako osoba fizyczna (czyli „przetwarzamy dane osobowe jako osoba fizyczna w ramach czynności o czysto osobistym lub domowym charakterze”), to RODO nas nie obejmuje.

Powstaje oczywiście pytanie, który najem w kontekście RODO jest czynnością o czysto osobistym lub domowym charakterze (patrz art. 2 pkt 2 lit c RODO). Niestety, RODO nie daje na to pytanie odpowiedzi i w tym momencie każdy będzie musiał sobie odpowiedzieć na to pytanie samodzielnie. Być może mamy sytuację, że inna ustawa np.  podatkowa może decydować (albo pomóc nam zdecydować), czy podpadamy pod RODO.

Jednocześnie, niestety, obawiam się, że odpowiedź na to pytanie będzie tak samo trudna jak kiedyś odpowiedź, kiedy najem spełnia przesłanki uznania go za działalność gospodarczą w kontekście podatków tj. ustawy o podatku dochodowym od osób fizycznych. Przez wiele lat próbowałem jednoznacznie odpowiedzieć na to pytanie, aż w końcu pojawiła się przełomowa uchwała NSA 😉

Prowadzisz działalność gospodarczą, więc masz obowiązek. Ale jaki?

Niezależnie jednak od dyskusji, kiedy najem podlega pod RODO, to jeśli uznasz bądź zaakceptujesz, że Twój najem nie jest czynnością o czysto osobistym lub domowym charakterze, to RODO obowiązuje Cię w pełnej krasie. Co to oznacza?

Oznacza to, że masz pewne obowiązki związane z danymi osobowymi, które musisz spełnić, a ich nie spełnienie może się wiązać z przykrymi konsekwencjami np. karami finansowymi (w przeciwieństwie do poprzedniego reżimu regulacyjnego w zakresie ochrony danych osobowych, gdzie ryzyko kar finansowych było znikome).

Spotkałem się z podejściem, że spełnienie tych obowiązków to kwestia wyłącznie dodania odpowiedniej klauzuli do umowy najmu z naszymi najemcami. Od niektórych czytelników dostałem pytania „Niech Pan napisze, co muszę dodać do umowy najmu, żeby mieć to z głowy”. Niestety, nie jest to takie proste i ode mnie tego rodzaju rady raczej nie dostaniecie 😉

Spróbuję w dużym skrócie wymienić obowiązki wynikające z RODO (a w tym artykule znajdziecie dokładniejszy opis, jak je spełnić w małej firmie prowadzącej wynajem mieszkań).

Przede wszystkim, jak powinny być przetwarzane dane osobowe?

Zasady przetwarzania danych osobowych określa art. 5 ust. 1 RODO. Muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Do tego dochodzi zasada ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania, integralności i poufności.

Ty, jako administrator tych danych, jesteś odpowiedzialny za spełnienie powyższych zasad i, co więcej, musisz potrafić wykazać ich przestrzeganie (co najczęściej robi się poprzez odpowiednie udokumentowanie). RODO nazywa to „rozliczalnością” (art. 5 ust. 2 RODO). Czasami niektórzy nazywają to również domniemaniem winy tj. po stronie administratora leży obowiązek wykazania, że działa zgodnie z RODO. Jednym z elementów jest tutaj prowadzenie odpowiedniej dokumentacji m.in. rejestru czynności przetwarzania danych (art. 30 RODO).

Musisz mieć podstawę przetwarzania

Zgodne z prawem przetwarzanie danych osobowych, jak mówi art. 6 ust. 1 RODO, zawsze odbywa się na jakiejś podstawie: zgody, wykonania umowy, wypełnienia obowiązku prawnego ciążącego na administratorze, ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, prawnie uzasadnionych interesów administratora. W przypadku najmu podstawą przetwarzania będzie najczęściej konieczność wykonania umowy, wypełnienie obowiązków prawnych przez administratora (np. wystawienie faktury, rozliczenie księgowe), a także prawnie uzasadniony interes administratora (przechowujemy dane najemcy do momentu przedawnienia roszczeń, które mogą wytoczyć obydwie strony).

Musisz zapewnić obsługę praw jednostki

Wobec osoby, której dane osobowe przetwarzasz (czyli wobec swojego najemcy) masz szereg obowiązków, wynikających z art. 12 do 22 RODO. Są to m.in. obowiązek informacyjny (o administratorze, celu i podstawie przetwarzania, odbiorcach, przysługujących prawach, ewentualnym profilowaniu itd.), realizacji prawa dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przeniesienia, sprzeciwu wobec profilowania.

Musisz zapewnić bezpieczeństwo danych

Oczywiście, jak już dane przetwarzasz, to po Twojej stronie leży również obowiązek zapewnienia im bezpieczeństwa, adekwatnie do ryzyka i ewentualnych konsekwencji, które mogą wystąpić w przypadku naruszenia ochrony danych.

Jako wynajmujący przetwarzający dane osobowe np. swoich najemców, występujesz w roli ich Administratora. Odpowiadasz za te dane, ale przetwarzasz je z wykorzystaniem innych podmiotów (powierzasz je innym podmiotom) np. operatorowi serwisu do wystawiania faktur bądź do zarządzania najmem (jeśli z takiego serwisu korzystasz), dostawcy obsługującemu Twoją skrzynkę mailową, hostingodawcy (jeśli masz stronę internetową i na niej przetwarzasz dane), dostawcy usługi przechowywania danych/backupu (jeśli z takich usług korzystasz) czy też firmie księgowej, która rozlicza Twój najem. Musisz, po pierwsze, powierzać dane tylko wiarygodnym przetwarzającym (art. 28 ust. 1 RODO) oraz z każdym takim podmiotem, któremu powierzasz dane, mieć umowę powierzenia lub powierzenie powinno odbywać się na podstawie innego wiążącego instrumentu prawnego, podlegającego prawu unijnemu/krajowemu (art. 28 ust. 3 RODO). Przykładowo, nasze biuro rachunkowe podpisuje z klientami takie umowy powierzenia (jeśli jesteś naszym klientem, powinieneś otrzymać mailowo propozycję umowy powierzenia), dostawca Systemu Obsługi Najmu też taką umowę udostępnia.

Nie będę tutaj opisywał dalszych szczegółów – odsyłam do tego artykułu.

Kilka zastrzeżeń

Po pierwsze, nie ma jeszcze bardzo praktyki związanej stricte z RODO w wynajmie, aczkolwiek ochrona danych osobowych to obecnie temat znany i praktykowany od lat.

Po drugie, nie dajcie się zwieść na oferty różnych firm i nastraszyć milionowymi karami (kara musi być adekwatna).

RODO „weszło” ostatecznie 25 maja 2018, ale nie oznacza to, że 26 maja nagle do wszystkich zapukali kontrolerzy. Nie dajmy się zwariować tj. działajmy zgodnie z przepisami, ale do wszystkiego przykładajmy zdrowy rozsądek. Polecam artykuł Wojtka Wawrzaka, żeby nieco ostudzić emocje.

Niniejszy artykuł opiera się na obecnym stanie wiedzy, a sytuacja na pewno będzie się zmieniać. Z upływem czasu będziemy coraz więcej wiedzieć, więc ten artykuł będzie podlegał aktualizacji. Zapraszam też do przeczytania drugiego artykułu, w którym opisuję, w jaki sposób wdrożyć RODO w małej firmie prowadzącej wynajem mieszkań.

I na koniec powtórzę zastrzeżenie z początku tego artykułu – nie jestem prawnikiem ani zaawansowanym specjalistą od ochrony danych osobowych, więc nie traktujcie tego artykułu jako doradztwa prawnego.

 

Dyskusja

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *