O RODO ostatnio jest bardzo głośno w mediach, w szczególności tych przeznaczonych dla przedsiębiorców. RODO, czyli unijne rozporządzenie, które od 25 maja 2018 roku zastępuje krajowe regulacje dotyczące ochrony danych osobowych we wszystkich krajach Unii Europejskiej, dotyczy praktycznie wszystkich. Spójrzmy więc na to, jakie niesie konsekwencje dla podmiotów wynajmujących komuś nieruchomości.

Ten artykuł nie będzie opisywał dokładnie szczegółów RODO i wynikających z niego obowiązków i konsekwencji. Opracowań na ten temat jest w sieci mnóstwo, a w tym artykule skupię się na tym, co RODO oznacza dla osób i firm wynajmujących komuś mieszkanie lub mieszkania.

Na początek jednak w kilku zdaniach opiszę, co to jest RODO, dane osobowe i ich przetwarzanie, a dopiero potem przejdziemy do tego, czy dotyczy ono wynajmujących, a jeśli dotyczy, jakie rodzi obowiązki.

Zanim przejdziemy muszę zrobić oczywiste zastrzeżenie: wprawdzie odpowiadam za kwestie ochrony danych osobowych w swoich firmach i sporo na ten temat wiem, nie jestem jednak prawnikiem ani certyfikowanym specjalistą od ochrony danych osobowych. Poniższy tekst nie jest więc doradztwem prawnym, a jedynie wyrażeniem mojej opinii.

Ok, przejdźmy do teorii RODO 😉

Co to jest RODO?

RODO to ogólne rozporządzenie o ochronie danych, czyli unijny akt, który reguluje obszar ochrony danych osobowych w całej Unii Europejskiej. Uchwalony w 2016 roku, ma zastosowanie od 25 maja 2018 roku do wszystkich krajów unijnych i stosuje się go bezpośrednio (w przeciwieństwie do dyrektyw, które wymagają implementacji do krajowych regulacji). Oznacza to, że krajowe, w tym także polska, ustawy dotyczące ochrony danych osobowych będą zastąpione przez to rozporządzenie.

Rozporządzenie mówi, że państwo członkowskie może wprowadzić przepisy dostosowujące krajowe regulacje do RODO. Polski ustawodawca zamierza z tej możliwości skorzystać – 10 maja Sejm uchwalił ustawę, w związku z tym trafiła ona do Senatu (druk 2410).

Co to są dane osobowe i ich przetwarzanie?

RODO dotyczy ochrony danych osobowych, więc zacznijmy od tego, co to są dane osobowe.

Zgodnie z art. 4 RODO dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”), a z kolei możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (ta definicja pochodzi bezpośrednio z rozporządzenia i brzmi dość „urzędowo”, ale wg mnie jest dosyć jasna).

Przetwarzanie danych, zgodnie z tym samym art. 4 RODO, oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. W dużym skrócie, wg mnie przetwarzanie danych to wszystko, co robimy z danymi między ich zebraniem a usunięciem, nawet jeśli te dane wyłącznie przechowujemy.

Czy RODO obowiązuje wynajmujących?

Każdy wynajmujący przetwarza dane osobowe swoich najemców.

Analizując materialny zakres stosowania RODO, a więc art. 2 RODO znajdziemy tam punkt 2, który mówi, że RODO „nie ma zastosowania do przetwarzania danych osobowych: […] c) przez osobę fizyczną w ramach czynności  o czysto osobistym lub domowym charakterze”.

Opierając się na opiniach prawników, można stwierdzić, że jeśli prowadzimy najem będący działalnością gospodarczą, to podlega on pod RODO. Jeśli jednak robimy to jako osoba fizyczna (czyli „przetwarzamy dane osobowe jako osoba fizyczna w ramach czynności o czysto osobistym lub domowym charakterze”), to RODO nas nie obejmuje.

Powstaje oczywiście pytanie, który najem w kontekście RODO jest czynnością o czysto osobistym lub domowym charakterze (patrz art. 2 pkt 2 lit c RODO). Niestety, RODO nie daje na to pytanie odpowiedzi i w tym momencie każdy będzie musiał sobie odpowiedzieć na to pytanie samodzielnie. Jednocześnie jednak, niestety, obawiam się, że odpowiedź na to pytanie będzie tak samo trudna jak odpowiedź, kiedy najem spełnia przesłanki uznania go za działalność gospodarczą w kontekście podatków tj. Ustawy o podatku dochodowym od osób fizycznych. Od lat próbuję jednoznacznie odpowiedzieć na to pytanie i jeszcze mi się to nie udało 😉

Prowadzisz działalność gospodarczą, więc masz obowiązek. Ale jaki?

Niezależnie jednak od dyskusji, kiedy najem podlega pod RODO, to jeśli uznasz bądź zaakceptujesz, że Twój najem nie jest czynnością o czysto osobistym lub domowym charakterze, to RODO obowiązuje Cię w pełnej krasie. Co to oznacza?

Oznacza to, że masz pewne obowiązki związane z danymi osobowymi, które musisz spełnić, a ich nie spełnienie może się wiązać z przykrymi konsekwencjami np. karami finansowymi (w przeciwieństwie do poprzedniego reżimu regulacyjnego w zakresie ochrony danych osobowych, gdzie ryzyko kar finansowych było znikome).

Spotkałem się z podejściem, że spełnienie tych obowiązków to kwestia wyłącznie dodania odpowiedniej klauzuli do umowy najmu z naszymi najemcami. Od niektórych czytelników dostałem pytania „Niech Pan napisze, co muszę dodać do umowy najmu, żeby mieć to z głowy”. Niestety, nie jest to takie proste i ode mnie tego rodzaju rady raczej nie dostaniecie 😉

Spróbuję w dużym skrócie wymienić obowiązki wynikające z RODO

Przede wszystkim, jak powinny być przetwarzane dane osobowe?

Zasady przetwarzania danych osobowych określa art. 5 ust. 1 RODO. Muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Do tego dochodzi zasada ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania, integralności i poufności.

Ty, jako administrator tych danych, jest odpowiedzialny za spełnienie powyższych zasad i, co więcej, musisz potrafić wykazać ich przestrzeganie (co najczęściej robi się poprzez odpowiednie udokumentowanie). RODO nazywa to „rozliczalnością” (art. 5 ust. 2 RODO). Czasami niektórzy nazywają to również domniemaniem winy tj. po stronie administratora leży obowiązek wykazania, że działa zgodnie z RODO. Jednym z elementów jest tutaj prowadzenie odpowiedniej dokumentacji m.in. rejestru czynności przetwarzania danych (art. 30 RODO).

Musisz mieć podstawę przetwarzania

Zgodne z prawem przetwarzanie danych osobowych, jak mówi art. 6 ust. 1 RODO, zawsze odbywa się na jakiejś podstawie: zgody, wykonania umowy, wypełnienia obowiązku prawnego ciążącego na administratorze, ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, prawnie uzasadnionych interesów administratora. W przypadku najmu podstawą przetwarzania będzie najczęściej konieczność wykonania umowy, wypełnienie obowiązków prawnych przez administratora (np. wystawienie faktury, rozliczenie księgowe), a także prawnie uzasadniony interes administratora (przechowujemy dane najemcy do momentu przedawnienia roszczeń, które mogą wytoczyć obydwie strony).

Musisz zapewnić obsługę praw jednostki

Wobec osoby, której dane osobowe przetwarzasz (czyli wobec swojego najemcy) masz szereg obowiązków, wynikających z art. 12 do 22 RODO. Są to m.in. obowiązek informacyjny (o administratorze, celu i podstawie przetwarzania, odbiorcach, przysługujących prawach, ewentualnym profilowaniu itd.), realizacji prawa dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przeniesienia, sprzeciwu wobec profilowania.

Musisz zapewnić bezpieczeństwo danych

Oczywiście, jak już dane przetwarzasz, to po Twojej stronie leży również obowiązek zapewnienia im bezpieczeństwa, adekwatnie do ryzyka i ewentualnych konsekwencji, które mogą wystąpić w przypadku naruszenia ochrony danych.

Jako wynajmujący przetwarzający dane osobowe np. swoich najemców, występujesz w roli ich Administratora. Odpowiadasz za te dane, ale przetwarzasz je z wykorzystaniem innych podmiotów (powierzasz je innym podmiotom) np. operatorowi serwisu do wystawiania faktur czy też firmie księgowej, która rozlicza Twój najem. Musisz, po pierwsze, powierzać dane tylko wiarygodnym przetwarzającym oraz z każdym takim podmiotem, któremu powierzasz dane, mieć umowę powierzenia (art. 28 RODO). Przykładowo, nasze biuro rachunkowe podpisuje z klientami takie umowy powierzenia (jeśli jesteś naszym klientem, powinieneś już otrzymać albo zaraz otrzymasz mailowo propozycję umowy powierzenia).

Nie będę tutaj opisywał dalszych szczegółów – odsyłam do różnych opracowań dostępnych już w tym momencie szeroko w Internecie.

Kilka zastrzeżeń

Po pierwsze, nie ma jeszcze praktyki związanej stricte z RODO, aczkolwiek ochrona danych osobowych to temat znany i praktykowany od lat, przede wszystkim w kontekście „poprzedniej” ustawy.

Po drugie, nie dajcie się zwieść na oferty różnych firm i nastraszyć milionowymi karami (kara musi być adekwatna).

RODO „wchodzi” ostatecznie 25 maja 2018, ale nie można się spodziewać, że 26 maja nagle do wszystkich zapukają kontrolerzy. Nie dajmy się zwariować tj. działajmy zgodnie z przepisami, ale do wszystkiego przykładajmy zdrowy rozsądek. Polecam artykuł Wojtka Wawrzaka, żeby nieco ostudzić emocje.

Niniejszy artykuł opiera się na obecnym stanie wiedzy, w sytuacji braku polskiej ustawy dostosowującej, a sytuacja na pewno będzie się zmieniać. Z upływem czasu będziemy coraz więcej wiedzieć, więc ten artykuł będzie podlegał aktualizacji.

I na koniec powtórzę zastrzeżenie z początku tego artykułu – nie jestem prawnikiem ani certyfikowanym specjalistą od ochrony danych osobowych, więc nie traktujcie tego artykułu jako doradztwa prawnego.

 

Be Sociable, Share!