Krótki poradnik - RODO a Mieszkanicznik

Chcemy wynająć mieszkanie:

1. Opracowujemy klauzulę informacyjną[1] (od tego nie ma ucieczki i każdy musi ją dostosować do swoich warunków - zawartość w pkt 6);
2. Sprawdzamy/określamy:

Czy mamy pracowników (umowa o pracę) lub stałych współpracowników (częste umowy zlecenia lub o dzieło z tymi samymi osobami):

• Jeśli TAK - musimy przygotować "Rejestr czynności przetwarzania" (możemy przygotować samodzielnie - wzór jest opublikowany na stronie  Urzędu Ochrony Danych)
• Jeśli NIE - idziemy dalej,

Czy wśród danych osobowych, które będziemy zbierać od naszych najemców będą szczególne kategorie danych osobowych (pochodzenie rasowe lub etniczne, zdrowie, dane biometryczne, itd. Art. 9 RODO):

• Jeśli TAK - lepiej zrezygnować ewentualnie kontaktujemy się ze specjalistą
• Jeśli NIE - idziemy dalej,

Czy mamy stronę www naszej działalności:

• Jeśli TAK - wprowadzamy klauzulę informacyjną na stronę
• Jeśli NIE - idziemy dalej,

Czy zgłaszanie zainteresowania naszą ofertą odbywa się przez stronę internetową:

• Jeśli TAK - musimy pamiętać, iż okienka wyboru (check boxy) nie mogą być domyślnie zaznaczone na tak - zaznaczenie na TAK musi być świadomym działaniem naszego kontrahenta
• Jeśli NIE- idziemy dalej,

Czy mamy adres mailowy, na który będą przychodziły pytania, zgłoszenia itp. sprawach najmu:

• Jeśli TAK - wprowadzamy klauzulę informacyjną w stopce nadawcy (ew. może być skrócona informacja i link do strony, na której można się zapoznać z całą klauzulą informacyjną
• Jeśli NIE (co chyba nieprawdopodobne) - idziemy dalej,

Czy mamy serwis telefoniczny służący do kontaktów w sprawach nieruchomości:

• Jeśli TAK - programujemy opcję aby rozmówca po wciśnięciu wskazanego przycisku mógł wysłuchać nagranej klauzuli informacyjnej
• Jeśli NIE - idziemy dalej.

Mamy czynną umowę najmu:

1. Dbamy o właściwe, bezpieczne i integralne przechowywanie danych osobowych - nie ma przepisów szczegółowych określających warunki przechowywania - to administrator danych osobowych decyduje jak je chroni aby zapewnić ich integralność i bezpieczeństwo i równocześnie w razie kontroli lub zaistnienia naruszenia bezpieczeństwa danych osobowych to on będzie musiał wykazać dlaczego dokonał wyboru takich środków, metod i systemów technicznych i organizacyjnych;
2. Jeśli angażujemy jakiś specjalistów do obsługi wynajmowanych mieszkań (hydraulików, elektryków, tzw. "złote rączki", osoby sprzątające) i przekazujemy im dane osobowe pozwalające zidentyfikować lokatorów to również musimy zadbać stosowne upoważnienia lub umowy dotyczące udostępnienia tych danych.

Po zakończeniu umowy najmu:

1. Archiwizujemy niezbędne dane osobowe (wymagane przez przepisy np. finansowe lub te, które mogą być potrzebne do postępowań w sprawach roszczeń);
2. Jeśli otrzymaliśmy jakieś zgody lokatorów na przetwarzanie ich danych osobowych np. dla celów marketingowych to nadal możemy z nich korzystać ale wyłącznie w celu na jaki została udzielona zgoda - zmiana celu wymaga nowej zgody;
3. Dane, które nie są niezbędne a mogą być zniszczone bez naruszenia integralności zbiorów danych (szczególnie ważne w plikach elektronicznych) - niszczymy[2].

Uwagi ogólne:

1. Niezależnie od zakresu naszych działań dotyczących ochrony danych osobowych naszych najemców należy pamiętać o obowiązkach jakie dotyczą firm, w zakresie RODO jak np.:
   1. Potrzeba posiadania polityki ochrony danych,
   2. Konieczność prowadzenia rejestru czynności przetwarzania,

Konieczność założenia rejestru naruszeń ochrony danych:

1. Konieczność przeprowadzenia oceny skutków dla ochrony danych - przy stosowaniu systemów kontroli czasu pracy, kontrolo wejścia do określonych pomieszczeń czy systemów rozliczeniowo-ewidencyjnych operacji bankowych,
2. Konieczność udzielenia pracownikom upoważnień do przetwarzania danych osobowych,
3. Konieczność zawarcia umów powierzenia przetwarzania danych osobowych w przypadku korzystania z usług firm specjalistycznych np. księgowych, informatycznych, prawniczych,

1. Obowiązek ochrony danych osobowych dotyczy wszystkich osób fizycznych także osób prowadzących jednoosobową działalność gospodarczą (nie są osobami prawnymi), ma także zastosowanie w sytuacji gdy umowę zawieramy ze wspólnikami a nie z osobą prawną;
2. Ochrona danych osobowych dotyczy wszelkich nośników danych (papierowych, informatycznych, a także wypowiedzi) i należy stosować adekwatne środki ochrony.

Dodatkowe ważne informacje:

1. Możemy przetwarzać tylko te dane osobowe, które są niezbędne do realizacji celu w jakim zostały udostępnione (przekazane) i tylko przez określony czas;
2. Dane muszą być przechowywane w sposób poprawny merytorycznie, poufny i zapewniający ich integralność;
3. Nie ma obowiązku odbierania od kontrahenta zgody na piśmie lub żądania pisemnego potwierdzenia otrzymaniu klauzuli informacyjnej ale obowiązuje zasada rozliczalności, więc dobrze jest przechowywać maile, w których przesyłaliśmy klauzulę informacyjną itp.

Informacje dotyczące klauzuli informacyjnej - co trzeba podać:

1. Swoją tożsamość i dane kontaktowe,
2. Dane kontaktowe Inspektora Ochrony Danych (jeżeli został powołany), jeśli nie informację pomijamy,
3. Cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania,
4. Informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
5. Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
6. Informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
7. Informacje o prawie wniesienia skargi do organu nadzorczego,
8. Gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, jeśli nie stosujemy to lepiej napisać, że nie będziemy przekazywać
9. Informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
10. Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu - jeżeli ma miejsce - jeśli nie jest stosowane lepiej napisać, iż nie stosujemy
11. Wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

Do oceny sposobów ochrony danych osobowych zalecana jest analiza ryzyka.

[1] Należy koniecznie pamiętać, że klauzulę informacyjną dostarczamy przy PIERWSZYM kontakcie z zainteresowanym np. w mailu reklamowym, w mailu odpowiadającym na otrzymane pytanie, wręczając kartkę (można przechowywać podpisaną kopię) itd.

[2] Uwaga - niszczenie danych osobowych to też przetwarzanie, a więc jeśli powierzamy to zadanie firmie lub osobie również należy spełnić wymagania formalne w zakresie dostępu do danych

DO POBRANIA: Wzór klauzuli informacyjnej

Autorem tekstu jest mgr inż. bud. ląd. Andrzej Petrulewicz Inspektor Ochrony Danych (certyfikat TŰV-SŰD) oraz członek Stowarzyszenia Administratorów Bezpieczeństwa Informacji.