
Krótki poradnik - RODO a Mieszkanicznik
Chcemy wynająć mieszkanie:
- Opracowujemy klauzulę informacyjną[1] (od tego nie ma ucieczki i każdy musi ją dostosować do swoich warunków - zawartość w pkt 6);
- Sprawdzamy/określamy:
Czy mamy pracowników (umowa o pracę) lub stałych współpracowników (częste umowy zlecenia lub o dzieło z tymi samymi osobami):
- Jeśli TAK - musimy przygotować "Rejestr czynności przetwarzania" (możemy przygotować samodzielnie - wzór jest opublikowany na stronie Urzędu Ochrony Danych)
- Jeśli NIE - idziemy dalej,
Czy wśród danych osobowych, które będziemy zbierać od naszych najemców będą szczególne kategorie danych osobowych (pochodzenie rasowe lub etniczne, zdrowie, dane biometryczne, itd. Art. 9 RODO):
- Jeśli TAK - lepiej zrezygnować ewentualnie kontaktujemy się ze specjalistą
- Jeśli NIE - idziemy dalej,
Czy mamy stronę www naszej działalności:
- Jeśli TAK - wprowadzamy klauzulę informacyjną na stronę
- Jeśli NIE - idziemy dalej,
Czy zgłaszanie zainteresowania naszą ofertą odbywa się przez stronę internetową:
- Jeśli TAK - musimy pamiętać, iż okienka wyboru (check boxy) nie mogą być domyślnie zaznaczone na tak - zaznaczenie na TAK musi być świadomym działaniem naszego kontrahenta
- Jeśli NIE- idziemy dalej,
Czy mamy adres mailowy, na który będą przychodziły pytania, zgłoszenia itp. sprawach najmu:
- Jeśli TAK - wprowadzamy klauzulę informacyjną w stopce nadawcy (ew. może być skrócona informacja i link do strony, na której można się zapoznać z całą klauzulą informacyjną
- Jeśli NIE (co chyba nieprawdopodobne) - idziemy dalej,
Czy mamy serwis telefoniczny służący do kontaktów w sprawach nieruchomości:
- Jeśli TAK - programujemy opcję aby rozmówca po wciśnięciu wskazanego przycisku mógł wysłuchać nagranej klauzuli informacyjnej
- Jeśli NIE - idziemy dalej.
Mamy czynną umowę najmu:
- Dbamy o właściwe, bezpieczne i integralne przechowywanie danych osobowych - nie ma przepisów szczegółowych określających warunki przechowywania - to administrator danych osobowych decyduje jak je chroni aby zapewnić ich integralność i bezpieczeństwo i równocześnie w razie kontroli lub zaistnienia naruszenia bezpieczeństwa danych osobowych to on będzie musiał wykazać dlaczego dokonał wyboru takich środków, metod i systemów technicznych i organizacyjnych;
- Jeśli angażujemy jakiś specjalistów do obsługi wynajmowanych mieszkań (hydraulików, elektryków, tzw. "złote rączki", osoby sprzątające) i przekazujemy im dane osobowe pozwalające zidentyfikować lokatorów to również musimy zadbać stosowne upoważnienia lub umowy dotyczące udostępnienia tych danych.
Po zakończeniu umowy najmu:
- Archiwizujemy niezbędne dane osobowe (wymagane przez przepisy np. finansowe lub te, które mogą być potrzebne do postępowań w sprawach roszczeń);
- Jeśli otrzymaliśmy jakieś zgody lokatorów na przetwarzanie ich danych osobowych np. dla celów marketingowych to nadal możemy z nich korzystać ale wyłącznie w celu na jaki została udzielona zgoda - zmiana celu wymaga nowej zgody;
- Dane, które nie są niezbędne a mogą być zniszczone bez naruszenia integralności zbiorów danych (szczególnie ważne w plikach elektronicznych) - niszczymy[2].
Uwagi ogólne:
- Niezależnie od zakresu naszych działań dotyczących ochrony danych osobowych naszych najemców należy pamiętać o obowiązkach jakie dotyczą firm, w zakresie RODO jak np.:
- Potrzeba posiadania polityki ochrony danych,
- Konieczność prowadzenia rejestru czynności przetwarzania,
Konieczność założenia rejestru naruszeń ochrony danych:
- Konieczność przeprowadzenia oceny skutków dla ochrony danych - przy stosowaniu systemów kontroli czasu pracy, kontrolo wejścia do określonych pomieszczeń czy systemów rozliczeniowo-ewidencyjnych operacji bankowych,
- Konieczność udzielenia pracownikom upoważnień do przetwarzania danych osobowych,
- Konieczność zawarcia umów powierzenia przetwarzania danych osobowych w przypadku korzystania z usług firm specjalistycznych np. księgowych, informatycznych, prawniczych,
- Obowiązek ochrony danych osobowych dotyczy wszystkich osób fizycznych także osób prowadzących jednoosobową działalność gospodarczą (nie są osobami prawnymi), ma także zastosowanie w sytuacji gdy umowę zawieramy ze wspólnikami a nie z osobą prawną;
- Ochrona danych osobowych dotyczy wszelkich nośników danych (papierowych, informatycznych, a także wypowiedzi) i należy stosować adekwatne środki ochrony.
Dodatkowe ważne informacje:
- Możemy przetwarzać tylko te dane osobowe, które są niezbędne do realizacji celu w jakim zostały udostępnione (przekazane) i tylko przez określony czas;
- Dane muszą być przechowywane w sposób poprawny merytorycznie, poufny i zapewniający ich integralność;
- Nie ma obowiązku odbierania od kontrahenta zgody na piśmie lub żądania pisemnego potwierdzenia otrzymaniu klauzuli informacyjnej ale obowiązuje zasada rozliczalności, więc dobrze jest przechowywać maile, w których przesyłaliśmy klauzulę informacyjną itp.
Informacje dotyczące klauzuli informacyjnej - co trzeba podać:
- Swoją tożsamość i dane kontaktowe,
- Dane kontaktowe Inspektora Ochrony Danych (jeżeli został powołany), jeśli nie informację pomijamy,
- Cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania,
- Informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
- Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu,
- Informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych,
- Informacje o prawie wniesienia skargi do organu nadzorczego,
- Gdy ma to zastosowanie - informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, jeśli nie stosujemy to lepiej napisać, że nie będziemy przekazywać
- Informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych,
- Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu - jeżeli ma miejsce - jeśli nie jest stosowane lepiej napisać, iż nie stosujemy
- Wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
Do oceny sposobów ochrony danych osobowych zalecana jest analiza ryzyka.
[1] Należy koniecznie pamiętać, że klauzulę informacyjną dostarczamy przy PIERWSZYM kontakcie z zainteresowanym np. w mailu reklamowym, w mailu odpowiadającym na otrzymane pytanie, wręczając kartkę (można przechowywać podpisaną kopię) itd.
[2] Uwaga - niszczenie danych osobowych to też przetwarzanie, a więc jeśli powierzamy to zadanie firmie lub osobie również należy spełnić wymagania formalne w zakresie dostępu do danych
DO POBRANIA: Wzór klauzuli informacyjnej
Autorem tekstu jest mgr inż. bud. ląd. Andrzej Petrulewicz Inspektor Ochrony Danych (certyfikat TŰV-SŰD) oraz członek Stowarzyszenia Administratorów Bezpieczeństwa Informacji.
Dodaj komentarz
Musisz się zalogować, aby móc dodać komentarz.