RODO w nieruchomościach: Kiedy ochrona danych nie obowiązuje?

Ochrona danych osobowych stała się tematem niezwykle istotnym w dzisiejszym świecie, a Rozporządzenie Ogólne o Ochronie Danych Osobowych, powszechnie znane jako RODO, reguluje te kwestie w całej Unii Europejskiej. Jednak, choć RODO ma szeroki zakres, istnieją pewne sytuacje, w których ochrona danych osobowych nie obowiązuje. Zrozumienie tych wyjątków jest kluczowe, zarówno dla przedsiębiorców, jak i osób prywatnych, aby prawidłowo poruszać się w gąszczu przepisów. W tym artykule przyjrzymy się bliżej temu, kiedy RODO nie ma zastosowania, kogo dotyczy, a także odpowiemy na najczęściej zadawane pytania związane z ochroną danych osobowych.

Kiedy RODO nie obowiązuje? Wyjątki od reguły

RODO, choć szeroko zakrojone, nie jest wszechobecne. Istnieją jasno określone sytuacje, w których przepisy rozporządzenia nie mają zastosowania. Artykuł 2 ustęp 2 RODO wskazuje na kilka kluczowych wyjątków:

• Działalność nieobjęta prawem Unii Europejskiej: Jeśli przetwarzanie danych osobowych odbywa się w ramach działalności, która nie jest regulowana prawem UE, RODO nie ma zastosowania. Przykładem może być działalność służb specjalnych państw członkowskich w zakresie bezpieczeństwa narodowego, która wykracza poza zakres prawa unijnego.
• Wspólna Polityka Zagraniczna i Bezpieczeństwa: Przetwarzanie danych osobowych przez państwa członkowskie w ramach Wspólnej Polityki Zagranicznej i Bezpieczeństwa również wyłączone jest spod regulacji RODO. Dotyczy to działań o charakterze politycznym i dyplomatycznym na arenie międzynarodowej.
• Czynności o charakterze osobistym lub domowym: To jeden z najczęściej spotykanych wyjątków. RODO nie ma zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze. Przykładem jest prowadzenie prywatnej książki adresowej, organizowanie przyjęcia urodzinowego dla rodziny, czy wysyłanie kartek świątecznych do znajomych. W tych sytuacjach, działając jako osoba prywatna, nie musimy stosować się do wymogów RODO.
• Zapobieganie przestępczości i bezpieczeństwo narodowe: Przetwarzanie danych osobowych przez właściwe organy, gdy celem jest zapobieganie przestępczości, prowadzenie postępowań karnych, wykonywanie kar lub ochrona bezpieczeństwa narodowego, również nie podlega RODO. Dotyczy to działań policji, służb specjalnych i innych organów ścigania w ramach ich ustawowych zadań.

Kogo dotyczy RODO? Szeroki zakres regulacji

RODO ma bardzo szeroki zakres zastosowania i dotyczy praktycznie każdego podmiotu, który przetwarza dane osobowe na terenie Unii Europejskiej. Kluczowym kryterium jest „przetwarzanie danych osobowych”, a definicja tego pojęcia jest bardzo szeroka. Obejmuje ono niemal każdą operację wykonywaną na danych osobowych, od zbierania, poprzez przechowywanie, aż po usuwanie. Nie ma znaczenia wielkość przedsiębiorstwa – RODO dotyczy zarówno dużych korporacji, jak i małych, jednoosobowych działalności gospodarczych. Jeśli prowadzisz salon kosmetyczny, gabinet logopedyczny, hotel, sklep internetowy, czy agencję nieruchomości i przetwarzasz dane osobowe klientów, pacjentów, gości, czy kontrahentów, RODO ma do Ciebie zastosowanie.

Co istotne, RODO dotyczy również podmiotów spoza Unii Europejskiej, jeśli oferują towary lub usługi osobom przebywającym w UE lub monitorują ich zachowanie. Oznacza to, że nawet firmy z siedzibą poza UE, które kierują swoją ofertę do klientów z Polski, Niemiec, czy Francji, muszą przestrzegać przepisów RODO.

Dane osobowe – co to jest?

Aby zrozumieć, kogo i czego dotyczy RODO, musimy zdefiniować pojęcie danych osobowych. RODO definiuje dane osobowe jako „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Katalog danych osobowych jest bardzo szeroki i obejmuje między innymi:

• Imię i nazwisko
• Adres zamieszkania
• Numer PESEL
• Adres e-mail
• Numer telefonu
• Adres IP
• Dane lokalizacyjne
• Zdjęcia i nagrania wideo
• Dane biometryczne (np. odciski palców, rozpoznawanie twarzy)
• Preferencje zakupowe
• Historia przeglądania stron internetowych

Warto podkreślić, że danymi osobowymi są również informacje, które same w sobie nie identyfikują bezpośrednio konkretnej osoby, ale w połączeniu z innymi danymi mogą prowadzić do jej identyfikacji. Przykładem mogą być dane o lokalizacji urządzenia mobilnego, które w połączeniu z innymi informacjami mogą pozwolić na zidentyfikowanie użytkownika.

Dane firmowe, takie jak numer KRS czy firmowy adres e-mail, zazwyczaj nie są uważane za dane osobowe, ponieważ dotyczą osób prawnych, a RODO chroni dane osób fizycznych. Podobnie, dane anonimowe, po których nie można zidentyfikować osoby, nie podlegają ochronie RODO.

Przetwarzanie danych osobowych – szerokie spektrum działań

Pojęcie „przetwarzania danych osobowych” jest kluczowe dla zrozumienia zakresu RODO. Zgodnie z definicją RODO, przetwarzanie danych osobowych to „operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany”. Obejmuje to bardzo szeroki zakres działań, w tym:

• Zbieranie danych (np. poprzez formularze online, ankiety, rozmowy telefoniczne)
• Utrwalanie danych (np. zapisywanie w bazach danych, arkuszach kalkulacyjnych, dokumentach papierowych)
• Organizowanie danych (np. kategoryzowanie, indeksowanie)
• Porządkowanie danych
• Przechowywanie danych
• Adaptowanie lub modyfikowanie danych (np. aktualizacja, poprawianie błędów)
• Pobieranie danych
• Przeglądanie danych
• Wykorzystywanie danych (np. w celach marketingowych, analitycznych)
• Ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie danych (np. przekazywanie danych podmiotom trzecim)
• Dopasowywanie lub łączenie danych
• Ograniczanie przetwarzania danych (np. blokowanie dostępu)
• Usuwanie lub niszczenie danych

Jak widać, definicja przetwarzania danych jest bardzo szeroka i obejmuje niemal każdą czynność związaną z danymi osobowymi. Nawet samo przeglądanie publicznie dostępnych danych może być uznane za przetwarzanie danych osobowych.

Obowiązek informacyjny – kluczowy element RODO

Jednym z fundamentalnych obowiązków wynikających z RODO jest obowiązek informacyjny. Administrator danych osobowych, czyli podmiot, który decyduje o celach i sposobach przetwarzania danych, ma obowiązek poinformować osoby, których dane przetwarza, o szeregu kwestii, w tym:

• Tożsamości i danych kontaktowych administratora
• Celach przetwarzania danych osobowych
• Podstawie prawnej przetwarzania danych
• Kategoriach danych osobowych, które są przetwarzane
• Odbiorcach danych osobowych lub kategoriach odbiorców
• Okresie przechowywania danych osobowych
• Prawach osób, których dane dotyczą (np. prawo dostępu do danych, prawo do sprostowania, prawo do usunięcia danych, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do sprzeciwu)
• Prawie do wniesienia skargi do organu nadzorczego
• Informacji o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, jeśli ma to miejsce

Informacje te muszą być przekazane jasnym i prostym językiem, w sposób zrozumiały dla przeciętnego odbiorcy. Obowiązek informacyjny należy spełnić najpóźniej w momencie pozyskiwania danych osobowych. Najczęściej realizuje się go poprzez umieszczenie klauzuli informacyjnej na stronach internetowych, w formularzach, umowach, czy regulaminach.

PESEL w umowie pośrednictwa nieruchomości – czy jest potrzebny?

W kontekście nieruchomości, często pojawia się pytanie o zasadność żądania numeru PESEL od klienta, na przykład w umowie pośrednictwa. Wielu klientów obawia się przekazywania tak wrażliwych danych, obawiając się nadużyć. Jednak, w wielu przypadkach, podanie numeru PESEL jest uzasadnione i zgodne z RODO.

Numer PESEL pozwala na jednoznaczną identyfikację strony umowy. Jest to istotne nie tylko ze względu na ewentualne dochodzenie roszczeń w przyszłości, ale przede wszystkim w celu uniknięcia sytuacji, w której ktoś podszywa się pod inną osobę i zawiera umowę na jej dane. Bez jednoznacznej identyfikacji stron, umowa może zostać uznana za nieważną.

Oczywiście, agent nieruchomości powinien zweryfikować poprawność numeru PESEL z dokumentem tożsamości klienta oraz potwierdzić jego tożsamość. Pozostałe dane, takie jak imię, nazwisko, adres zamieszkania, również powinny znaleźć się w umowie, aby ułatwić identyfikację i kontakt ze stroną.

Nie ma natomiast potrzeby wpisywania serii i numeru dowodu osobistego. Wystarczające jest podanie numeru PESEL, który jest unikalnym identyfikatorem osoby fizycznej.

Ochrona danych osobowych – co obejmuje RODO?

Ochrona danych osobowych wprowadzona przez RODO jest kompleksowa i obejmuje szereg aspektów. Przede wszystkim, RODO ma na celu zapewnienie osobom fizycznym kontroli nad swoimi danymi osobowymi. Daje im szereg praw, takich jak prawo dostępu do danych, prawo do sprostowania, prawo do usunięcia danych, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do sprzeciwu, oraz prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu.

Ponadto, RODO nakłada na administratorów danych szereg obowiązków, w tym obowiązek informacyjny, obowiązek zapewnienia bezpieczeństwa danych, obowiązek zgłaszania naruszeń ochrony danych osobowych organowi nadzorczemu i osobom, których dane dotyczą, oraz obowiązek prowadzenia dokumentacji przetwarzania danych.

RODO promuje również zasadę minimalizacji danych, co oznacza, że administrator powinien przetwarzać tylko te dane osobowe, które są niezbędne do osiągnięcia określonego celu. Dane powinny być również przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty.

RODO – Rozporządzenie Ogólne o Ochronie Danych Osobowych

RODO, czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych (ang. General Data Protection Regulation – GDPR), to akt prawny Unii Europejskiej, który wszedł w życie 25 maja 2018 roku. Jego celem jest ujednolicenie przepisów dotyczących ochrony danych osobowych w całej Unii Europejskiej i wzmocnienie praw osób fizycznych w zakresie ich danych osobowych.

RODO zastąpiło dotychczasową dyrektywę 95/46/WE i wprowadziło szereg zmian w podejściu do ochrony danych osobowych. Jest to rozporządzenie stosowane bezpośrednio we wszystkich państwach członkowskich UE, co oznacza, że nie wymaga implementacji do prawa krajowego.

Od kiedy RODO obowiązuje w Polsce?

RODO weszło w życie 25 maja 2018 roku w całej Unii Europejskiej, w tym również w Polsce. W Polsce, ochronę danych osobowych reguluje również ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych, która doprecyzowuje niektóre kwestie związane z RODO i dostosowuje polskie prawo do wymogów rozporządzenia.

Podstawy prawne przetwarzania danych osobowych

Zgodnie z RODO, przetwarzanie danych osobowych jest legalne tylko wtedy, gdy opiera się na jednej z podstaw prawnych wymienionych w art. 6 RODO. Dla danych zwykłych, podstawami prawnymi przetwarzania są:

• Zgoda osoby, której dane dotyczą
• Niezbędność przetwarzania do wykonania umowy lub podjęcia działań przedumownych na żądanie osoby, której dane dotyczą
• Niezbędność przetwarzania do wypełnienia obowiązku prawnego ciążącego na administratorze
• Niezbędność przetwarzania do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej
• Niezbędność przetwarzania do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi
• Niezbędność przetwarzania do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, gdy nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą

W przypadku danych osobowych szczególnych kategorii (danych wrażliwych), warunki legalności przetwarzania są bardziej rygorystyczne i określone w art. 9 RODO. Przetwarzanie danych wrażliwych jest co do zasady zabronione, chyba że zachodzi jedna z wyjątków wymienionych w art. 9 ust. 2 RODO, np. wyraźna zgoda osoby, której dane dotyczą, niezbędność przetwarzania do celów profilaktyki zdrowotnej, medycyny pracy, czy ustalenia, dochodzenia lub obrony roszczeń.

RODO a ochrona danych osobowych dzieci

RODO zwraca szczególną uwagę na ochronę danych osobowych dzieci. W przypadku usług społeczeństwa informacyjnego oferowanych bezpośrednio dziecku, przetwarzanie danych osobowych dziecka jest legalne, jeśli dziecko ma co najmniej 16 lat. Jeśli dziecko ma mniej niż 16 lat, przetwarzanie danych jest legalne tylko wtedy, gdy zgody udzieli lub ją zatwierdzi przedstawiciel ustawowy dziecka (np. rodzic).

Wiek 16 lat może być obniżony przez państwa członkowskie do 13 lat. W Polsce, wiek graniczny wynosi 16 lat.

Dane osobowe wrażliwe – szczególna ochrona

RODO wyróżnia szczególne kategorie danych osobowych, zwane danymi wrażliwymi, które podlegają szczególnej ochronie. Są to:

• Dane ujawniające pochodzenie rasowe lub etniczne
• Dane ujawniające poglądy polityczne
• Dane ujawniające przekonania religijne lub światopoglądowe
• Dane ujawniające przynależność do związków zawodowych
• Dane genetyczne
• Dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej
• Dane dotyczące zdrowia
• Dane dotyczące seksualności lub orientacji seksualnej

Przetwarzanie danych wrażliwych jest co do zasady zabronione, chyba że zachodzi jedna z wyjątków wymienionych w art. 9 ust. 2 RODO, np. wyraźna zgoda osoby, której dane dotyczą, niezbędność przetwarzania do celów profilaktyki zdrowotnej, medycyny pracy, czy ustalenia, dochodzenia lub obrony roszczeń.

Inspektor Ochrony Danych (IOD) – kto to jest?

Inspektor Ochrony Danych (IOD), zwany również Data Protection Officer (DPO), to osoba wyznaczona przez administratora danych w celu monitorowania przestrzegania przepisów RODO w organizacji. IOD pełni rolę doradczą i kontrolną, a jego zadaniem jest m.in.:

• Informowanie i doradzanie administratorowi i pracownikom w zakresie obowiązków wynikających z RODO
• Monitorowanie przestrzegania RODO w organizacji, w tym polityk ochrony danych, szkoleń pracowników i audytów
• Współpraca z organem nadzorczym (w Polsce Prezesem Urzędu Ochrony Danych Osobowych)
• Punkt kontaktowy dla organu nadzorczego w sprawach związanych z ochroną danych
• Punkt kontaktowy dla osób, których dane dotyczą, w sprawach związanych z przetwarzaniem ich danych osobowych

Wyznaczenie IOD jest obowiązkowe w określonych przypadkach, np. gdy przetwarzanie danych jest dokonywane przez organ lub podmiot publiczny, gdy główna działalność administratora polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania na dużą skalę, lub gdy główna działalność administratora polega na przetwarzaniu na dużą skalę danych wrażliwych.

Gdzie zgłaszać naruszenie ochrony danych osobowych?

W przypadku naruszenia ochrony danych osobowych, osoba, której dane dotyczą, ma prawo złożyć skargę do organu nadzorczego. W Polsce, organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych (PUODO).

Skargę do PUODO można złożyć elektronicznie (poprzez platformę ePUAP) lub pocztą tradycyjną na adres Urzędu. Skarga powinna zawierać dane skarżącego, dane administratora danych, opis naruszenia oraz żądania skarżącego.

Kary za naruszenie RODO

RODO przewiduje wysokie kary za naruszenie przepisów o ochronie danych osobowych. Kary mogą być administracyjne kary pieniężne, nakładane przez organ nadzorczy, oraz odpowiedzialność karna i cywilna.

Administracyjne kary pieniężne mogą wynosić do 20 milionów euro lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która kwota jest wyższa. Wysokość kary zależy od rodzaju i wagi naruszenia, umyślności lub nieumyślności działania, działań podjętych w celu minimalizacji szkody, oraz innych czynników.

Polska ustawa o ochronie danych osobowych przewiduje również odpowiedzialność karną za niektóre naruszenia RODO, np. nieuprawnione przetwarzanie danych osobowych. Kara może wynosić grzywnę, karę ograniczenia wolności lub pozbawienia wolności do lat dwóch.

Ponadto, osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo do odszkodowania od administratora danych.

Prawo do bycia zapomnianym – usuwanie danych

Prawo do bycia zapomnianym, czyli prawo do usunięcia danych, to jedno z kluczowych praw osób, których dane dotyczą, wynikających z RODO. Osoba fizyczna ma prawo żądać od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek usunąć te dane bez zbędnej zwłoki, jeśli zachodzi jedna z przesłanek wymienionych w art. 17 RODO, np.:

• Dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane
• Osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie, i nie ma innej podstawy prawnej przetwarzania
• Osoba, której dane dotyczą, wnosi sprzeciw wobec przetwarzania i nie istnieją nadrzędne prawnie uzasadnione podstawy przetwarzania
• Dane osobowe były przetwarzane niezgodnie z prawem
• Dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego

Administrator może odmówić usunięcia danych w określonych przypadkach, np. gdy przetwarzanie jest niezbędne do korzystania z prawa do wolności wypowiedzi i informacji, do wywiązania się z obowiązku prawnego, lub do ustalenia, dochodzenia lub obrony roszczeń.

Zasady przetwarzania danych osobowych według RODO

RODO określa fundamentalne zasady przetwarzania danych osobowych, które administratorzy danych muszą przestrzegać. Zasady te to:

• Zgodność z prawem, rzetelność i przejrzystość
• Ograniczenie celu – dane muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach
• Minimalizacja danych – dane muszą być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów przetwarzania
• Prawidłowość – dane muszą być prawidłowe i w razie potrzeby uaktualniane
• Ograniczenie przechowywania – dane muszą być przechowywane w formie umożliwiającej identyfikację osób przez okres nie dłuższy, niż jest to niezbędne do celów przetwarzania
• Integralność i poufność – dane muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem
• Rozliczalność – administrator jest odpowiedzialny za przestrzeganie zasad przetwarzania danych i musi być w stanie wykazać ich przestrzeganie

Prawo dostępu do danych i prawo do przenoszenia danych

RODO przyznaje osobom, których dane dotyczą, prawo dostępu do danych osobowych oraz prawo do przenoszenia danych.

Prawo dostępu do danych oznacza, że osoba fizyczna ma prawo do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli tak, to prawo do uzyskania dostępu do tych danych oraz informacji o przetwarzaniu, w tym m.in. o celach przetwarzania, kategoriach danych, odbiorcach danych, okresie przechowywania danych, prawach przysługujących osobie, której dane dotyczą.

Prawo do przenoszenia danych oznacza, że osoba fizyczna ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz prawo przesłać te dane innemu administratorowi, bez przeszkód ze strony administratora, któremu dostarczono te dane.

Najczęściej zadawane pytania (FAQ)

Czy RODO dotyczy małych firm?

Tak, RODO dotyczy wszystkich podmiotów przetwarzających dane osobowe na terenie UE, niezależnie od ich wielkości.

Czy numer PESEL jest daną osobową?

Tak, numer PESEL jest daną osobową, ponieważ pozwala na identyfikację osoby fizycznej.

Czy mogę wysyłać e-maile marketingowe bez zgody?

Nie, co do zasady, wysyłanie e-maili marketingowych wymaga uzyskania uprzedniej zgody odbiorcy. Wyjątki mogą dotyczyć sytuacji, gdy marketing dotyczy produktów lub usług podobnych do tych, które klient już nabył, i pod pewnymi warunkami.

Co zrobić, gdy doszło do wycieku danych osobowych?

Należy zgłosić naruszenie ochrony danych osobowych organowi nadzorczemu (PUODO) w ciągu 72 godzin od stwierdzenia naruszenia, a w niektórych przypadkach również poinformować osoby, których dane dotyczą.

Jak długo mogę przechowywać dane osobowe?

Dane osobowe powinny być przechowywane przez okres nie dłuższy, niż jest to niezbędne do celów, w których są przetwarzane. Okres przechowywania danych powinien być określony w polityce retencji danych.

RODO to kompleksowe rozporządzenie, które wprowadziło istotne zmiany w ochronie danych osobowych. Zrozumienie jego zasad i wyjątków jest kluczowe dla każdego, kto przetwarza dane osobowe, zarówno w kontekście zawodowym, jak i prywatnym. Miejmy nadzieję, że ten artykuł pomógł Ci lepiej zrozumieć RODO i jego wpływ na nasze codzienne życie.

Zainteresował Cię artykuł RODO w nieruchomościach: Kiedy ochrona danych nie obowiązuje?? Zajrzyj też do kategorii Nieruchomości, znajdziesz tam więcej podobnych treści!