zamknij
Nasz portal stosuje pliki cookies w celach świadczenia Państwu usług na najwyższym poziomie oraz w celach statystycznych i reklamowych. Konfigurację obsługi plików cookies możecie Państwo znaleźć w ustawieniach swojej przeglądarki. Więcej szczegółów w naszej polityce cookies.
PFRN
Panel użytkownika
Zaloguj jako pośrednik / zarządca  
„RODOwirus” sieje postrach…

 

Strach przed RODO w maju osiągnął swoje apogeum. Niestety z całą odpowiedzialnością muszę stwierdzić, że świadomość w tym temacie jest na poziomie niezmiernie niskim. Obserwując szkolenia i poruszane przez ludzi problem czy komentarze również w mediach społecznościowych, stwierdzam jednoznacznie, że obowiązująca od 20 lat ustawa w praktyce w wielu przypadkach nie jest stosowana, a jej zrozumienie jest dalekie od podstawowego poziomu, bo zadawalającym nawet nie wspominam. 

 

Skąd się bierze taka panika i strach przed RODO?

Niestety wychodzi na to, że wszystko ma swoje źródło w łamaniu obowiązującego od 20 lat prawa(!) Wiele osób dalej nie rozumie czym są „dane osobowe” czy, co to jest „przetwarzanie danych osobowych”, a przecież wystarczy trochę poczytać na stronach GIODO (choćby decyzje, które zostały wydane przez Generalnego Inspektora Ochrony Danych Osobowych w ciągu ostatnich 10 lat o samej ustawie i rozporządzeniu już nawet nie wspominam) albo przygotowane zestawy poradników np. [ zobacz tutaj ].

 

Zaglądając na portal e-GIODO wystarczy sprawdzić ile jest zgłoszonych zbiorów danych osobowych biur nieruchomości i zestawić tę liczbę z liczbą podmiotów działających na rynku. W tym momencie można już wstępnie określić skalę problemu. Jestem również przekonany (niemal pewny), że spora część z biur, które zarejestrowały swoje zbiory danych osobowych nie dopełniła obowiązków nie tylko technicznych ale głównie organizacyjnych mających na celu ochronę danych osobowych.

 

W dużym uproszczeniu można stwierdzić, że RODO to ogromne wyzwanie dla wszystkich pośredników i wszystkich innych przedsiębiorców, którzy na dzień dzisiejszy nie dopełnili obowiązków wynikających z aktualnie obowiązującej ustawy. I właśnie te osoby mają się czego bać, a zważywszy na ewentualne kary czy konsekwencje, to faktycznie „strach może mieć wielkie oczy”.

 

Osobiście na początku obowiązywania RODO (po 25 maja 2018) przez kilka miesięcy nie obawiam się specjalnie działań „nowego” UODO, ponieważ jak wynika z doniesień medialnych nie mają budżetu na wykonanie zadań nałożonych ustawą, doświadczonej w odpowiedniej ilości kadry, a i przepisy wprowadzające ustawę o ochronie danych osobowych wejdą w życie z opóźnieniem, co oznacza, że ponad dwieście ustaw nie będzie dostosowana do unijnego rozporządzenia. 

 

Znacznie bardziej obawiam się działań i pomysłów różnych fundacji, stowarzyszeń (tzw. łowców klauzul 2.0), zwyczajnego niezrozumienia ustawy (rozporządzenia) w tym wybiórczego stosowania jego postanowień. Niestety obawiam się również powtórki sytuacji jaka miała miejsce w pierwszych latach po wejściu w życie aktualnie obowiązującej ustawy o ochronie danych osobowych (1998-2002) czyli nadinterpretacji jej przepisów i zasłaniania się nimi przy byle okazji w szczególności przez urzędników.

 

RODO nie wskazuje środków technicznych i organizacyjnych, jakie administrator danych powinien zastosować w celu zapewnienia właściwej ochrony przetwarzanym danym. Dotyczy to zarówno danych przetwarzanych w sposób tradycyjny (w postaci papierowej), jak i danych przetwarzanych przy użyciu systemów informatycznych. RODO stanowi jedynie, że środki, jakie administrator jest zobowiązany zastosować, powinny być odpowiednie do zakresu, kontekstu i celu, a także ryzyka naruszenia ochrony przetwarzanych danych. W tym akcie prawnym (w przeciwieństwie do dzisiaj obowiązującej ustawy i rozporządzenia) nie znajdziemy podpowiedzi, jakie działania należy podjąć.

 

Dla pośredników zwolnienie z obowiązku rejestracji zbiorów danych osobowych jest na pewno dobrym rozwiązaniem, choć z drugiej strony zostajemy obciążeni obowiązkiem prowadzenia rejestru czynności przetwarzania. Również zmiana definicji danych wrażliwych (szczególnie chronionych) jest rozwiązaniem jak najbardziej pozytywnym, co pozwala nam uniknąć pewnych obowiązków. Jedną z najważniejszych zmian jest również zwiększenie zakresu informacji, które należy przekazać. Od 25 maja 2018 r. administratorzy danych będą musieli poinformować również m.in. o okresie, przez który dane osobowe będą przetwarzane (retencja danych), o ewentualnym fakcie profilowania i jego konsekwencjach, jak też o danych kontaktowych inspektora ochrony danych, jeżeli został on wyznaczony. Warto więc zapoznać się z art. 13 i art. 14 rozporządzenia oraz przeglądnąć stosowane obecnie klauzule informacyjne i przeanalizować, jakie treści należy zmienić, a jakie uzupełnić.

 

Co tak naprawdę dzisiaj muszą zrobić dodatkowo („standardowe”) biura pośrednictwa w części organizacyjnej?

  1. Zaktualizować (rozszerzyć) tzw. obowiązek informacyjny (który już dzisiaj wynika z art. 24, 25 i 32 UoODO);
  2. Stworzyć i prowadzić rejestr czynności przetwarzania danych (który w zasadzie zastępuje obowiązek zgłoszenia zbiorów danych do GIODO – dzisiaj art. 40 i 41 UoODO);
  3. Zmodyfikować posiadaną politykę bezpieczeństwa (unijne rozporządzenie nie wskazuje wprost konieczności jej posiadania, ale wielokrotnie odwołuje się do niej) i instrukcję zarządzania systemem informatycznym (aktualnie art. 36, ust 2, 37, 38, 39 i przepisy wykonawcze);
  4. Zmodyfikować (w niektórych przypadkach nieznacznie) umowy powierzenia (dzisiejszy art. 31 UoODO);
  5. Zmodyfikować (nieznacznie albo wcale) dotychczas posiadaną dokumentację (aktualnie art. 36, ust 2, 37, 38, 39 i przepisy wykonawcze);
  6. Pamiętać na przyszłość o dwóch zasadach „privacy by design” i „privacy by default”; oraz o „zasadzie minimalizacji danych” i ewentualnej konieczności zgłoszenia naruszenia ochrony danych;

    I to w „sporym uproszczeniu” wszystko w części organizacyjnej…

 

Jeśli chodzi natomiast o część techniczną, to aby „nie wymyślać koła na nowo” najlepiej zerknąć do dzisiaj obowiązującej ustawy, a w szczególności rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Oczywiście nie zawsze trzeba stosować wszystkie czy „przesadne” wymogi techniczne. Np. czy zasada tzw. „czystego biurka” musi być stosowane bezwzględnie? NIE, nie musi być np. w pomieszczeniu do którego nie mają dostępu klienci i osoby trzecie. Czy okna biura muszą być okratowane lub obklejone folią antywłamaniową? NIE, nie muszą np. w sytuacji kiedy lokal nie znajdują się na parterze, a dostęp do nich jest utrudniony lub mamy inne zabezpieczenia, itp…, itd…

 

Wychodzi na to, że osoby, które dzisiaj spełniają wymogi obowiązującego prawa nie mają czego się obawiać. Pozostali… no cóż… mają znacznie więcej pracy, która może wygenerować nie małe koszty, ale takie są właśnie skutki zaniedbań w przeszłości…

 

Czy strach przed RODO ma wielkie oczy? To zależy w które oczy zaglądnąć… Inaczej mówiąc potrzebne było rozporządzenie unijne, żeby spora część polskich przedsiębiorców po 20 latach zaczęła bardziej interesować się obowiązującym prawem. A swoją drogą, to ciekawe gdzie byli i co robili przez ostatnie 20 lat Ci wszyscy „eksperci” którzy dzisiaj na pytanie o RODO na „fejsie” zamieszczają komentarze typu: „zapraszamy do kontaktu, chętnie pomożemy”, albo “zapraszam na priv, mogę pomóc” … :D Równolegle jednak ze względu na niską świadomość w zakresie ochrony danych osobowych i aby sobie i innym nie wywrócić życia do góry nogami polecam szkolenia, ale nie "jakieś tam ogólne" gdzie cytuje się treść rozporządzenia i prowadzi akademickie rozważania, ale takie prowadzone przez rozsądne osoby rozumiejące temat od strony praktycznej w danej branży.

 

Z praktycznego punktu widzenia (przynajmniej dla mnie) najważniejszym pytaniem pozostaje: jak poważne "powikłania" wywoła "RODOwirus" i jak bardzo odczujemy to na własnej skórze w kolejnych miesiącach, a może nawet latach!?

 

 

 

 Leszek A. Hardek 

Przewodniczący Kapituły im. Kląskały
Ekspert Polskiej Federacji Rynku Nieruchomości
ENF, doradca, pośrednik i zarządca nieruchomości

[ maj 2018 ]

 

 

Sprawdź pośrednika
Sprawdź zarządcę
DOŁĄCZ DO SIECI
Facebook Twitter Youtube
PFRN poleca
Jak uzyskać tytuł specjalisty?
dodaj swoją wizytówkę firmową