Deweloper zobowiązany do ochrony danych osobowych potencjalnego klienta

Ustawa deweloperska oprócz wielu szeroko omówionych już zapisów wprowadza obowiązek zapewnienia przez dewelopera ochrony danych osobowych, uzyskanych w trakcie realizacji przedsięwzięcia deweloperskiego. Jego zlekceważenie może skutkować sankcjami finansowymi, a nawet odpowiedzialnością karną. Jakie jest zatem rozwiązanie?

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (art. 3 ust. 2 pkt 2) nakazuje ochronę owych danych również osobom fizycznym lub prawnym oraz jednostkom organizacyjnym nie będącym osobami prawnymi, jeżeli:

  • przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, a jednocześnie
  • mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej lub
  • przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej.

Zapis ten oznacza, iż deweloper, prowadzący swoją działalność jako osoba fizyczna, osoba prawna bądź też jednostka organizacyjna nie posiadająca osobowości prawnej, będzie podlegał przepisom ustawy o ile będzie miał miejsce zamieszkania lub siedzibę na terytorium Rzeczypospolitej Polskiej, albo będzie przetwarzał dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej.

Przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie wykonywane w systemach informatycznych. Dane osobowe korzystają z ochrony przewidzianej ww. ustawą już wówczas, jeżeli tylko mogą znaleźć się w zbiorze danych osobowych, bez względu na to, czy się w nim ostatecznie znalazły.

Zbiorem danych osobowych jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Na mocy bowiem postanowienia Sądu Najwyższego z dnia 11 grudnia 2000r. (IIKKN 438/00) każdy ma prawo do ochrony dotyczących go danych osobowych, a nie jedynie ten, kogo dane znalazły się już w zbiorze.

Kiedy zatem deweloper będzie obowiązany do ochrony uzyskanych w trakcie przedsięwzięcia deweloperskiego danych osobowych?

Zgodnie z art. 18 ustawy deweloperskiej deweloper na żądanie osoby zainteresowanej zawarciem umowy, nieodpłatnie doręcza prospekt informacyjny wraz z załącznikami, na trwałym nośniku informacji, pobierając uprzednio dane osobowe od potencjalnego nabywcy (co umożliwi deweloperowi wykazanie w przyszłości realizacji tego obowiązku wobec określonej osoby, co więcej osoba otrzymująca prospekt informacyjny powinna potwierdzić fakt jego otrzymania- tj. dowód doręczenia). Oczywiste jest, że w tym momencie powstają dla dewelopera także obowiązki wobec GIODO i osoby przekazującej swoje dane osobowe.

Deweloper będzie musiał dopełnić obowiązku zgłoszenia zbioru do rejestracji w prowadzonym przez GIODO ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych. Ponadto z art. 41 ust. 2 ustawy o ochronie danych osobowych, deweloper-administrator danych będzie obowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji zawartych w zgłoszeniu, w terminie 30 dni od dnia dokonania zmiany w zbiorze. Jeżeli zmiana dotyczy rozszerzenia zakresu przetwarzanych danych o dane szczególnie chronione, o których mowa w art. 27 ust. 1 ustawy, to stosownie do treści art. 41 ust. 3 ustawy administrator ma obowiązek jej zgłoszenia przed dokonaniem zmiany w zbiorze (dotyczy to np. zmiany nazwy administratora danych, adresu jego siedziby czy zakresu danych osobowych przetwarzanych w zbiorze). Samo zgłoszenie zbioru danych do GIODO nie wyczerpuje jednak obowiązków dewelopera. Musi on stosować takie zabezpieczenia systemowe, aby chronić dane przed ich udostępnieniem osobom nieupoważnionym, uszkodzeniem lub zniszczeniem. Wiąże się to z ponoszeniem przez dewelopera niemałych kosztów finansowych. Środki techniczne i organizacyjne muszą bowiem zapewnić przetwarzanym danym poufność, integralność, dostępność, autentyczność i niezawodność.

Możliwe sankcje karne

Zgodnie z treścią art. 49 ust. 1 ustawy o ochronie danych osobowych, kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Natomiast zgodnie z art. 53 ustawy o ochronie danych osobowych, kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Przestępstwo polegające na nieuprawnionym przetwarzaniu danych jest powszechnym i ma charakter formalny, a więc może je popełnić każdy i bez znaczenia jest przy tym fakt, czy nastąpił jakikolwiek skutek tego przestępstwa.

Ustawa deweloperska, zmusza więc deweloperów do podjęcia konkretnych działań w zakresie ochrony danych osobowych. Rodzi to dodatkowe koszty, a zignorowanie tego obowiązku będzie jednak niezgodne z prawem i może skutkować odpowiedzialnością karną deweloperów oraz utratą wizerunku tak istotnego na rynku usług deweloperskich.

Rozwiązanie? Internetowy Rejestr Przedsięwzięć Deweloperskich – irpd.pl

W tym kontekście ciekawym rozwiązaniem może być powierzenie zabezpieczenia i przetwarzania danych osobowych innemu podmiotowi. Możliwość taka wynika wprost z art. 31 ust. 1 ustawy o ochronie danych osobowych, zgodnie z którym administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Zgodnie z treścią art. 31 ust. 2 ustawy, podmiot, któremu powierzono dane, może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie. Podkreślić należy, iż podmiot taki obowiązany jest przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych oraz spełnić wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

W zakresie zabezpieczenia danych osobowych podmiot, któremu powierzono przetwarzanie danych ponosi odpowiedzialność jak administrator danych. Do powierzenia danych przez ich administratora nie jest wymagana zgoda osoby, której dane dotyczą. Ustawa wymaga natomiast, aby umowa łącząca zleceniodawcę i zleceniobiorcę zawarta była na piśmie oraz wyraźnie określała zakres i cel przetwarzania danych.

Przykładem podmiotu, któremu deweloperom będzie mógł zlecić wykonywanie zadań w zakresie ochrony danych osobowych jest pierwszy w Polsce Internetowy Rejestr Przedsięwzięć Deweloperskich. iRPD.PL umożliwia on-line deweloperom kompleksową realizację obowiązków wynikających z ustawy deweloperskiej m.in.:

  • zainicjowanie procedury doręczenia prospektu informacyjnego wraz z załącznikami (także ich zmian) połączone z rozpoczęciem sprzedaży;
  • automatyczne doręczenie prospektu informacyjnego wraz z załącznikami po zgłoszeniu żądania przez osobę zainteresowaną zawarciem umowy deweloperskiej,
  • pozyskanie dokumentacji niezbędnej do prawidłowego przeprowadzenia procedur związanych z zawarciem umowy deweloperskiej (m.in. oświadczeń osoby zainteresowanej zawarciem umowy deweloperskiej np. zgody na doręczenie informacji o zmianie prospektu informacyjnego lub załącznika w formie innej, niż ta w której został doręczony prospekt informacyjny wraz z załącznikami, a także oświadczeń nabywcy).
PRportal.pl – informacje prasowe dla biznesu