Jakich obowiązków należy dopełnić jako firma zarządzająca aby spełnić wymagania RODO wchodzące w życie 25 maja 2018r?

Przedstawione pytanie jest bardzo ogólne, a sama treść rozporządzenia niestety nie daje uniwersalnych i jednoznacznych odpowiedzi w zakresie spełnienia wymagań stawianych przez nową regulację z zakresu ochrony danych osobowych. Wdrożone procedury i środki w zakresie ochrony danych osobowych mają być indywidualnie dobierane przez podmioty administrujące i przetwarzające dane osobowe. Jednak dobór ten ma odbywać się zgodnie z ogólnymi regułami wyrażonymi w treści rozporządzenia. Poniżej przedstawiono zatem ogólną charakterystykę rozporządzenia w odniesieniu do specyfiki zarządcy nieruchomości. RODO czyli Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE nazywane bywa też ogólnym rozporządzeniem o ochronie danych. 25 maja 2018 roku rozporządzenie zgodnie z systematyką aktów prawnych Unii Europejskiej zacznie być bezpośrednio stosowane na całym terytorium Wspólnoty. Będzie stosowane niemal powszechnie do wszystkich podmiotów, które wykonują operacje na danych osobowych, tzn. gromadzą i/lub przetwarzają dane osobowe i to niezależnie czy prowadzą działalność gospodarczą czy też nie. Zakres rozporządzenia nie będzie miał natomiast zastosowania w zakresie danych osobowych, na których operacje będą podejmowane przez osoby fizyczne jedynie w zakresie działań o charakterze osobistym lub na potrzeby domowe. W tym kontekście, trzeba wskazać, że firma zarządzająca nie będzie administratorem danych osobowych w rozumieniu rozporządzenie RODO. Administratorami będą właściciele wynajmowanych nieruchomości, w odniesieniu do lokatorów/najemców. Administratorem będzie wspólnota czy spółdzielnia mieszkaniowa w stosunku m.in. co do swoich członków. Osoby te będą bowiem podmiotami gromadzącymi i zapewne przetwarzającymi dane osobowe. Jako przykładowe zbiory przetrzymywanych danych osobowych wskazać można dane najemców, członków wspólnoty, członków spółdzielni, dane kontrahentów. Dane ewentualnych dłużników. Podmioty te będą administratorem danych osobowych, który to zgodnie z definicją zawartą w RODO jest podmiotem, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Co istotne administratorem nie będzie zarząd wspólnoty czy spółdzielni, ponieważ nie jest on podmiotem od nich niezależnym. Zarządca nie zawsze będzie zatem administratorem danych osobowych, często działa on na zlecenie wskazanych powyżej administratorów danych osobowych. Zarządca będzie wówczas traktowany jako „podmiot przetwarzający” dane osobowe, ale nie ich administrator. W powyższym kontekście niezmiernie istotny jest odpowiedni dobór odpowiednich środków w zakresie organizacji czynności przy powierzonym przetwarzaniu danych osobowych. Musi on być zgodny z wytycznymi określonymi w regulacji Unii Europejskiej. Podmiot przetwarzający również odpowiada za ewentualne naruszenia reguł przetwarzania danych osobowych. Jego odpowiedzialność będzie jednak solidarna z administratorem. To znaczy, że za naruszenia, których dopuści zarządca jako podmiot przetwarzający dane osobowe odpowiedzialność wspólnie ponoszą administrator i podmiot przetwarzający. Podmioty współpracujące z zarządcą, będą zatem zapewne oczekiwały zapewnienia o spełnieniu przez zarządcę wymogów stawianych przez RODO. Samo rozporządzenie przewiduje nawet dwie urzędowe procedury potwierdzenia spełnienie wymogów regulacji w zakresie ochrony danych osobowych, jest nim stosowanie zatwierdzonego przez Urząd Ochrony Danych Osobowych kodeksu postępowania lub wystąpienie o przeprowadzenie kontroli i wydanie certyfikatu. W odniesieniu do zarządcy jako podmiotu przetwarzającego istotne jest, że z administratorem danych osobowych musi on mieć zawartą umowę powierzenia przetwarzania danych osobowych. Umowa powinna być zawarta w formie pisemnej, akceptowalna jest też forma elektroniczna. Zgodnie z art. 28 ust. 3 RODO umowa, o której mowa powyżej powinna określać w szczególności: - przetwarzanie następuję wyłącznie na udokumentowane polecenie administratora; - osoby upoważnione do przetwarzania danych zobowiązane są do zachowania tajemnicy; - stosowane są środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania danych (szyfrowanie, poufność, integralność, dostępność, odporność systemów, zdolność przywrócenia); - zasady wsparcia administratora poprzez odpowiednie środki techniczne i organizacyjne w odpowiedzi na żądania osób, których dane są przetwarzane i współpracy stron w zakresie wykazania spełnienia wymagań RODO; - instrukcje postępowania z danymi po zakończeniu współpracy. Należy pamiętać, że podzlecenie działań przez zarządcę, a tym samym dalsze powierzenie przetwarzania danych osobowych wymagać będzie pisemnej zgody administratora tych danych. Niezmiennie „podwykonawca przetwarzania”, również musi spełniać wymogi określone w RODO. Z rozporządzenia wynika również, że jeżeli podwykonawca podmiotu przetwarzającego dopuści się naruszeń w zakresie ochrony danych osobowych to podmiot przetwarzający, a nie podwykonawca będzie ponosił odpowiedzialność w stosunku do administratora. Jak widać wszystkie powyższe wytyczne mają „miękki” charakter, co nie zmienia faktu, że naruszenie zasad przetwarzania danych osobowych grozi karami. Właśnie potencjalnie niespotykanie wysokie kary do 10.000.000 euro, a w przypadku najcięższych naruszeń do 20.000.000 euro budzą tak duże zainteresowanie nowym rozporządzeniem. Co więcej, w przypadku przedsiębiorców kary liczone będą jako procent od obrotu. Wymiar kary ustalać będą organy państwowe, biorąc pod uwagę, aby były one skuteczne, pr...