Ochrona danych osobowych przez dewelopera
Transkrypt
Ochrona danych osobowych przez dewelopera
Obowiązki dewelopera przed zawarciem umowy deweloperskiej 702 – 706 Podstawowym novum praktycznym w obrocie, jest doręczanie prospektu informacyjnego za pośrednictwem iRPD.PL w wersji elektronicznej na trwałym nośniku informacji – zgodnie z obowiązującymi przepisami UE(szerzej o trwałym nośniku informacji – komentarz do art. 3pkt.10 ustawy deweloperskiej). 702 Użycie trwałego nośnika informacji w postaci strony internetowej umożliwia doręczenie prospektu on-line w zgodzie z przepisami ustawy deweloperskiej eliminując dodatkowe koszty i czas dewelopera. iRPD. PL5 pracuje przez 24h on-line i zapewnia ciągłą realizację obowiązków deweloperskich. 703 Ochrona danych osobowych przez dewelopera – informacje ogólne Komentowany przepis nakłada na dewelopera również szereg obowiązków związanych z ochroną danych osobowych uzyskanych od osób zainteresowanych zawarciem umowy. Zagadnienie to jest szczególnie istotne dla prawidłowości prowadzonej przez dewelopera działalności, a jego lekceważenie i nieprzestrzeganie naraża dewelopera na wymierne szkody. 704 Punkt wyjścia naszych rozważań o obowiązku dewelopera związanym z ochroną danych osobowych stanowi, oprócz samej ustawy deweloperskiej, przede wszystkim ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych6. 705 W trakcie prowadzenia działalności deweloperskiej mogą się bowiem pojawić takie okoliczności, które przez pryzmat ustawy o ochronie danych osobowych będą nakładały na przedsiębiorcę określone obowiązki, jak również konkretne sankcje, za niewywiązywanie się z tychże obowiązków, wynikających właśnie z ustawy o ochronie danych osobowych7. 706 5 https://irpd.pl. 6 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Dz. U. z 2002 r. Nr 101, poz. 926 ze zm., zwana dalej ustawą o ochronie danych osobowych. 7 Szerzej Ochrona danych osobowych przez dewelopera, Nieruchomości i Prawo Nr 13 2012. 221 707 – 709 Rozdział V 707 Rygory ustawy o ochronie danych osobowych stosownie do treści art. 3 ust. 2 pkt 2 stosuje się do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych – które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej. Zapis ten oznacza, iż deweloper prowadzący swoją działalność jako osoba fizyczna, osoba prawna bądź też jednostka organizacyjna nieposiadająca osobowości prawnej, będzie podlegał przepisom ustawy o ile będzie miał miejsce zamieszkania lub siedzibę na terytorium Rzeczypospolitej Polskiej, albo będzie przetwarzał dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej. 708 Co istotne, przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Zbiorem danych osobowych jest z kolei każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony, czy podzielony funkcjonalnie. 709 Dane osobowe korzystają z ochrony przewidzianej ww. ustawą już wówczas, jeżeli tylko mogą znaleźć się w zbiorze danych osobowych, bez względu na to, czy się w nim ostatecznie znalazły, a ustawa w odniesieniu do różnych etapów i rodzajów przetwarzania danych, określa jeszcze dodatkowe uprawnienia osób, których dane te dotyczą. Rzecz bowiem w tym, że każdy ma prawo do ochrony dotyczących go danych osobowych, a nie jedynie ten, czyje dane znalazły się już w zbiorze8. 8 Postanowienie Sądu Najwyższego z dnia 11 grudnia 2000 r., sygn. akt: II KKN 438/00. 222 Obowiązki dewelopera przed zawarciem umowy deweloperskiej 710 – 715 Obowiązki dewelopera związane z ochroną danych osobowych Moment powstania obowiązku Powstaje pytanie – kiedy deweloper będzie obowiązany do podjęcia działań zapewniających ochronę uzyskanych w trakcie przedsięwzięcia deweloperskiego danych osobowych? 710 Przepis art. 18 ustawy deweloperskiej zobowiązuje dewelopera do nieodpłatnego doręczenia osobie zainteresowanej zawarciem umowy deweloperskiej, na jej żądanie, prospektu informacyjnego wraz z załącznikami, na trwałym nośniku informacji. 711 Problem ochrony danych osobowych pojawia się właśnie na etapie wykonania wspomnianego obowiązku z art. 18 ustawy deweloperskiej. Deweloper chcąc bowiem spełnić ciążący na nim obowiązek, będzie musiał albo doręczyć prospekt bezpośrednio – poprzez wręczenie osobie zainteresowanej zawarciem umowy, co w warunkach zorganizowanej działalności deweloperskiej będzie raczej uciążliwe dla dewelopera, albo też doręczy prospekt korespondencyjnie. 712 W tym ostatnim natomiast przypadku logiczne jest to, iż do prawidłowego doręczenia prospektu osobie zainteresowanej zawarciem umowy, niezbędne jest uzyskanie od niej danych osobowych, umożliwiających np. przesłanie prospektu pocztą. 713 Pozyskanie od osób zainteresowanych zawarciem umowy danych osobowych jest konieczne również dla celów dowodowych (ad probationem), ponieważ umożliwia deweloperowi udokumentowanie spełnienia ustawowego obowiązku zgodnie z przepisami. 714 Pozyskanie danych osobowych osób zainteresowanych zawarciem umowy jest konieczne dla dewelopera również w celu potwierdzenia spełnienia przez niego obowiązku z art. 18 ustawy deweloperskiej. Niedostarczenie bowiem zgodnie z tym przepisem prospektu informacyjnego wraz z załącznikami, uprawnia nabywcę do odstąpienia od umowy deweloperskiej. 715 223 716 – 721 716 Rozdział V Uzyskanie i wykorzystanie wspomnianych danych podlega zaś wielu sztywnym rygorom zawartym w ustawie o ochronie danych osobowych. Zgodnie bowiem z art. 6 ust. 1 ustawy o ochronie danych osobowych, za dane osobowe, podlegające reżimowi ustawy, uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Deweloper jako administrator danych 717 Deweloper, w zakresie w jakim pozyskuje od osób zainteresowanych zawarciem umowy deweloperskiej ich danych osobowych, umożliwiających doręczenie prospektu informacyjnego wraz z załącznikami, zyskuje status tzw. administratora danych osobowych. 718 Zgodnie bowiem z ustawą o ochronie danych osobowych, administratorem jest podmiot decydujący o celach i środkach przetwarzania danych osobowych. Administratorem danych osobowych wykorzystywanych w zakresie działalności prowadzonej przez przedsiębiorcę jest, co do zasady, przedsiębiorca. Administratorem takich danych jest w szczególności spółka z ograniczoną odpowiedzialnością, spółka akcyjna, spółka jawna czy też spółka komandytowa. Tak więc administratorem danych jest sama spółka prawa handlowego, nie zaś jej organy, osoby zasiadające w organach tej spółki lub pełniące w niej funkcje kierownicze. 719 Na deweloperze, z racji posiadania statusu administratora danych osobowych, spoczywa szereg obowiązków związanych z zabezpieczeniem prawidłowego przetwarzania posiadanych danych osobowych. 720 Przede wszystkim deweloper będzie musiał dopełnić obowiązku zgłoszenia zbioru do rejestracji w prowadzonym przez GIODO ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych i obowiązku informacyjnego, a ponadto we właściwy sposób zabezpieczać zgromadzone dane, dbać o interesy osób, których dane dotyczą i respektować ich prawa gwarantowane ustawą o ochronie danych osobowych. 721 Zgłoszenie zbioru danych Jednym z pierwszych obowiązków, który rodzi się po stronie dewelopera w aspekcie ochrony danych osobowych jest zgłoszenie posiadanego 224 Obowiązki dewelopera przed zawarciem umowy deweloperskiej 722 – 727 zbioru danych Generalnemu Inspektorowi Danych Osobowych w celu rejestracji. Przez zbiór danych, zgodnie z definicją zawartą w art. 7 pkt 1 ustawy, rozumie się „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”. 722 Zgłoszenia zbioru danych należy dokonać na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. Nr 229, poz. 1536). 723 Ponadto z art. 41 ust. 2 ustawy o ochronie danych osobowych, deweloper-administrator danych będzie obowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji zawartych w zgłoszeniu, w terminie 30 dni od dnia dokonania zmiany w zbiorze. 724 Jeżeli zmiana dotyczy rozszerzenia zakresu przetwarzanych danych o dane szczególnie chronione, o których mowa w art. 27 ust. 1 ustawy, to stosownie do treści art. 41 ust. 3 ustawy administrator danych jest obowiązany do jej zgłoszenia przed dokonaniem zmiany w zbiorze. Obowiązek zgłoszenia zmian w zbiorze dotyczy np. zmiany nazwy administratora danych, adresu jego siedziby czy zakresu danych osobowych przetwarzanych w zbiorze. 725 Kolejne obowiązki dewelopera Samo zgłoszenie zbioru danych do GIODO nie wyczerpuje jednak obowiązków dewelopera. 726 Przed rozpoczęciem właściwego wykorzystania posiadanych danych (przetwarzania danych) musi on bowiem podjąć środki zabezpieczające zbiór danych oraz spełnić wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać 727 225 728 – 733 Rozdział V urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Zgodnie z w/w rozporządzeniem, system informatyczny stosowany do przetwarzania danych osobowych powinien być zaopatrzony w odpowiednie mechanizmy kontroli dostępu do takich danych, m.in. umożliwiające rejestrację każdego użytkownika odrębnie poprzez identyfikator oraz uzależnienie dostępu do danych wyłącznie poprzez wprowadzenie identyfikatora i dokonanie uwierzytelnienia. 728 Należy bowiem pamiętać, że to administrator danych odpowiada za bezpieczeństwo przetwarzanych danych. Musi on stosować takie zabezpieczenia systemowe, aby chronić dane przed ich udostępnieniem osobom nieupoważnionym, uszkodzeniem lub zniszczeniem. Stosowanie się do zawartych w powołanym rozporządzeniu wymogów ma gwarantować danym osobowym bezpieczeństwo. 729 Oczywiście spełnienie wymaganych warunków bezpieczeństwa zbioru danych wiążę się z obowiązkiem poniesienia przez dewelopera niemałych kosztów finansowych. 730 Środki techniczne i organizacyjne muszą bowiem zapewnić przetwarzanym danym poufność, integralność, dostępność, rozliczalność, autentyczność, niezaprzeczalność i niezawodność. 731 Ważna jest często sama świadomość istnienia określonych zagrożeń wynikających np. z przetwarzania danych w systemie informatycznym podłączonym do sieci Internet czy też spowodowanych stosowaniem niesprawdzonych pod względem bezpieczeństwa technologii bezprzewodowej transmisji danych. 732 Zidentyfikowane zagrożenia można minimalizować m.in. poprzez stosowanie systemów antywirusowych, mechanizmów szyfrowania, systemów izolacji i selekcji połączeń z siecią zewnętrzną (firewall) itp. 733 Dla dużych systemów informatycznych (systemów połączonych z sieciami publicznymi, systemów z rozproszonymi bazami danych itp.) wybór właściwych środków wymaga posiadania wiedzy specjalistycznej. 226 Obowiązki dewelopera przed zawarciem umowy deweloperskiej 734 – 739 Z kolei art. 36 ust. 3 ustawy o ochronie danych osobowych obliguje administratora do wyznaczenia administratora bezpieczeństwa informacji, nadzorującego przestrzeganie przyjętych zasad i monitorującego skuteczność działania zastosowanych środków ochrony. Jest to konieczne ze względu na złożoność problemu stosowania zabezpieczeń, na którą składają się czynniki stawiające broniącego na pozycji gorszej od atakującego. 734 Zgodnie z art. 36 ust. 3 ustawy o ochronie danych osobowych, istotą funkcji administratora bezpieczeństwa informacji jest nadzorowanie przestrzegania zasad ochrony ustalonych przez administratora danych w celu zapewnienia danym bezpieczeństwa. 735 Wykonywanie nadzoru w tym zakresie wiąże się z koniecznością dostępu do danych osobowych, a zgodnie z art. 37 ustawy o ochronie danych osobowych do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. 736 Naruszenie obowiązków przez dewelopera Sankcje karne W razie niewykonania obowiązków w zakresie należytej ochrony danych osobowych, deweloper może narazić się na określone sankcje karne przewidziane w ustawie o ochronie danych osobowych. 737 Zgodnie z treścią art. 49 ust. 1 ustawy o ochronie danych osobowych, kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo, do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 738 Natomiast zgodnie z art. 53 ustawy o ochronie danych osobowych, kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. 739 227 740 – 743 Rozdział V 740 Nie ulega wątpliwości, że odpowiedzialność karną ponosić mogą jedynie osoby fizyczne. Deweloper może działać natomiast nie tylko jako osoba fizyczna, ale również jako osoba prawna (np. spółka z ograniczoną odpowiedzialnością) bądź też jako jednostka organizacyjna nieposiadająca osobowości prawnej (np. spółka jawna). W doktrynie przyjmuje się, że odpowiedzialności karnej podlega osoba fizyczna, która faktycznie podjęła decyzję o przetwarzaniu danych osobowych z naruszeniem przepisów ustawy o ochronie danych osobowych9. 741 Przestępstwo z art. 53 ustawy o ochronie danych osobowych w odróżnieniu od poprzedniego jest przestępstwem indywidualnym, co oznacza, że odpowiedzialności karnej nie będzie podlegał każdy, a jedynie ten, kto jest obowiązany do zgłoszenia zbioru danych do rejestracji. W doktrynie wskazuje się, że osobą tą będzie administrator danych, jeżeli jest osobą fizyczną, bądź też osoby działające w imieniu administratora, w szczególności członkowie organów osób prawnych10. 742 Warto wspomnieć ponadto o przestępstwie z art. 52 ustawy o ochronie danych osobowych, które popełnia administrator danych, który choćby nieumyślnie naruszył obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. W razie popełnienia tego czynu podlega on grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku11. 743 Sankcje administracyjne Niezależnie od odpowiedzialności karnej, za naruszenie ustawy o ochronie danych osobowych ustawa ta przewiduje również tryb postępowania administracyjnego, mający na celu przywrócenie stanu zgodnego z prawem. Stosownie bowiem do treści art. 18 ust. 1 ww. ustawy, w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 9 P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych, Komentarz, C.H. Beck, Warszawa 2009, s. 450. 10 P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych, Komentarz, C.H. Beck, Warszawa 2009, s. 459. 11 Szerzej „Deweloperska zbrodnia i kara”, Nieruchomości i Prawo Nr 7 2012. 228 Obowiązki dewelopera przed zawarciem umowy deweloperskiej 744 – 747 –– usunięcie uchybień, –– uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, –– zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, –– wstrzymanie przekazywania danych osobowych do państwa trzeciego, –– zabezpieczenie danych lub przekazanie ich innym podmiotom, –– usunięcie danych osobowych. Należy również pamiętać o tym, iż w przypadku niezapewnienia przez dewelopera należytej ochrony danych osobowych, osoba zainteresowana zawarciem umowy deweloperskiej, której dobra osobiste zostałyby naruszone poprzez niezachowanie należytej staranności w wykonaniu swoich obowiązków przez dewelopera, będzie mógł również wystąpić przeciwko niemu z roszczeniami cywilnymi o odszkodowanie przed sądem powszechnym. Powierzenie przetwarzania danych innemu podmiotowi 744 Ustawa deweloperska zmusza więc deweloperów do podjęcia realnych działań w zakresie ochrony danych osobowych. Ich spełnienie wiąże się z poniesieniem dodatkowych środków finansowych, które z pewnością zwiększą jeszcze koszty prowadzonej przez deweloperów działalności. 745 Z tych przyczyn, istotnym wyzwaniem dla aktywnych deweloperów staje się zapewnienie właściwej ochrony pozyskiwanych danych osobowych klientów z jednoczesną optymalizacją poniesionych w tym celu kosztów. 746 W tym kontekście ciekawym rozwiązaniem może być powierzenie zabezpieczenia i przetwarzania danych osobowych innemu podmiotowi. Możliwość taka wynika wprost z art. 31 ust. 1 ustawy o ochronie danych osobowych, zgodnie z którym administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. 747 229