Ochrona danych osobowych przez dewelopera

Obowiązki dewelopera przed zawarciem umowy deweloperskiej
702 – 706
Podstawowym novum praktycznym w obrocie, jest doręczanie prospektu
informacyjnego za pośrednictwem iRPD.PL w wersji elektronicznej na
trwałym nośniku informacji – zgodnie z obowiązującymi przepisami
UE(szerzej o trwałym nośniku informacji – komentarz do art. 3pkt.10
ustawy deweloperskiej).
702
Użycie trwałego nośnika informacji w postaci strony internetowej
umożliwia doręczenie prospektu on-line w zgodzie z przepisami ustawy
deweloperskiej eliminując dodatkowe koszty i czas dewelopera. iRPD. PL5
pracuje przez 24h on-line i zapewnia ciągłą realizację obowiązków
deweloperskich.
703
Ochrona danych osobowych przez dewelopera –
informacje ogólne
Komentowany przepis nakłada na dewelopera również szereg obowiązków związanych z ochroną danych osobowych uzyskanych od osób
zainteresowanych zawarciem umowy. Zagadnienie to jest szczególnie
istotne dla prawidłowości prowadzonej przez dewelopera działalności,
a jego lekceważenie i nieprzestrzeganie naraża dewelopera na wymierne
szkody.
704
Punkt wyjścia naszych rozważań o obowiązku dewelopera związanym
z ochroną danych osobowych stanowi, oprócz samej ustawy deweloperskiej, przede wszystkim ustawa z dnia 29 sierpnia 1997 r. o ochronie
danych osobowych6.
705
W trakcie prowadzenia działalności deweloperskiej mogą się bowiem
pojawić takie okoliczności, które przez pryzmat ustawy o ochronie danych osobowych będą nakładały na przedsiębiorcę określone
obowiązki, jak również konkretne sankcje, za niewywiązywanie się
z tychże obowiązków, wynikających właśnie z ustawy o ochronie
danych osobowych7.
706
5 https://irpd.pl.
6 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Dz. U. z 2002 r. Nr 101,
poz. 926 ze zm., zwana dalej ustawą o ochronie danych osobowych.
7 Szerzej Ochrona danych osobowych przez dewelopera, Nieruchomości i Prawo Nr 13
2012.
221
707 – 709
Rozdział V
707
Rygory ustawy o ochronie danych osobowych stosownie do treści
art. 3 ust. 2 pkt 2 stosuje się do osób fizycznych i osób prawnych oraz
jednostek organizacyjnych niebędących osobami prawnymi, jeżeli
przetwarzają dane osobowe w związku z działalnością zarobkową,
zawodową lub dla realizacji celów statutowych – które mają siedzibę
albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej,
albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium
Rzeczypospolitej. Zapis ten oznacza, iż deweloper prowadzący swoją
działalność jako osoba fizyczna, osoba prawna bądź też jednostka
organizacyjna nieposiadająca osobowości prawnej, będzie podlegał
przepisom ustawy o ile będzie miał miejsce zamieszkania lub siedzibę
na terytorium Rzeczypospolitej Polskiej, albo będzie przetwarzał dane
osobowe przy wykorzystaniu środków technicznych znajdujących się
na terytorium Rzeczypospolitej.
708
Co istotne, przez przetwarzanie danych rozumie się jakiekolwiek
operacje wykonywane na danych osobowych, takie jak zbieranie,
utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach
informatycznych. Zbiorem danych osobowych jest z kolei każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych
według określonych kryteriów, niezależnie od tego, czy zestaw ten jest
rozproszony, czy podzielony funkcjonalnie.
709
Dane osobowe korzystają z ochrony przewidzianej ww. ustawą
już wówczas, jeżeli tylko mogą znaleźć się w zbiorze danych osobowych, bez względu na to, czy się w nim ostatecznie znalazły,
a ustawa w odniesieniu do różnych etapów i rodzajów przetwarzania
danych, określa jeszcze dodatkowe uprawnienia osób, których dane
te dotyczą. Rzecz bowiem w tym, że każdy ma prawo do ochrony
dotyczących go danych osobowych, a nie jedynie ten, czyje dane
znalazły się już w zbiorze8.
8 Postanowienie Sądu Najwyższego z dnia 11 grudnia 2000 r., sygn. akt: II KKN 438/00.
222
Obowiązki dewelopera przed zawarciem umowy deweloperskiej
710 – 715
Obowiązki dewelopera związane z ochroną
danych osobowych
Moment powstania obowiązku
Powstaje pytanie – kiedy deweloper będzie obowiązany do podjęcia
działań zapewniających ochronę uzyskanych w trakcie przedsięwzięcia
deweloperskiego danych osobowych?
710
Przepis art. 18 ustawy deweloperskiej zobowiązuje dewelopera do
nieodpłatnego doręczenia osobie zainteresowanej zawarciem umowy
deweloperskiej, na jej żądanie, prospektu informacyjnego wraz z załącznikami, na trwałym nośniku informacji.
711
Problem ochrony danych osobowych pojawia się właśnie na etapie
wykonania wspomnianego obowiązku z art. 18 ustawy deweloperskiej.
Deweloper chcąc bowiem spełnić ciążący na nim obowiązek, będzie
musiał albo doręczyć prospekt bezpośrednio – poprzez wręczenie osobie
zainteresowanej zawarciem umowy, co w warunkach zorganizowanej
działalności deweloperskiej będzie raczej uciążliwe dla dewelopera, albo
też doręczy prospekt korespondencyjnie.
712
W tym ostatnim natomiast przypadku logiczne jest to, iż do prawidłowego doręczenia prospektu osobie zainteresowanej zawarciem umowy,
niezbędne jest uzyskanie od niej danych osobowych, umożliwiających
np. przesłanie prospektu pocztą.
713
Pozyskanie od osób zainteresowanych zawarciem umowy danych
osobowych jest konieczne również dla celów dowodowych (ad probationem), ponieważ umożliwia deweloperowi udokumentowanie spełnienia
ustawowego obowiązku zgodnie z przepisami.
714
Pozyskanie danych osobowych osób zainteresowanych zawarciem
umowy jest konieczne dla dewelopera również w celu potwierdzenia
spełnienia przez niego obowiązku z art. 18 ustawy deweloperskiej.
Niedostarczenie bowiem zgodnie z tym przepisem prospektu informacyjnego wraz z załącznikami, uprawnia nabywcę do odstąpienia od
umowy deweloperskiej.
715
223
716 – 721
716
Rozdział V
Uzyskanie i wykorzystanie wspomnianych danych podlega zaś wielu
sztywnym rygorom zawartym w ustawie o ochronie danych osobowych.
Zgodnie bowiem z art. 6 ust. 1 ustawy o ochronie danych osobowych,
za dane osobowe, podlegające reżimowi ustawy, uważa się wszelkie
informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Deweloper jako administrator danych
717
Deweloper, w zakresie w jakim pozyskuje od osób zainteresowanych
zawarciem umowy deweloperskiej ich danych osobowych, umożliwiających doręczenie prospektu informacyjnego wraz z załącznikami,
zyskuje status tzw. administratora danych osobowych.
718
Zgodnie bowiem z ustawą o ochronie danych osobowych, administratorem jest podmiot decydujący o celach i środkach przetwarzania danych
osobowych. Administratorem danych osobowych wykorzystywanych
w zakresie działalności prowadzonej przez przedsiębiorcę jest, co do
zasady, przedsiębiorca. Administratorem takich danych jest w szczególności spółka z ograniczoną odpowiedzialnością, spółka akcyjna, spółka
jawna czy też spółka komandytowa. Tak więc administratorem danych
jest sama spółka prawa handlowego, nie zaś jej organy, osoby zasiadające
w organach tej spółki lub pełniące w niej funkcje kierownicze.
719
Na deweloperze, z racji posiadania statusu administratora danych osobowych, spoczywa szereg obowiązków związanych z zabezpieczeniem
prawidłowego przetwarzania posiadanych danych osobowych.
720
Przede wszystkim deweloper będzie musiał dopełnić obowiązku
zgłoszenia zbioru do rejestracji w prowadzonym przez GIODO ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych i obowiązku
informacyjnego, a ponadto we właściwy sposób zabezpieczać zgromadzone dane, dbać o interesy osób, których dane dotyczą i respektować
ich prawa gwarantowane ustawą o ochronie danych osobowych.
721
Zgłoszenie zbioru danych
Jednym z pierwszych obowiązków, który rodzi się po stronie dewelopera w aspekcie ochrony danych osobowych jest zgłoszenie posiadanego
224
Obowiązki dewelopera przed zawarciem umowy deweloperskiej
722 – 727
zbioru danych Generalnemu Inspektorowi Danych Osobowych w celu
rejestracji.
Przez zbiór danych, zgodnie z definicją zawartą w art. 7 pkt 1 ustawy,
rozumie się „każdy posiadający strukturę zestaw danych o charakterze
osobowym, dostępnych według określonych kryteriów, niezależnie od
tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”.
722
Zgłoszenia zbioru danych należy dokonać na formularzu, którego wzór
stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych
i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia
zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych
Osobowych (Dz.U. Nr 229, poz. 1536).
723
Ponadto z art. 41 ust. 2 ustawy o ochronie danych osobowych, deweloper-administrator danych będzie obowiązany zgłaszać Generalnemu
Inspektorowi każdą zmianę informacji zawartych w zgłoszeniu, w terminie 30 dni od dnia dokonania zmiany w zbiorze.
724
Jeżeli zmiana dotyczy rozszerzenia zakresu przetwarzanych danych
o dane szczególnie chronione, o których mowa w art. 27 ust. 1 ustawy,
to stosownie do treści art. 41 ust. 3 ustawy administrator danych jest
obowiązany do jej zgłoszenia przed dokonaniem zmiany w zbiorze.
Obowiązek zgłoszenia zmian w zbiorze dotyczy np. zmiany nazwy
administratora danych, adresu jego siedziby czy zakresu danych osobowych przetwarzanych w zbiorze.
725
Kolejne obowiązki dewelopera
Samo zgłoszenie zbioru danych do GIODO nie wyczerpuje jednak
obowiązków dewelopera.
726
Przed rozpoczęciem właściwego wykorzystania posiadanych danych
(przetwarzania danych) musi on bowiem podjąć środki zabezpieczające zbiór danych oraz spełnić wymagania określone w rozporządzeniu
Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004
r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
727
225
728 – 733
Rozdział V
urządzenia i systemy informatyczne służące do przetwarzania danych
osobowych. Zgodnie z w/w rozporządzeniem, system informatyczny
stosowany do przetwarzania danych osobowych powinien być zaopatrzony w odpowiednie mechanizmy kontroli dostępu do takich danych,
m.in. umożliwiające rejestrację każdego użytkownika odrębnie poprzez
identyfikator oraz uzależnienie dostępu do danych wyłącznie poprzez
wprowadzenie identyfikatora i dokonanie uwierzytelnienia.
728
Należy bowiem pamiętać, że to administrator danych odpowiada za
bezpieczeństwo przetwarzanych danych. Musi on stosować takie zabezpieczenia systemowe, aby chronić dane przed ich udostępnieniem osobom
nieupoważnionym, uszkodzeniem lub zniszczeniem. Stosowanie się do
zawartych w powołanym rozporządzeniu wymogów ma gwarantować
danym osobowym bezpieczeństwo.
729
Oczywiście spełnienie wymaganych warunków bezpieczeństwa zbioru
danych wiążę się z obowiązkiem poniesienia przez dewelopera niemałych kosztów finansowych.
730
Środki techniczne i organizacyjne muszą bowiem zapewnić przetwarzanym danym poufność, integralność, dostępność, rozliczalność,
autentyczność, niezaprzeczalność i niezawodność.
731
Ważna jest często sama świadomość istnienia określonych zagrożeń
wynikających np. z przetwarzania danych w systemie informatycznym
podłączonym do sieci Internet czy też spowodowanych stosowaniem
niesprawdzonych pod względem bezpieczeństwa technologii bezprzewodowej transmisji danych.
732
Zidentyfikowane zagrożenia można minimalizować m.in. poprzez
stosowanie systemów antywirusowych, mechanizmów szyfrowania,
systemów izolacji i selekcji połączeń z siecią zewnętrzną (firewall) itp.
733
Dla dużych systemów informatycznych (systemów połączonych z sieciami publicznymi, systemów z rozproszonymi bazami danych itp.)
wybór właściwych środków wymaga posiadania wiedzy specjalistycznej.
226
Obowiązki dewelopera przed zawarciem umowy deweloperskiej
734 – 739
Z kolei art. 36 ust. 3 ustawy o ochronie danych osobowych obliguje
administratora do wyznaczenia administratora bezpieczeństwa informacji, nadzorującego przestrzeganie przyjętych zasad i monitorującego
skuteczność działania zastosowanych środków ochrony. Jest to konieczne ze względu na złożoność problemu stosowania zabezpieczeń, na
którą składają się czynniki stawiające broniącego na pozycji gorszej
od atakującego.
734
Zgodnie z art. 36 ust. 3 ustawy o ochronie danych osobowych, istotą
funkcji administratora bezpieczeństwa informacji jest nadzorowanie
przestrzegania zasad ochrony ustalonych przez administratora danych
w celu zapewnienia danym bezpieczeństwa.
735
Wykonywanie nadzoru w tym zakresie wiąże się z koniecznością dostępu do danych osobowych, a zgodnie z art. 37 ustawy o ochronie danych
osobowych do przetwarzania danych mogą być dopuszczone wyłącznie
osoby posiadające upoważnienie nadane przez administratora danych.
736
Naruszenie obowiązków przez dewelopera
Sankcje karne
W razie niewykonania obowiązków w zakresie należytej ochrony
danych osobowych, deweloper może narazić się na określone sankcje
karne przewidziane w ustawie o ochronie danych osobowych.
737
Zgodnie z treścią art. 49 ust. 1 ustawy o ochronie danych osobowych,
kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie
jest dopuszczalne albo, do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do lat 2.
738
Natomiast zgodnie z art. 53 ustawy o ochronie danych osobowych,
kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
739
227
740 – 743
Rozdział V
740
Nie ulega wątpliwości, że odpowiedzialność karną ponosić mogą
jedynie osoby fizyczne. Deweloper może działać natomiast nie tylko
jako osoba fizyczna, ale również jako osoba prawna (np. spółka z ograniczoną odpowiedzialnością) bądź też jako jednostka organizacyjna
nieposiadająca osobowości prawnej (np. spółka jawna). W doktrynie
przyjmuje się, że odpowiedzialności karnej podlega osoba fizyczna,
która faktycznie podjęła decyzję o przetwarzaniu danych osobowych
z naruszeniem przepisów ustawy o ochronie danych osobowych9.
741
Przestępstwo z art. 53 ustawy o ochronie danych osobowych w odróżnieniu od poprzedniego jest przestępstwem indywidualnym, co oznacza,
że odpowiedzialności karnej nie będzie podlegał każdy, a jedynie ten,
kto jest obowiązany do zgłoszenia zbioru danych do rejestracji. W doktrynie wskazuje się, że osobą tą będzie administrator danych, jeżeli jest
osobą fizyczną, bądź też osoby działające w imieniu administratora,
w szczególności członkowie organów osób prawnych10.
742
Warto wspomnieć ponadto o przestępstwie z art. 52 ustawy o ochronie
danych osobowych, które popełnia administrator danych, który choćby
nieumyślnie naruszył obowiązek zabezpieczenia ich przed zabraniem
przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. W razie
popełnienia tego czynu podlega on grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku11.
743
Sankcje administracyjne
Niezależnie od odpowiedzialności karnej, za naruszenie ustawy
o ochronie danych osobowych ustawa ta przewiduje również tryb
postępowania administracyjnego, mający na celu przywrócenie stanu
zgodnego z prawem. Stosownie bowiem do treści art. 18 ust. 1 ww. ustawy, w przypadku naruszenia przepisów o ochronie danych osobowych
Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej,
w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:
9 P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych, Komentarz, C.H. Beck,
Warszawa 2009, s. 450.
10 P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych, Komentarz, C.H. Beck,
Warszawa 2009, s. 459.
11 Szerzej „Deweloperska zbrodnia i kara”, Nieruchomości i Prawo Nr 7 2012.
228
Obowiązki dewelopera przed zawarciem umowy deweloperskiej
744 – 747
–– usunięcie uchybień,
–– uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub
nieudostępnienie danych osobowych,
–– zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
–– wstrzymanie przekazywania danych osobowych do państwa trzeciego,
–– zabezpieczenie danych lub przekazanie ich innym podmiotom,
–– usunięcie danych osobowych.
Należy również pamiętać o tym, iż w przypadku niezapewnienia przez
dewelopera należytej ochrony danych osobowych, osoba zainteresowana zawarciem umowy deweloperskiej, której dobra osobiste zostałyby
naruszone poprzez niezachowanie należytej staranności w wykonaniu
swoich obowiązków przez dewelopera, będzie mógł również wystąpić
przeciwko niemu z roszczeniami cywilnymi o odszkodowanie przed
sądem powszechnym.
Powierzenie przetwarzania danych innemu
podmiotowi
744
Ustawa deweloperska zmusza więc deweloperów do podjęcia realnych
działań w zakresie ochrony danych osobowych. Ich spełnienie wiąże się
z poniesieniem dodatkowych środków finansowych, które z pewnością
zwiększą jeszcze koszty prowadzonej przez deweloperów działalności.
745
Z tych przyczyn, istotnym wyzwaniem dla aktywnych deweloperów staje
się zapewnienie właściwej ochrony pozyskiwanych danych osobowych
klientów z jednoczesną optymalizacją poniesionych w tym celu kosztów.
746
W tym kontekście ciekawym rozwiązaniem może być powierzenie
zabezpieczenia i przetwarzania danych osobowych innemu podmiotowi. Możliwość taka wynika wprost z art. 31 ust. 1 ustawy o ochronie
danych osobowych, zgodnie z którym administrator danych może
powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie,
przetwarzanie danych.
747
229