Rozporządzenie RODO, które zacznie być stosowane już od 25 maja, będzie miało też wpływ na umowy najmu oraz obowiązki najemców i wynajmujących, np. powierzchnie w centrach handlowych, biurowcach, centrach logistycznych. Nie ulega bowiem wątpliwości, że w trakcie obowiązywania umowy najmu najemcy zazwyczaj powierzają wynajmującemu do przetwarzania dane osobowe, np. listy swoich pracowników, którzy mają prawo wstępu na teren nieruchomości, kontrahentów czy też gości. Jak zatem przygotować się do stosowania rozporządzenia, jakie nowe kwestie należy uwzględnić w umowach, o czym pamiętać – wskazujemy najważniejsze kwestie, na które trzeba zwrócić uwagę już teraz.
CZY UMOWY NAJMU PODLEGAJĄ PRZEPISOM RODO
W trakcie obowiązywania umowy najmu najemcy zazwyczaj powierzają wynajmującemu do przetwarzania dane osobowe, np. swoich pracowników, kontrahentów czy też gości. Najemca, jako administrator danych osobowych, ustala cele i sposoby ich przetwarzania. Wynajmujący – jako procesor, czyli podmiot przetwarzający dane – czyni to w imieniu najemcy w związku z realizacją umowy. Ponadto częstą praktyką rynkową może być również kolejne powierzenie danych osobowych – np. firmie ochroniarskiej w celu realizacji zadań z zakresu kontroli dostępu do pomieszczeń czy też ewidencji wejść i wyjść pracowników.
„Danymi osobowymi” są w tym przepadku informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Natomiast „proces przetwarzania” oznacza operacje na danych osobowych przeprowadzane w sposób zautomatyzowany bądź niezautomatyzowany, polegające m.in. na zbieraniu, utrwalaniu, organizowaniu, przechowywaniu, adaptowaniu, modyfikowaniu, usuwaniu lub niszczeniu. To oznacza, że np. przetwarzanie danych osobowych na potrzeby umowy najmu może odbywać się chociażby poprzez wydawanie pracownikom kart dostępu do budynku, przypisywanie kontrahentom miejsc parkingowych czy też wydawanie gościom przepustek do budynku.
KTO MA WYPEŁNIĆ OBOWIĄZEK INFORMACYJNY
Największym wyzwaniem, przed jakim stają strony umowy najmu w związku z przetwarzaniem danych osobowych, jest realizacja obowiązku informacyjnego. To właśnie najemca, jako administrator, został zobligowany przez ustawodawcę europejskiego do komunikowania osobom, których dane przetwarza:
● celu i podstawy prawnej przetwarzania danych;
praw, które tym osobom przysługują, m.in.:
- do informacji, czy dane są przetwarzane i w jakich celach,
- do sprostowania danych,
- do przenoszenia danych,
- do bycia zapomnianym.
Rozporządzenie stanowi, że powinno się to odbywać w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Należy zauważyć, że nagromadzenie tak dużej liczby pojęć nieostrych w jednym postanowieniu nastręczać może wielu uzasadnionych wątpliwości.
Administrator bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania, powinien udzielić osobie, której dane dotyczą, informacji o działaniach związanych z realizacją wcześniej wspomnianych jej praw (RODO zastrzega możliwość przedłużenia tego terminu o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań, z zastrzeżeniem, że powinno to się odbyć w terminie miesiąca od otrzymania żądania oraz z podaniem przyczyny takiego opóźnienia). Ponadto informacje powinny być udzielane w sposób nieodpłatny, chyba że żądania są ewidentnie nieuzasadnione lub nadmierne (w szczególności ze względu na ustawiczny charakter). Wówczas najemca może pobrać rozsądną opłatę uwzględniającą administracyjny koszt bądź odmówić podjęcia działań w związku z artykułowanym żądaniem.
Co istotne, administrator danych osobowych (o ile zatrudnia więcej niż 250 osób lub wykonuje określone operacje przetwarzania, np. takie, które nie mają charakteru sporadycznego) zobowiązany jest do prowadzenia rejestru czynności przetwarzania danych osobowych. Powinien też wdrożyć środki techniczne i organizacyjne w celu realizacji wymogów RODO w taki sposób, aby następnie móc je udokumentować, jak również sformułować na piśmie politykę ochrony danych.
Zgodnie z postanowieniami RODO wynajmujący powinien wspierać najemcę w realizacji tych obowiązków. Odpowiednio najemca i wynajmujący zobligowani są do wdrażania właściwych środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa danych, odpowiadający ryzyku. Te wdrożenia powinny uwzględniać stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania danych oraz ryzyko naruszenia praw lub wolności osób fizycznych. Może to polegać np. na pseudonimizacji i szyfrowaniu danych osobowych czy też zapewnieniu ciągłej poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Dość ogólne i generalne zakreślenie obowiązków RODO zmusza strony stosunku najmu do samodzielnego wypracowania należytego i kompleksowego modelu współpracy w zakresie bezpieczeństwa danych osobowych.
UMOWA CZY KLAUZULA POWIERZENIA PRZETWARZANIA
Specyfika najmu komercyjnego wymaga od stron świadczenia dodatkowych usług, a to oznacza dodatkowe świadczenia pieniężne uiszczane przez najemcę oprócz standardowego czynszu, np. zaliczki na opłaty wspólne, zarządzanie budynkiem. W związku z tymi usługami niejednokrotnie dochodzi do przetwarzania danych osobowych w imieniu najemcy.
Instrumentem prawnym przewidzianym przez RODO jest umowa powierzenia przetwarzania danych osobowych, która powinna zostać zawarta pomiędzy najemcą a wynajmującym. Mając na względzie praktykę rynkową, zmierzającą do regulowania wszelkich zagadnień najmu komercyjnego w jednej umowie, dopuścić można rozwiązanie polegające na dodaniu klauzuli powierzenia przetwarzania danych do umowy najmu, ewentualnie zawarcie aneksu regulującego przepływ danych osobowych (np. w odniesieniu do umów najmu zawartych przed dniem wejścia w życie RODO). Natomiast jeżeli dochodzi np. do faktycznego outsourcingu operacji przetwarzania danych osobowych, to umowa/klauzula powierzenia przetwarzania ma charakter wtórny. Dlatego ważne jest, aby strony umowy najmu w sposób jasny i rzeczowy uregulowały kwestię powierzenia przetwarzania danych osobowych innemu podmiotowi.
CZY KAŻDY MOŻE BYĆ PRZETWARZAJĄCYM
Ustawodawca europejski zastrzega, że administrator może korzystać wyłącznie z usług podmiotu przetwarzającego, który daje odpowiednie gwarancje spełnienia wymogów wynikających z RODO. Odmiennie od dotychczasowego stanu prawnego prawidłowość przetwarzania danych osobowych powinna zostać zbadana bezpośrednio przed zawarciem umowy. Presja dotycząca należytego zabezpieczenia tych kwestii potęgowana będzie przez to, że to najemca jako administrator odpowiada za dokonanie właściwego wyboru.
Dodatkowo, w przypadku, w którym wynajmujący posiłkuje się podmiotami zewnętrznymi na potrzeby zarządzania budynkiem i w związku z tym przetwarza dane osobowe, wówczas obligatoryjnym elementem umowy/klauzuli jest wyrażenie zgody na dalsze powierzenie przetwarzania danych osobowych. W przypadku braku stosownej zgody wynajmujący nie ma prawa dalszego przekazania danych osobowych bez względu na rodzaj stosunku łączącego go z podmiotem trzecim.
O tym, jak ważki to temat, najlepiej świadczą sankcje finansowe zastrzeżone na wypadek naruszeń RODO, które mieszczą się w przedziale 10–20 mln euro, a w przypadku przedsiębiorstw wysokości mogą wynieść nawet 2 do 4 proc. całkowitego rocznego obrotu z poprzedniego roku obrotowego.