Po štyroch rokoch od prijatia aktuálne platného zákona o ochrane osobných údajov nás čaká ďalšia veľká zmena. Už o 6 mesiacov vstúpi do účinnosti nové Všeobecné nariadenie o ochrane údajov, ktoré možno poznáte pod skratkou GDPR. Všeobecné nariadenie o ochrane údajov je komplexnou úpravou, ktorá úplne nahrádza doterajšie pravidlá. Zmien je preto veľmi veľa a dotknú sa aj realitného sektora, kde je spracovanie osobných údajov neoddeliteľnou súčasťou každodennej praxe. Je nevyhnutné sa na tieto zmeny pripraviť, aby sa predišlo sankciám a zabezpečila sa dôvera klientov.
Precizovanie súhlasu a práva dotknutých osôb
Jednou z kľúčových oblastí, kde dochádza k významným zmenám, je súhlas dotknutej osoby so spracovaním osobných údajov. Podmienky týkajúce sa poskytnutia súhlasu sa precizujú, čo znamená, že získať platný súhlas bude opäť náročnejšie. Je dôležité, aby bol súhlas jasne formulovaný, informovaný a slobodne daný. Po novom bezpodmienečne platí, že dotknutá osoba má vždy a kedykoľvek právo svoj súhlas odvolať. Toto odvolanie nesmie byť pre dotknutú osobu akokoľvek znevýhodňujúce.
Okrem toho, nariadenie prináša nové práva dotknutých osôb, ktoré doterajší slovenský zákon o ochrane osobných údajov nepozná. Tieto nové práva sú reakciou na trendy v oblasti digitalizácie, používania big data a sociálnych sietí. Medzi tieto práva patrí napríklad právo na prístup k osobným údajom, právo na opravu, právo na výmaz („právo na zabudnutie“), právo na obmedzenie spracúvania, právo na prenosnosť údajov a právo namietať proti spracúvaniu.
Nové pravidlá pre marketing a spracovanie rodného čísla
Využívanie osobných údajov na marketingové účely dostáva v kontexte GDPR nové pravidlá. Prevádzkovatelia musia byť transparentní a zabezpečiť, aby marketingové aktivity boli v súlade s právnymi predpismi a rešpektovali práva dotknutých osôb. Súhlas s marketingovým spracovaním musí byť explicitný a informovaný.
Zaujímavou zmenou je aj postavenie rodného čísla. Rodné číslo sa už nebude považovať za osobný údaj osobitnej kategórie. Jeho spracovanie však pravdepodobne bude podliehať osobitným pravidlám v rámci národnej úpravy. V realitnom sektore sa rodné číslo často používa na identifikáciu v zmluvnej dokumentácii, avšak jeho spracúvanie musí byť vždy odôvodnené a v súlade s platnou legislatívou. V praxi to znamená, že Dvorák Reality s.r.o. spracúva rodné číslo len v prípadoch, keď to umožňuje čl. 17 Zákona č. 18/2018 Z.z., najmä na účely identifikácie v zmluvnej dokumentácii.
Bezpečnostné opatrenia a posúdenie vplyvu
Naďalej zostáva zachovaná povinnosť prijať primerané bezpečnostné opatrenia na ochranu osobných údajov. Nariadenie GDPR však už nepozná bezpečnostný projekt v takej forme, ako ho dnes upravuje slovenský zákon o ochrane osobných údajov. Bezpečnostný projekt je v prostredí GDPR vo vybraných prípadoch nahradený tzv. posúdením vplyvu na ochranu osobných údajov (Data Protection Impact Assessment - DPIA). Toto posúdenie je potrebné vykonať v prípade, ak spracúvanie osobných údajov môže predstavovať vysoké riziko pre práva a slobody fyzických osôb. Realitné kancelárie ako Dvorák Reality s.r.o. alebo Realitná kancelária 5S-DADO s.r.o. musia zabezpečiť, aby ich informačné systémy a procesy spracúvania údajov spĺňali vysoké štandardy bezpečnosti.
Spracovanie zverejnených údajov a zodpovedná osoba
Ak boli realitné kancelárie zvyknuté používať vo svojich informačných systémoch údaje z verejne prístupných databáz, musia si byť vedomé, že aj tieto údaje podliehajú pravidlám GDPR. Je potrebné zabezpečiť, aby ich spracovanie bolo legálne a účelné.
Určenie zodpovednej osoby bude po novom povinné iba v niektorých prípadoch. Vo väčšine prípadov však bude určenie zodpovednej osoby dobrovoľné. Zodpovedná osoba je kľúčovým prvkom pri zabezpečovaní súladu s GDPR, pomáha pri monitorovaní dodržiavania pravidiel a je kontaktným bodom pre dotknuté osoby a dozorné orgány.
Zvýšenie sankcií a zodpovednosť prevádzkovateľov
Zásadným spôsobom sa zvyšujú sankcie za porušenie povinností vyplývajúcich z GDPR. Pokuty môžu dosiahnuť až 20 miliónov eur alebo 4% celkového celosvetového ročného obratu spoločnosti, podľa toho, ktorá suma je vyššia. Toto dramatické zvýšenie sankcií zdôrazňuje dôležitosť zodpovedného prístupu k ochrane osobných údajov. Prevádzkovatelia, ako napríklad Dvorák Reality s.r.o. a Realitná kancelária 5S-DADO s.r.o., musia venovať náležitú pozornosť implementácii opatrení na zabezpečenie súladu s GDPR.
Zásady ochrany osobných údajov, ktorými sa prevádzkovatelia riadia, zahŕňajú:
- Zásada minimalizácie osobných údajov: Spracúvanie len tých údajov, ktoré sú nevyhnutne potrebné na daný účel.
- Zásada správnosti: Zabezpečenie, že spracúvané údaje sú presné a aktuálne.
- Zásada minimalizácie uchovávania: Osobné údaje sa uchovávajú len po dobu nevyhnutnú na splnenie účelu alebo stanovenú právnym predpisom.
- Zásada integrity a dôvernosti: Ochrana údajov pred stratou, poškodením alebo neoprávneným prístupom.
- Zásada zodpovednosti: Prevádzkovateľ zodpovedá za bezpečnosť a ochranu osobných údajov.
Realitná únia sa téme ochrany osobných údajov dlhodobo intenzívne venuje a pripravuje podrobnejšie informácie a špecializované semináre pre realitných sprostredkovateľov, aby im pomohla zvládnuť tieto zmeny.
Príklad spracovania osobných údajov v realitnej kancelárii
Pre ilustráciu, Dvorák Reality s.r.o. spracúva osobné údaje dotknutých osôb na účely:
- Výkonu realitnej činnosti (sprostredkovanie predaja, kúpy a prenájmu nehnuteľností).
- Vedenia evidencie ponúk a dopytov.
- Vyhotovovania a zverejnenia fotografie, videa a informácií o nehnuteľnosti.
- Komunikácie s klientmi a prípravy zmluvnej dokumentácie.
- Archivácie zmluvných dokumentov.
- Plnenia zákonných povinností.
Právnym základom pre toto spracovanie je často plnenie zmluvy, splnenie zákonnej povinnosti, oprávnený záujem prevádzkovateľa alebo súhlas dotknutej osoby (najmä pri fotografiách, videách a marketingu).
Osobné údaje sa štandardne neposkytujú tretím stranám, okrem prípadov povinného poskytovania podľa zákona, nevyhnutného poskytnutia advokátom, poskytovateľom IT služieb alebo realitným portálom (ak bol udelený súhlas). So všetkými sprostredkovateľmi sú uzatvorené zmluvy v súlade s čl. 28 GDPR.
Poskytnutie osobných údajov je dobrovoľné, avšak v prípadoch, kde je spracúvanie nevyhnutné na uzatvorenie alebo plnenie zmluvy, môže byť ich neposkytnutie dôvodom na nemožnosť riadneho sprostredkovania realitného obchodu.
Vzor súhlasu so spracúvaním osobných údajov uvádza, že záujemca udeľuje súhlas spoločnosti Dvorák Reality s.r.o. na spracúvanie svojich osobných údajov na účely vyhotovenia, úpravy a zverejnenia fotografií, videí a informácií o nehnuteľnosti, ako aj na poskytnutie údajov advokátskej kancelárii. Súhlas sa udeľuje na dobu neurčitú alebo do jeho odvolania.
Je zrejmé, že GDPR prináša realitnému sektoru radikálne zmeny, ktoré si vyžadujú dôkladnú prípravu a adaptáciu. Pochopenie nových pravidiel a ich dôsledné dodržiavanie je kľúčom k úspechu a budovaniu dôveryhodného vzťahu s klientmi v digitálnom veku.