iSecure logo
  • pl
  • en
    • Blog

    Kiedy konieczne jest zawarcie umowy powierzenia w branży deweloperskiej?

    Katarzyna Ułasiuk-Delamare
    Kategorie

    Powszechną praktyką jest korzystanie z usług zewnętrznych podmiotów specjalizujących się w jakiejś dziedzinie. Nie inaczej jest w branży deweloperskiej, kiedy zlecane są czynności w zakresie np. marketingu, wsparcia sprzedaży, obsługi posprzedażowej klienta, usuwania usterek, ochrony obiektu czy zarządzania nieruchomością wspólną.

    W przypadkach, kiedy zlecona usługa koncentruje się na przetwarzaniu danych osobowych, konieczne będzie zawarcie umowy powierzenia. Taki usługodawca będzie wówczas podmiotem przetwarzającym dane osobowe (procesorem).

    Wymagania co do umowy powierzenia

    Obowiązujące przepisy prawa w zakresie ochrony danych osobowych – RODO, jasno mówią, że jeżeli przetwarzanie ma być dokonywane w imieniu dewelopera – administratora danych, musi on korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Innymi słowy, to na deweloperze spoczywa obowiązek wyboru odpowiedniego procesora, który zna i przestrzega zasady przetwarzania danych osobowych.

    Art. 28 RODO precyzuje także, że przetwarzanie danych przez podmiot przetwarzający odbywa się na podstawie umowy (lub innego instrumentu prawnego, które podlegają prawu UE lub prawu lokalnemu) i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

    Taka umowa powierzenia (bo na niej się skupimy w tym artykule) musi w szczególności przewidywać, że podmiot przetwarzający:

    • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania procesor informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
    • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
    • podejmuje wszelkie środki wymagane na mocy art. 32 RODO (tj. środki bezpieczeństwa);
    • przestrzega warunków korzystania z usług innego podmiotu przetwarzającego:
    1. nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian;
    2. jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają na podstawie umowy te same obowiązki ochrony danych, jak w umowie między administratorem a podmiotem przetwarzającym, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych dla ochrony danych. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym;
    • biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w RODO (np. w zakresie prawa do usunięcia danych, aktualizacji danych);
    • uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków dotyczących: zabezpieczenia danych, zgłoszenia naruszenia, przeprowadzenia oceny skutków przetwarzania dla ochrony danych czy uprzednich konsultacji,
    • po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
    • udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych powyżej oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich;
    • niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

    Najczęstsze przypadki powierzenia w branży deweloperskiej

    Aby zobrazować, kiedy konieczne byłoby zawarcie umowy powierzenia, spróbuję podać kilka przykładów. W praktyce przy tego typu usługach często dochodzi do przetwarzania danych osobowych na rzecz dewelopera, a co za tym idzie, konieczne będzie zawarcie umowy powierzenia:

    • przechowywanie bazy danych potencjalnych klientów na serwerach, utrzymanie systemu informatycznego,
    • pozyskiwanie danych osobowych na targach nieruchomości,
    • pozyskiwanie danych osobowych za pośrednictwem formularzy elektronicznych, np. w przypadku budowania landing page,
    • pozyskiwanie danych osobowych od pośredników sprzedaży, którzy działają w imieniu dewelopera (np. zbierają dane osobowe na formularzach i w systemie dewelopera),
    • wysyłanie newslettera lub ofert sprzedaży nieruchomości przez agencję marketingową,
    • zarządzanie nieruchomością wspólną, w tym dokonywanie rozliczeń z właścicielami,
    • przyjmowanie i obsługa reklamacji klientów,
    • bezpośredni kontakt z klientem w celu usunięcia usterki w mieszkaniu,
    • ochrona osób i mienia, w zakresie: monitoringu, rejestracji osób/pojazdów.

    Nie jest to wyczerpująca lista, a jedynie przykłady, kiedy umowa powierzenia najprawdopodobniej powinna być zawarta z usługodawcą. W rzeczywistości, w zależności od sytuacji i charakteru współpracy, takich przypadków może być jeszcze więcej.

    Umowa powierzenia – i co dalej?

    Musimy pamiętać, że samo podpisanie umowy nie gwarantuje przetwarzania danych zgodnie z RODO. Okazuje się, że cyklicznie trzeba weryfikować przetwarzanie danych przez procesora, np. w formie inspekcji/audytów. Forma takiego sprawdzenia jest dowolna, natomiast deweloper, jako administrator danych, powinien wykazać, że zweryfikował przed nawiązaniem współpracy i regularnie weryfikuje w jej trakcie poziom zgodności procesora z RODO. W końcu powierza mu do przetwarzania masę istotnych danych osobowych, za które – mimo zlecenia usługi profesjonaliście – nieprzerwanie odpowiada.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Daniel Taberski

    Hic sunc dracones – o czym powinien pamiętać deweloper w kontekście RODO?

    „HC SVNT DRACONES” (łac. hic sunt dracones – „tu są smoki”) to termin, który czasem można było znaleźć na średniowiecznej czy renesansowej mapie – naniesiony w miejscu, o którym autor mapy nic nie wiedział. Ten brak wiedzy oczywiście skutkowało założeniem, że są tam wszelkiej materii potwory morskie, smoki niczym ten na globusie z 1508 roku, […]

    Czytaj więcej
    Katarzyna Ułasiuk-Delamare

    Bezpieczne zbieranie leadów: jak stworzyć formularz kontaktowy zgodny z RODO w branży deweloperskiej?

    Załóżmy taki scenariusz: tworzysz stronę internetową nowej inwestycji. Pomiędzy układem, grafiką, danych o lokalach, pojawia się też temat formularza kontaktowego. Jak go zaprojektować, żeby był zgodny z RODO? Cele przetwarzania Jak nie wiadomo, od czego zacząć, to najlepiej zacząć od początku. A więc – czemu ma w ogóle służyć Twój formularz kontaktowy? Oczywiście ma on […]

    Czytaj więcej
    Marcin Stryszko

    Kto jest administratorem danych w przedsiębiorstwie deweloperskim?

    Ochrona danych osobowych jest jednym z wyzwań w zakresie dostosowania organizacji do obowiązujących regulacji prawnych. Branża nieruchomości, w tym firmy deweloperskie, nie są wyjątkiem. Dbanie o ochronę danych osobowych klientów, partnerów biznesowych, pracowników czy podwykonawców jest nie tylko obowiązkiem prawnym, ale przede wszystkim kluczowym elementem budowania zaufania. Świadczy o profesjonalizmie oraz odpowiedzialności. Chcąc prawidłowo zaprojektować […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki