Obowiązki dewelopera przed zawarciem umowy deweloperskiej

Transkrypt

1 Obowiązki dewelopera przed zawarciem umowy deweloperskiej Podstawowym novum praktycznym w obrocie, jest doręczanie prospektu informacyjnego za pośrednictwem irpd.pl w wersji elektronicznej na trwałym nośniku informacji zgodnie z obowiązującymi przepisami UE(szerzej o trwałym nośniku informacji komentarz do art. 3pkt.10 ustawy deweloperskiej). Użycie trwałego nośnika informacji w postaci strony internetowej umożliwia doręczenie prospektu on-line w zgodzie z przepisami ustawy deweloperskiej eliminując dodatkowe koszty i czas dewelopera. irpd. PL 5 pracuje przez 24h on-line i zapewnia ciągłą realizację obowiązków deweloperskich. Ochrona danych osobowych przez dewelopera informacje ogólne Komentowany przepis nakłada na dewelopera również szereg obowiązków związanych z ochroną danych osobowych uzyskanych od osób zainteresowanych zawarciem umowy. Zagadnienie to jest szczególnie istotne dla prawidłowości prowadzonej przez dewelopera działalności, a jego lekceważenie i nieprzestrzeganie naraża dewelopera na wymierne szkody. Punkt wyjścia naszych rozważań o obowiązku dewelopera związanym z ochroną danych osobowych stanowi, oprócz samej ustawy deweloperskiej, przede wszystkim ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych 6. W trakcie prowadzenia działalności deweloperskiej mogą się bowiem pojawić takie okoliczności, które przez pryzmat ustawy o ochronie danych osobowych będą nakładały na przedsiębiorcę określone obowiązki, jak również konkretne sankcje, za niewywiązywanie się z tychże obowiązków, wynikających właśnie z ustawy o ochronie danych osobowych Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Dz. U. z 2002 r. Nr 101, poz. 926 ze zm., zwana dalej ustawą o ochronie danych osobowych. 7 Szerzej Ochrona danych osobowych przez dewelopera, Nieruchomości i Prawo Nr

2 Rozdział V Rygory ustawy o ochronie danych osobowych stosownie do treści art. 3 ust. 2 pkt 2 stosuje się do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej. Zapis ten oznacza, iż deweloper prowadzący swoją działalność jako osoba fizyczna, osoba prawna bądź też jednostka organizacyjna nieposiadająca osobowości prawnej, będzie podlegał przepisom ustawy o ile będzie miał miejsce zamieszkania lub siedzibę na terytorium Rzeczypospolitej Polskiej, albo będzie przetwarzał dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej. Co istotne, przez przetwarzanie danych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Zbiorem danych osobowych jest z kolei każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony, czy podzielony funkcjonalnie. Dane osobowe korzystają z ochrony przewidzianej ww. ustawą już wówczas, jeżeli tylko mogą znaleźć się w zbiorze danych osobowych, bez względu na to, czy się w nim ostatecznie znalazły, a ustawa w odniesieniu do różnych etapów i rodzajów przetwarzania danych, określa jeszcze dodatkowe uprawnienia osób, których dane te dotyczą. Rzecz bowiem w tym, że każdy ma prawo do ochrony dotyczących go danych osobowych, a nie jedynie ten, czyje dane znalazły się już w zbiorze 8. 8 Postanowienie Sądu Najwyższego z dnia 11 grudnia 2000 r., sygn. akt: II KKN 438/

3 Obowiązki dewelopera przed zawarciem umowy deweloperskiej Obowiązki dewelopera związane z ochroną danych osobowych Moment powstania obowiązku Powstaje pytanie kiedy deweloper będzie obowiązany do podjęcia działań zapewniających ochronę uzyskanych w trakcie przedsięwzięcia deweloperskiego danych osobowych? Przepis art. 18 ustawy deweloperskiej zobowiązuje dewelopera do nieodpłatnego doręczenia osobie zainteresowanej zawarciem umowy deweloperskiej, na jej żądanie, prospektu informacyjnego wraz z załącznikami, na trwałym nośniku informacji. Problem ochrony danych osobowych pojawia się właśnie na etapie wykonania wspomnianego obowiązku z art. 18 ustawy deweloperskiej. Deweloper chcąc bowiem spełnić ciążący na nim obowiązek, będzie musiał albo doręczyć prospekt bezpośrednio poprzez wręczenie osobie zainteresowanej zawarciem umowy, co w warunkach zorganizowanej działalności deweloperskiej będzie raczej uciążliwe dla dewelopera, albo też doręczy prospekt korespondencyjnie. W tym ostatnim natomiast przypadku logiczne jest to, iż do prawidłowego doręczenia prospektu osobie zainteresowanej zawarciem umowy, niezbędne jest uzyskanie od niej danych osobowych, umożliwiających np. przesłanie prospektu pocztą. Pozyskanie od osób zainteresowanych zawarciem umowy danych osobowych jest konieczne również dla celów dowodowych (ad probationem), ponieważ umożliwia deweloperowi udokumentowanie spełnienia ustawowego obowiązku zgodnie z przepisami. Pozyskanie danych osobowych osób zainteresowanych zawarciem umowy jest konieczne dla dewelopera również w celu potwierdzenia spełnienia przez niego obowiązku z art. 18 ustawy deweloperskiej. Niedostarczenie bowiem zgodnie z tym przepisem prospektu informacyjnego wraz z załącznikami, uprawnia nabywcę do odstąpienia od umowy deweloperskiej

4 Rozdział V Uzyskanie i wykorzystanie wspomnianych danych podlega zaś wielu sztywnym rygorom zawartym w ustawie o ochronie danych osobowych. Zgodnie bowiem z art. 6 ust. 1 ustawy o ochronie danych osobowych, za dane osobowe, podlegające reżimowi ustawy, uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Deweloper jako administrator danych Deweloper, w zakresie w jakim pozyskuje od osób zainteresowanych zawarciem umowy deweloperskiej ich danych osobowych, umożliwiających doręczenie prospektu informacyjnego wraz z załącznikami, zyskuje status tzw. administratora danych osobowych. Zgodnie bowiem z ustawą o ochronie danych osobowych, administratorem jest podmiot decydujący o celach i środkach przetwarzania danych osobowych. Administratorem danych osobowych wykorzystywanych w zakresie działalności prowadzonej przez przedsiębiorcę jest, co do zasady, przedsiębiorca. Administratorem takich danych jest w szczególności spółka z ograniczoną odpowiedzialnością, spółka akcyjna, spółka jawna czy też spółka komandytowa. Tak więc administratorem danych jest sama spółka prawa handlowego, nie zaś jej organy, osoby zasiadające w organach tej spółki lub pełniące w niej funkcje kierownicze. Na deweloperze, z racji posiadania statusu administratora danych osobowych, spoczywa szereg obowiązków związanych z zabezpieczeniem prawidłowego przetwarzania posiadanych danych osobowych. Przede wszystkim deweloper będzie musiał dopełnić obowiązku zgłoszenia zbioru do rejestracji w prowadzonym przez GIODO ogólnokrajowym, jawnym rejestrze zbiorów danych osobowych i obowiązku informacyjnego, a ponadto we właściwy sposób zabezpieczać zgromadzone dane, dbać o interesy osób, których dane dotyczą i respektować ich prawa gwarantowane ustawą o ochronie danych osobowych. Zgłoszenie zbioru danych Jednym z pierwszych obowiązków, który rodzi się po stronie dewelopera w aspekcie ochrony danych osobowych jest zgłoszenie posiadanego 224

5 Obowiązki dewelopera przed zawarciem umowy deweloperskiej zbioru danych Generalnemu Inspektorowi Danych Osobowych w celu rejestracji. Przez zbiór danych, zgodnie z definicją zawartą w art. 7 pkt 1 ustawy, rozumie się każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Zgłoszenia zbioru danych należy dokonać na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U. Nr 229, poz. 1536). Ponadto z art. 41 ust. 2 ustawy o ochronie danych osobowych, deweloper-administrator danych będzie obowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji zawartych w zgłoszeniu, w terminie 30 dni od dnia dokonania zmiany w zbiorze. Jeżeli zmiana dotyczy rozszerzenia zakresu przetwarzanych danych o dane szczególnie chronione, o których mowa w art. 27 ust. 1 ustawy, to stosownie do treści art. 41 ust. 3 ustawy administrator danych jest obowiązany do jej zgłoszenia przed dokonaniem zmiany w zbiorze. Obowiązek zgłoszenia zmian w zbiorze dotyczy np. zmiany nazwy administratora danych, adresu jego siedziby czy zakresu danych osobowych przetwarzanych w zbiorze. Kolejne obowiązki dewelopera Samo zgłoszenie zbioru danych do GIODO nie wyczerpuje jednak obowiązków dewelopera. Przed rozpoczęciem właściwego wykorzystania posiadanych danych (przetwarzania danych) musi on bowiem podjąć środki zabezpieczające zbiór danych oraz spełnić wymagania określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać

6 Rozdział V urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Zgodnie z w/w rozporządzeniem, system informatyczny stosowany do przetwarzania danych osobowych powinien być zaopatrzony w odpowiednie mechanizmy kontroli dostępu do takich danych, m.in. umożliwiające rejestrację każdego użytkownika odrębnie poprzez identyfikator oraz uzależnienie dostępu do danych wyłącznie poprzez wprowadzenie identyfikatora i dokonanie uwierzytelnienia Należy bowiem pamiętać, że to administrator danych odpowiada za bezpieczeństwo przetwarzanych danych. Musi on stosować takie zabezpieczenia systemowe, aby chronić dane przed ich udostępnieniem osobom nieupoważnionym, uszkodzeniem lub zniszczeniem. Stosowanie się do zawartych w powołanym rozporządzeniu wymogów ma gwarantować danym osobowym bezpieczeństwo. Oczywiście spełnienie wymaganych warunków bezpieczeństwa zbioru danych wiążę się z obowiązkiem poniesienia przez dewelopera niemałych kosztów finansowych. Środki techniczne i organizacyjne muszą bowiem zapewnić przetwarzanym danym poufność, integralność, dostępność, rozliczalność, autentyczność, niezaprzeczalność i niezawodność. Ważna jest często sama świadomość istnienia określonych zagrożeń wynikających np. z przetwarzania danych w systemie informatycznym podłączonym do sieci Internet czy też spowodowanych stosowaniem niesprawdzonych pod względem bezpieczeństwa technologii bezprzewodowej transmisji danych. Zidentyfikowane zagrożenia można minimalizować m.in. poprzez stosowanie systemów antywirusowych, mechanizmów szyfrowania, systemów izolacji i selekcji połączeń z siecią zewnętrzną (firewall) itp. Dla dużych systemów informatycznych (systemów połączonych z sieciami publicznymi, systemów z rozproszonymi bazami danych itp.) wybór właściwych środków wymaga posiadania wiedzy specjalistycznej. 226

7 Obowiązki dewelopera przed zawarciem umowy deweloperskiej Z kolei art. 36 ust. 3 ustawy o ochronie danych osobowych obliguje administratora do wyznaczenia administratora bezpieczeństwa informacji, nadzorującego przestrzeganie przyjętych zasad i monitorującego skuteczność działania zastosowanych środków ochrony. Jest to konieczne ze względu na złożoność problemu stosowania zabezpieczeń, na którą składają się czynniki stawiające broniącego na pozycji gorszej od atakującego. Zgodnie z art. 36 ust. 3 ustawy o ochronie danych osobowych, istotą funkcji administratora bezpieczeństwa informacji jest nadzorowanie przestrzegania zasad ochrony ustalonych przez administratora danych w celu zapewnienia danym bezpieczeństwa. Wykonywanie nadzoru w tym zakresie wiąże się z koniecznością dostępu do danych osobowych, a zgodnie z art. 37 ustawy o ochronie danych osobowych do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych Naruszenie obowiązków przez dewelopera Sankcje karne W razie niewykonania obowiązków w zakresie należytej ochrony danych osobowych, deweloper może narazić się na określone sankcje karne przewidziane w ustawie o ochronie danych osobowych. Zgodnie z treścią art. 49 ust. 1 ustawy o ochronie danych osobowych, kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo, do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Natomiast zgodnie z art. 53 ustawy o ochronie danych osobowych, kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku

8 Rozdział V Nie ulega wątpliwości, że odpowiedzialność karną ponosić mogą jedynie osoby fizyczne. Deweloper może działać natomiast nie tylko jako osoba fizyczna, ale również jako osoba prawna (np. spółka z ograniczoną odpowiedzialnością) bądź też jako jednostka organizacyjna nieposiadająca osobowości prawnej (np. spółka jawna). W doktrynie przyjmuje się, że odpowiedzialności karnej podlega osoba fizyczna, która faktycznie podjęła decyzję o przetwarzaniu danych osobowych z naruszeniem przepisów ustawy o ochronie danych osobowych 9. Przestępstwo z art. 53 ustawy o ochronie danych osobowych w odróżnieniu od poprzedniego jest przestępstwem indywidualnym, co oznacza, że odpowiedzialności karnej nie będzie podlegał każdy, a jedynie ten, kto jest obowiązany do zgłoszenia zbioru danych do rejestracji. W doktrynie wskazuje się, że osobą tą będzie administrator danych, jeżeli jest osobą fizyczną, bądź też osoby działające w imieniu administratora, w szczególności członkowie organów osób prawnych 10. Warto wspomnieć ponadto o przestępstwie z art. 52 ustawy o ochronie danych osobowych, które popełnia administrator danych, który choćby nieumyślnie naruszył obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem. W razie popełnienia tego czynu podlega on grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku 11. Sankcje administracyjne Niezależnie od odpowiedzialności karnej, za naruszenie ustawy o ochronie danych osobowych ustawa ta przewiduje również tryb postępowania administracyjnego, mający na celu przywrócenie stanu zgodnego z prawem. Stosownie bowiem do treści art. 18 ust. 1 ww. ustawy, w przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności: 9 P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych, Komentarz, C.H. Beck, Warszawa 2009, s P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych, Komentarz, C.H. Beck, Warszawa 2009, s Szerzej Deweloperska zbrodnia i kara, Nieruchomości i Prawo Nr

9 Obowiązki dewelopera przed zawarciem umowy deweloperskiej usunięcie uchybień, uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych, zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe, wstrzymanie przekazywania danych osobowych do państwa trzeciego, zabezpieczenie danych lub przekazanie ich innym podmiotom, usunięcie danych osobowych. Należy również pamiętać o tym, iż w przypadku niezapewnienia przez dewelopera należytej ochrony danych osobowych, osoba zainteresowana zawarciem umowy deweloperskiej, której dobra osobiste zostałyby naruszone poprzez niezachowanie należytej staranności w wykonaniu swoich obowiązków przez dewelopera, będzie mógł również wystąpić przeciwko niemu z roszczeniami cywilnymi o odszkodowanie przed sądem powszechnym. Powierzenie przetwarzania danych innemu podmiotowi Ustawa deweloperska zmusza więc deweloperów do podjęcia realnych działań w zakresie ochrony danych osobowych. Ich spełnienie wiąże się z poniesieniem dodatkowych środków finansowych, które z pewnością zwiększą jeszcze koszty prowadzonej przez deweloperów działalności. Z tych przyczyn, istotnym wyzwaniem dla aktywnych deweloperów staje się zapewnienie właściwej ochrony pozyskiwanych danych osobowych klientów z jednoczesną optymalizacją poniesionych w tym celu kosztów. W tym kontekście ciekawym rozwiązaniem może być powierzenie zabezpieczenia i przetwarzania danych osobowych innemu podmiotowi. Możliwość taka wynika wprost z art. 31 ust. 1 ustawy o ochronie danych osobowych, zgodnie z którym administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych