Czy wynajmując mieszkanie podlegasz pod RODO?

Czy w związku z zawarciem umowy najmu wynajmujący ma jakieś obowiązki wynikające z RODO? Po wejściu w życie ogólnego rozporządzenia o ochronie danych osobowych co miało miejsce w maju 2018 roku jest ciągle głośno o przetwarzaniu danych – szczególnie w kontekście niemałych kar. Stąd warto wiedzieć w jaki sposób wynajmujący powinien się zachować w związku z posiadaniem danych swoich najemców.

Najem prywatny:

Najem prywatny to taki rodzaj działalności, który nie przybiera formy działalności gospodarczej (nie jest prowadzony w sposób zorganizowany i ciągły). Do takiej sytuacji w mojej ocenie RODO w ogóle nie będzie miało zastosowania gdyż zgodnie z motywem 18 RODO nie ma ono zastosowania do przetwarzania danych osobowych przez osobę fizyczną w ramach działalności czysto osobistej lub domowej, czyli bez związku z działalnością zawodową lub handlową. Za czysto osobistą formę działalności należy uznać bieżące zarządzanie majątkiem prywatnym, do którego zalicza się prowadzenie najmu prywatnego.

Należy mieć jednak na uwadze, że przy najmie problematyczne jest kto ma decydować o tym, czy w danej sytuacji mowa jest o najmie w ramach działalności gospodarczej, czy najmie prywatnym. Zasadniczo powinien być to sam najemca. Tymczasem praktyka organów podatkowych jest taka, że próbują one czasem narzucić działalność gospodarczą, w szczególności wynajmu kilku lub więcej nieruchomości i nie ma znaczenia czy wynajmujący ma zarejestrowaną działalność gospodarczą czy też nie.

Wobec tego typu przypadkach, gdy najem zostanie zakwalifikowany za wykonywany w ramach działalności gospodarczej – nie dość, że powstają problemy podatkowe, to automatycznie powstają problemy z przestrzeganiem RODO.

Wynajmujący są natomiast w patowej sytuacji. Gdy od początku (nawet profilaktycznie) uznają się za administratorów danych osobowych przy prowadzonym najmie prywatnym (i będą stosowali RODO), przyznają że ich działalność pozostaje w związku z działalnością gospodarczą. Strzał w kolano! Jeśli natomiast uznają że RODO ich nie obowiązuje, a organ podatkowy zdoła to skutecznie podważyć, wówczas automatycznie popada on w niezgodność z RODO.

Najem w ramach działalności gospodarczej:

Jeśli najem jest prowadzony w ramach działalności gospodarczej, wynajmujący będzie administratorem danych osobowych najemców i innych osób, których dane uzyska w związku z zawarciem umowy najmu.

Najważniejszym obowiązkiem wynikającym z RODO w tej sytuacji będzie konieczność przygotowania i przekazania tym osobom informacji o przetwarzaniu danych osobowych, czyli tzw. klauzuli RODO. Najwygodniej zawrzeć ją bezpośrednio w umowie lub jako załącznik do tej umowy. Jako podstawę prawną przetwarzania danych osobowych należy tutaj wskazać art. 6 ust 1 lit. b) RODO – a zatem dane osobowe będą przetwarzane przez wynajmującego, gdyż jest to konieczne do zawarcia i wykonania umowy. Nie jest natomiast wykluczone, że w konkretnych sytuacjach także inne podstawy prawne przetwarzania będzie można zastosować.

Drugim istotnym obowiązkiem jest należyta ochrona danych osobowych. Wynajmujący powinien w związku z tym zabezpieczyć umowy przed niepowołanym dostępem innych osób, nie przekazywać danych innym podmiotom (gdy nie ma ku temu przesłanek), korzystać z danych tylko do celów związanych z zawartą umową, a po upływie okresu retencji dane usunąć (w tym wypadku określonego przepisami o przedawnieniu oraz przepisami podatkowymi).

To oczywiście wyłącznie podstawowe obowiązki wynikające z RODO, które są nałożone na profesjonalnych wynajmujących. Niemniej warto o nich pamiętać bo drogi najemcy i wynajmującego potrafią się często rozejść, a napisać na wynajmującego skargę do Prezesa UODO o nieprzestrzeganiu przepisów RODO jest bardzo łatwo (w ramach nieczystej gry stron).

 

Darmowy wzór klauzuli informacyjnej dla fizjoterapeutów do pobrania

Mamy przyjemność udostępnić Państwu darmowy wzór klauzuli informacyjnej do użycia w Państwa firmie. Zapraszamy do pobierania pliku, który znajdziecie Państwo poniżej.

 

 

Pobierz darmową klauzulę informacyjną.

 

Zachęcamy do skorzystania z naszych usług w zakresie kompleksowego wdrożenia RODO w Państwa firmie. Posiadamy bogate doświadczenie w przedmiocie ochrony danych osobowych, z powodzeniem dokonaliśmy licznych wdrożeń.

 

Zachęcamy do kontaktu telefonicznego, mailowego lub wizyty w naszej kancelarii w Poznaniu.

Numery rejestracyjne pojazdów – czy są to dane osobowe?

Art. 4 RODO wskazuje iż: dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (“osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Numery rejestracyjne pojazdu są indywidualnymi numerami przypisanymi konkretnemu pojazdowi. Z tego powodu nie istnieje możliwość powtórzenia się numerów w innym pojeździe.

Wyrok WSA w Warszawie z 13 kwietnia 2017 r., sygn. VII SA/Wa 1069/16 wskazuje że numer rejestracyjny pojazdu może pośrednio prowadzić do identyfikacji właściciela pojazdu. Jednak zdania doktryny na ten temat są podzielone. Odmienne stanowisko zajął WSA w Krakowie. W wyroku z 14 grudnia 2016 r., (sygn. II SA/Kr 1339/16), wskazał, że numer rejestracyjny pojazdu nie ma statusu danych osobowych. Służy przede wszystkim identyfikacji pojazdu i do niego jest przypisany, nie jest natomiast możliwe, w sposób prosty i łatwy, powiązać numer rejestracyjny pojazdu z konkretną osobą – właściciela lub posiadacza pojazdu.

Nie powinno się zapominać, że numery rejestracyjne są przypisane do pojazdu, a nie do osoby. Należy mieć na uwadze, że pojazdy mogą być używane nie tylko przez właścicieli, ale również przez inne osoby, w szczególności jeśli mowa o samochodach flotowych, które należą do firmy, a nie do osoby fizycznej. W takim wypadku ustalenie właściciela pojazdu po numerach rejestracyjnych wymagałoby niewspółmiernie dużego wysiłku.

Najnowsze orzeczenie w tej sprawie zostało wydane przez Naczelny Sąd Administracyjny  11 kwietnia 2019 r. sygn.. akt. I OSK 1240/17. Nakazuje ono nie uznawać numerów rejestracyjnych za dane osobowe. Jednakże należy się spodziewać dalszych nieścisłości w tej kwestii, ponieważ sądy co jakiś czas zmieniają opinie na temat numerów rejestracyjnych.

A co w przypadku indywidualnych numerów rejestracyjnych, czyli takich, na których można zawrzeć wybrane litery i cyfry? Uznaje się, że są one danymi osobowymi, gdyż takie numery rejestracyjne są charakterystyczne i łatwo je powiązać z właścicielem pojazdu. Na przykład numery rejestracyjne F1 GSF. W związku z dużą rozpoznawalnością właściciela pojazdu, są to dane osobowe, ponieważ bez nadmiernego wysiłku można zidentyfikować osobę do której należy ten pojazd.

Podsumowując, aktualne orzecznictwo wskazuje, że numery rejestracyjne pojazdu nie są danymi osobowymi. Wobec tego przetwarzając wyłącznie numery rejestracyjne nie musisz spełniać obowiązków jakie nakłada na administratorów danych Ogólne rozporządzenie o ochronie danych osobowych. Należy pamiętać że opinia sądu może się w każdej chwili zmienić. Wskazane jest ciągłe śledzenie nowych orzeczeń w tej sprawie, bo stanowisko może w tym zakresie ulec zmiane.

Autorzy:

adw. Krzysztof Lamparski

Jakub Skibiński

Adresy IP – czy są to dane osobowe?

Adres IP to numer przyporządkowany konkretnemu urządzeniu korzystającemu z sieci komputerowych. Na podstawie numeru IP można zidentyfikować konkretny komputer lub inne urządzenie końcowe.

Art. 4 RODO wskazuje iż: dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (“osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Uproszczając powyższą definicje danymi osobowymi są informacje o osobie którą można zidentyfikować na ich podstawie. Identyfikacja musi być możliwa w kontekście dostępnych środków i niewymagająca nadmiernego wysiłku.

Czy adresy IP są danymi osobowymi? Ten temat rodzi wiele kontrowersji. Co do zasady IP umożliwia zidentyfikowanie urządzenia, a nie konkretnego użytkownika. Urządzenia elektroniczne nie są rejestrowane w żadnej bazie danych. Komputer czy smartphone nie musi być użytkowany przez jego właściciela. Może zostać przecież użyczony lub mieć wielu użytkowników. Dlatego wydawać by się mogło, ze trudnym jest zidentyfikowanie danej osoby po samym adresie IP.

W wyroku z dnia 19 maja 2011 r., sygn. akt I OSK 1079/10 Naczelny Sąd Administracyjny orzekł, że w przypadku gdy urządzenie przez dłuższy czas należy do jednego właściciela, uznaje się, że adres IP to dane osobowe. Drugą przesłanką na którą wskazał NSA jest przypisanie jednego i niezmiennego adresu IP temu urządzeniu. Natomiast jeśli choć jedna z tych przesłanek nie zostanie spełniona, nie będzie można mówić o adresie IP w kontekście danych osobowych.

Trybunał Sprawiedliwości Unii Europejskiej, również badał zagadnienie Adresu IP jako danych osobowych. W wyroku z 19.10.2016 r., C-582/14, Patrick Breyer v. Bundesrepublik Deutschland (CURIA), Trybunał orzekł, że Adresy IP, mające charakter dynamiczny (przyznawane użytkownikowi nie na stałe, a na czas trwania danej sesji połączenia internetowego), mogą posłużyć za dane osobowe w rozumieniu ustawy o ochronie danych osobowych.

Wobec tego pomimo przypisania adresu IP konkretnemu urządzeniu, a nie konkretnemu użytkownikowi, Sądy kwalifikują adres IP jako dane osobowe, które pośrednio umożliwiają zidentyfikowanie osób fizycznych.

Podsumowując, uznawanie adresu IP za dane osobowe może być zależne od okoliczności. Jednakże jeśli zbierasz adresy IP powinieneś uznawać je za dane osobowe. Najbezpieczniej jest zakwalifikować wszystkie adresy IP, które przetwarzamy jako dane osobowe. Należy wówczas spełnić obowiązki jakie nakłada na administratora takich danych ogólne rozporządzenie o ochronie danych osobowych. Spełnienie tych obowiązków nie jest tak uciążliwe jak kary, które mogą spotkać osobę przetwarzającą adresy IP uznawane za dane osobowe.

 

Autorzy:

adw. Krzysztof Lamparski

Jakub Skibiński

Kontrola trzeźwości w firmie a RODO

W „Rzeczpospolitej” w dniu 9 maja 2019 roku pojawił się artykuł o tym, że wyrywkowe kontrole trzeźwości są niezgodne z prawem z uwagi na RODO, a dokładniej nowelizację kodeksu pracy, która weszła w życie 4 maja 2019 roku. Dziennik „Rzeczpospolita” wskazuje, że po nowelizacji kodeksu pracy ustawodawca nie daje pracodawcom możliwości samodzielnej kontroli trzeźwości pracowników przy użyciu alkomatu. Zgodnie ze zmianami do kodeksu pracy, przetwarzanie przez pracodawcę danych wrażliwych ma być  możliwe wyłącznie w przypadku, gdy nastąpi to z inicjatywy pracownika. W konsekwencji przepisy mają nie dawać więc możliwości prowadzenia przez pracodawcę rutynowej kontroli trzeźwości w stosunku do pracowników.

Rzeczpospolita formułuje zatem tezę, że pracodawcy “mogą przeprowadzić kontrole wyłącznie, gdy będą mieli podejrzenie, że pracownik spożywał alkohol. Dla celów dowodowych muszą natomiast korzystać z innych źródeł niż badanie alkomatem, np. nagrań z monitoringu czy świadków. Coraz częstsze będzie również wzywanie do zakładu pracy policji, aby to funkcjonariusz przeprowadził badanie”.

Jeden z naszych klientów zainteresował się tym tematem i poprosił o opinię w tym zakresie. Klient prowadzi działalność w formie transportu, zatrudniając przede wszystkim zawodowych kierowców. Dla zwiększenia bezpieczeństwa oraz wobec pojawiających się przypadków spożywania przez kierowców alkoholu, planuje on wprowadzić rutynowe kontrole trzeźwości. Czy wobec nowelizacji kodeksu pracy takie kontrole nie mogą być prowadzone? Według mnie tezy stawiane w komentowanym artykule są nieprawidłowe, a same przepisy zostały źle zrozumiane.

Pierwszym i zasadniczym problemem jest to, czy informacja o tym czy pracownik jest trzeźwy czy też trzeźwy nie jest stanowi daną osobową szczególnych kategorii – i w związku z tym czy stosujemy do nich art. 9 RODO. Aby tak było, dane te musimy zakwalifikować do jednej z następujących kategorii: dane ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Z tego całego katalogu do informacji o trzeźwości pracownika wstępnie pasować może wyłącznie kategoria danych dotyczących zdrowia. Umówmy się, że trudno uznać spożywanie alkoholu za daną ujawniającą przekonania światopoglądowe…

Zgodnie z definicją, dane dotyczące zdrowia oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia. Definicję rozwija motyw 35 RODO, który wskazuje, że do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą:

 – informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej; 

– numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; 

– informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; 

– wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.

Definicja ta jest bardzo szeroko, jednak mam wątpliwości czy objęte są nią informacja o tym czy pracownik jest trzeźwy czy nie. Z faktu bycia pracownika pod wpływem alkoholu nie sposób wnioskować o jego stanie zdrowia fizycznego lub psychicznego. Byłoby to w mojej ocenie znaczne nadużycie. W końcu nie każde spożycie alkoholu to zaraz choroba alkoholowa, marskość wątroby i inne schorzenia związane z piciem alkoholu. Oczywistym jest, że alkohol wpływa na funkcjonowanie organizmu, jednak w mojej ocenie nie każda informacja o funkcjonowaniu organizmu będzie daną o zdrowiu w rozumieniu RODO. Nie wpisuje się to w mojej ocenie w definicję zdrowia jako: stanu pełnego dobrostanu fizycznego, psychicznego i społecznego (definicja WHO). Definicji zdrowia jest jednak więcej (np. stan organizmu bez choroby), stąd wykładnia jest kwestią problematyczną.

W efekcie uznając, że informacja o trzeźwości pracownika nie stanowi informacji o jego stanie zdrowia i w efekcie danych szczególnych kategorii regulacja art. 9 RODO nie powinna nas interesować, a podstawy przetwarzania powinniśmy szukać w art. 6 RODO. Chociażby w uzasadnionym interesie pracodawcy. Jeśli bowiem zdarzało się, że w pracy pojawiali się „nawiani” pracownicy, taki interes będzie dosyć łatwo wykazać. Takiego interesu można w mojej ocenie można doszukiwać się także w obowiązkach pracowniczych i charakterystyce zakładu pracy. Jeśli pracownik wykonuje bardzo odpowiedzialne zadania dla których wykonania kluczowa jest trzeźwość, a brak tej trzeźwości może sprowadzić istotne i realne zagrożenie dla najważniejszych wartości to interes w badaniu trzeźwości przed dopuszczeniem do pracy jest dla mnie oczywisty. Będzie to dotyczyło na przykład osób zatrudnionych na stanowisku kierowców zawodowych. Z podobnych powodów według mnie można uznać za zasadne badanie alkomatem pracowników w zakładzie pracy, w którym występują istotne czynniki zagrożenia (np. materiały łatwopalne lub szkodliwe substancje). Obecność nietrzeźwego pracownika może wtedy realnie zwiększać ryzyko wystąpienia poważnego wypadku w pracy. 

Oczywiście należy pamiętać, że dla przyjęcia podstawy przetwarzania w postaci uzasadnionego interesu pracodawcy należy wcześniej przeprowadzić analizę ryzyka i w ramach tej analizy – test proporcjonalności pomiędzy interes pracodawcy jako administratora i prawami i wolnościami pracownika jako osoby, której dane dotyczą.

Drugą kwestią – nawet uznając informacje o trzeźwości pracownika za daną szczególnej kategorii, której przetwarzanie nie jest dopuszczalne – na znowelizowane przepisy w mojej ocenie należy spojrzeć wyłącznie jako regulacji uszczegóławiającej zgodę pracownika jako jedną z możliwych podstaw przetwarzania (art. 6 ust 1 lit a) RODO i art. 9 ust 2 lit a) RODO). Dodane do kodeksu pracy przepisy art. 221ai 221bw połączeniu z wcześniejszymi przepisami nie stanowi w mojej ocenie pełnej regulacji o tym kiedy dane pracownika mogą być przetwarzane. Ustawa nie wyłącza regulacji zawartych w RODO i zawartych tam podstaw przetwarzania danych osobowych innych niż zgoda i przepis prawa. Co więcej, w samym uzasadnieniu do ustawy wprowadzającej omawianą zmianę jest wskazane, że: „Przykładem (przetwarzania danych na podstawie innej niż przepis prawa i zgoda – przyp. autora) może być chociażby art. 9 ust. 2 lit. c RODO, w którym mowa, że podstawą przetwarzania danych osobowych może być ochrona żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody.” 

Trzeba wobec tego zauważyć, że wprowadzone nowelizacją przepisy kodeksu pracy dotyczą wyłącznie przetwarzania danych osobowych na podstawie zgody. Stanowią one, że dane „zwyczajne” pracownika mogą być przetwarzane na podstawie zgody z inicjatywy pracodawcy, pracownika lub osoby ubiegającej się o zatrudnienie, a dane szczególnych kategorii można przetwarzać wyłącznie, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika (art. 221b§ 1 Kodeksu pracy). Przepisy te w żadnej mierze nie wyłączają przetwarzania danych na podstawie innej przesłanki wskazanej w RODO

Wobec powyższego uważam (uznając dane o trzeźwości za dane szczególnych kategorii), że można rozważyć ich przetwarzanie na podstawie art. 9 ust. 2 lit. b) RODO który stanowi, że przetwarzanie jest dopuszczalne, jeśli jest ono niezbędne do wypełnienia obowiązków (..) przez administratora (…) w dziedzinie prawa pracy (…) o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą. Jako uzasadnienie dla stosowania tej podstawy przetwarzania można wskazać, że podstawowym obowiązkiem pracodawcy jest zapewnienie bezpieczeństwa i higieny pracy dla swoich pracowników. Pracodawca jest zobowiązany do podjęcia wszelkich możliwych działań dla ochrony życia i zdrowia pracowników. Obecność nietrzeźwego pracownika na terenie zakładu pracy może natomiast stwarzać zagrożenie dla bezpiecznych warunków pracy. Jego zachowanie może bowiem powodować realne zagrożenie, szczególnie jeśli chodzi o stanowiska pracy o dużej odpowiedzialności

Trzeba zauważyć na koniec, że wzmocnieniem tej argumentacji jest fakt, że z możliwości przetwarzania danych osobowych osoby ubiegającej się o zatrudnienie lub pracownika na podstawie ich zgody wyłączone są dane osobowe dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa – środków karnych oraz środków zabezpieczających (art. 10 RODO). Tego rodzaju dane osobowe można przetwarzać – zgodnie z art. 10 RODO – wyłącznie w przypadku, kiedy przepis prawa przewiduje obowiązek ich żądania przez pracodawcę lub obowiązek ich udostępnienia przez osobę ubiegającą się o zatrudnienie lub pracownika. Brakuje tożsamej regulacji dotyczącej danych szczególnych kategorii, o których mowa w art. 9 RODO. Tym samym nie ma w mojej ocenie żadnych przeszkód do tego, by podstawy przetwarzania danych osobowych poszukiwać w innych przesłankach, niż zgoda i przepis prawa. Koncepcja wykorzystania art. 9 ust. 2 lit. b) RODO jest według mnie wystarczająca. 

Na koniec trzeba zauważyć, że podstawy przetwarzania danych osobowych nie są żadną nowością wprowadzoną przez RODO. Trudno sobie wyobrazić, żeby w jakimkolwiek przypadku podstawą przetwarzania danych związanych z trzeźwością pracownika była zgoda. Taka koncepcja jest całkowicie karkołomna i niepraktyczna. Trudno mówić bowiem w tej sytuacji o jakiejkolwiek dobrowolności, która jest immanentną cechą zgody. Wobec tego budowanie argumentacji o możliwości pozyskiwania takich danych o pracowniku w kontekście znowelizowanych przepisów regulujących zgodę jawi się jako całkowite pomylenie pojęć. 

1 2 3 4