Deweloperzy obawiają się nowych przepisów o ochronie danych osobowych.
– To będzie nowa maszyna do zarabiania pieniędzy dla pseudoorganizacji społecznych. Dociera do nas coraz więcej sygnałów w tej sprawie. – ostrzega Przemysław Dziąg, radca prawny z Polskiego Związku Firm Deweloperskich.
Szukanie luk
25 maja 2018 r. wchodzi w życie unijne rozporządzenie dotyczące ochrony danych osobowych, tzw. RODO. Wtedy też powinna zacząć obowiązywać ustawa, nad której projektem pracuje resort cyfryzacji.
Od tej daty będzie trzeba przestrzegać rygorystycznych przepisów, za których naruszenie grozi kara nawet do równowartości 20 mln euro. Tymczasem tylko kilka procent firm spełnia wymogi unijne. I nie zanosi się, by zdążyły przeprowadzić takie zmiany, by się dostosować (patrz ramka).
– Obawiamy się, że rzekomi klienci będą wyszukiwać luki i błędy w systemie ochrony danych osobowych, a potem grozić, że zgłoszą to prezesowi Urzędu Ochrony Danych Osobowych, jeżeli deweloper ich nie usunie – mówi mec. Dziąg. – Dane, którymi dysponujemy, przekazujemy generalnemu wykonawcy na budowie, a ten podwykonawcom. Jest więc cały łańcuch osób, które przetwarzają dane naszych klientów. Prawdopodobieństwo, że któreś z tych ogniw zawiedzie, jest duże. A za każde z tych przewinień odpowie deweloper jako administrator danych.
To żadna niespodzianka
Firmy same są sobie winne.
– Były dwa lata na dostosowanie się do nowych wymogów – uważa dr Paweł Litwiński, adwokat w Kancelarii Barta Litwiński. – Niestety, większość firm przespała ten okres i raczej nie zapowiada się, by udało im się nadgonić spóźnienie do 25 maja. Dlatego będą łatwym celem dla potencjalnych naciągaczy, którzy z pewnością się znajdą – mówi mec. Litwński.
Według niego może też dochodzić do procesów sądowych.
– Pewien znany aktywista powołał nawet specjalną fundację, która będzie wspierała procesy wytaczane przez organizacje i samych konsumentów – dodaje Paweł Litwiński.
– Czy przedsiębiorcy rzeczywiście mają się czego obawiać? To w dużej mierze zależy od przepisów proceduralnych ustawy uzupełniającej RODO, której wstępny projekt przygotowało Ministerstwo Cyfryzacji, oraz od praktyki organu nadzorczego, który zastąpi GIODO – mówi dr Grzegorz Sibiga z Instytutu Nauk Prawnych PAN. – Powinno się stanowczo przeciwdziałać nadużyciom. Do postępowań w sprawie realizacji praw osób, których dane dotyczą, powinny być dopuszczane jedynie te organizacje społeczne, które faktycznie działają w sferze praw i wolności i które reprezentują interesy konkretnych osób fizycznych – twierdzi Sibiga.
Według niego nie można jednak nie docenić roli tych organizacji, które mogą realnie wesprzeć zwykle słabiej przygotowane do sporu osoby, których prawa naruszono. Uspokaja też, że nie ma możliwości formalnego uczestniczenia organizacji w postępowaniu o nałożenie kary, ponieważ nie występuje żaden interes przemawiający za ich udziałem w tej procedurze.
Historia się powtarza
Szantażowanie deweloperów nie jest niczym nowym. Przez długie lata jak grzyby po deszczu wyrastały stowarzyszenia, które wyszukiwały klauzule niedozwolone we wzorcach umów. Następnie wnosiły pozwy przeciwko deweloperom. Żądały w nich uznania postanowień wzorca umownego za niedozwolone, albo proponując ugodę na określoną sumę, albo egzekwując zasądzone na ich rzecz koszty procesu.
Z czasem ten proceder ukrócono. Głośno było też o pseudoekologach, którzy wyspecjalizowali się w blokowaniu inwestycji na etapie wydawania decyzji środowiskowych.
Nowe przepisy nakładają liczne obowiązki na administratora danych. Są to m.in.:
– zawarcie umów powierzenia przetwarzania oraz wyborów właściwego podmiotu przetwarzającego zapewniającego bezpieczeństwo danych osobowych,
– zawarcie i przestrzeganie uzgodnień między współadministratorami danych,
– wykonywanie obowiązków informacyjnych wobec osób, których dane dotyczą, w tym prawa otrzymania kopii własnych danych,
– prowadzenie rejestru czynności przetwarzania danych,
– obowiązki zabezpieczenia danych osobowych, w tym: ochrona danych w fazie projektowania, domyślne ustawienia w ochronie danych.
