Nový zákon č. 122/2013 Z. z. o ochrane osobných údajov je účinný od 1. júla 2013 a uložil aj realitným kanceláriám viaceré zásadné povinnosti. Ide o prísnejšiu verziu zákona než je tá, ktorá platila doposiaľ. Naviac, tento zákon bol v minulom roku v podstatných častiach pozmenený novelou č. 84/2014 Z.z., s účinnosťou od 15. apríla 2014.
Keďže realitné kancelárie sa pri svojej činnosti dostávajú do styku s osobnými údajmi svojich klientov (sú nimi identifikačné údaje, ktoré vyžadujú právne predpisy, najmä katastrálny zákon), vzťahujú sa na realitné kancelárie viaceré povinnosti vrátane povinnosti oznámiť informačný systém na Úrade na ochranu osobných údajov SR.
Realitným kanceláriám, ktoré si nestihli zaregistrovať svoj informačný systém do konca roka 2013, odporúčame, aby tak urobili čo najrýchlejšie, aj keď už po lehote, aby si zbytočne nezvyšovali pravdepodobnosť kontroly zo strany inšpektorov Úradu (pri týchto kanceláriách bude pravdepodobné, že nepoznajú zákon, a preto im bude možné ľahšie uložiť pokutu). Úrad oneskorené oznámenia IS nesankcionuje.
Medzi tie najpodstatnejšie povinnosti, ktoré nový zákon ukladá realitným kanceláriám, patrí:
1. Oznámenie informačného systému na Úrade na ochranu osobných údajov SR.
2. Povinnosť mať vypracovaný bezpečnostný projekt IS.
3. Povinnosť mať vypracované súvisiace bezpečnostné smernice.
4. Mať uzatvorenú písomnú zmluvu s maklérmi a inými spolupracujúcimi osobami.
Čo treba rozumieť pod pojmami „osobný údaj“ a čo pod pojmom “informačný systém”
Osobný údaj
V úvode objasnime, že nie každý údaj je súčasne osobným údajom. V zmysle § 4 ods. 1 zákona sú osobnými údajmi „údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.“ Zákon neustanovuje konkrétny zoznam údajov, ktoré sú považované za osobné údaje, ale vymedzuje ich prostredníctvom kvalifikačných znakov. Na to, aby tieto údaje boli osobnými údajmi, stačí, aby tieto údaje boli spôsobilé individualizovať konkrétnu fyzickú osobu. Nemusí pritom ísť výlučne o uvedenie jej mena, priezviska, dátumu narodenia či trvalého pobytu, môže ísť napríklad aj o iný identifikátor, akými je obrazový, zvukovo-obrazový záznam a pod., pričom tieto údaje (identifikátory) musia byť v takej vzájomnej kombinácii, aby mohla byť daná osoba konkretizovaná.
Keďže realitné kancelárie spracúvajú osobné údaje svojich klientov v rámci svojho informačného systému (databázy), je nepochybné, že všetky realitné kancelárie sú povinnými subjektmi – prevádzkovateľmi v zmysle zákona o ochrane osobných údajov a teda vzťahuje sa na ne povinnosť oznámiť ich informačný systém Úradu na ochranu osobných údajov SR.
Informačný systém realitnej kancelárie
Zákon podáva komplikovanú definíciu informačného systému. Podľa zákona je ním systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe (§ 4 ods. 3 písm. b) predmetného zákona). V prípade realitných kancelárií je ním teda akákoľvek databáza či súbory obsahujúce osobné údaje klientov (dotknutých osôb), či už sú to zmluvy (sprostredkovateľské, rezervačné alebo kúpne), náborové listy, formuláre alebo iné naskenované dokumenty uložené v počítačoch a tiež dokumenty vedené v listinnej podobe, vrátane fotokópií úradných dokladov a pod. Tieto dokumenty spolu tvoria tzv. informačný systém realitnej kancelárie, ktorý treba úradu oznámiť.
Takýto informačný systém bude podliehať oznámeniu, okrem tých prípadov, ak má realitná kancelária tzv. zodpovednú osobu, ktorá vykonala odbornú skúšku na Úrade a “garantuje” dodržiavanie zákona v realitnej kancelárii.
Zákon uložil realitným kanceláriám povinnosť zaregistrovať svoje informačné systémy do konca roka 2013. Nesplnenie tejto povinnosti v stanovenej lehote ešte nemusí byť pre problémom – úrad prihliada aj na oneskorené oznámenia IS bez uloženia pokuty. Do pozornosti je potrebné dať aj to, že zákon úradu ukladá možnosť uložiť pokutu pri akomkoľvek zistení porušenia podľa tohto zákona. Naviac, v určitých zákonom ustanovených prípadoch úrad pokutu musí uložiť. Je to jeho povinnosť a nemá možnosť zvažovať, či pokutu uloží alebo nie, jednoducho ju uloží. Je tomu tak vtedy, ak prevádzkovateľ (RK) nemá vypracovaný bezpečnostný projekt.
Bezpečnostný projekt a súvisiace bezpečnostné smernice
Bezpečnostný projekt je pomerne náročný dokument, ktorý musí reflektovať na presné špecifiká každej realitnej kancelárie. Podľa súvisiacej vyhlášky musí mať bezpečnostný projekt a smernice spracovaných takmer 58 parciálnych oblastí, ktorými sa musí realitná kancelária a jej makléri (a rovnako spolupracujúce osoby) riadiť a dodržiavať. Podlieha prísnej kontrole zo strany inšpektorov Úradu.
Aj preto sme sa od schválenia nového zákona o ochrane osobných údajov začali bližšie zaoberať touto problematikou a vypracovali sme pre realitné kancelárie “kostru” bezpečnostného projektu a smerníc, ktoré však musia byť odborne doplnené o mnohé špecifické údaje, ktoré nám majiteľ RK poskytne (v rámci komplexného dotazníka).
Inšpektori z Úradu na ochranu osobných údajov dôsledne kontrolujú, či bol bezpečnostný projekt vypracovaný v súlade s podmienkami prostredia kontrolovaného subjektu alebo ide len o pro forma neefektívny vzor projektu stiahnutý z internetu. Navyše podľa našich zistení sa zatiaľ na internete nenachádza žiaden vzor bezpečnostného projektu pre RK, ktorý by bol vypracovaný podľa nového zákona č. 122/2013 Z.z. v platnom znení.
Ak nemáte bezpečnostný projekt, je to jeden z najväčších prehreškov podľa zákona a preto tomu zodpovedá aj výška uloženej pokuty (§ 68 zákona č. 122/2013 Z.z.) Tieto siahajú až do výšky 200.000 EUR.
Nový bezpečnostný projekt bolo potrebné mať vypracovaný do konca marca 2014, ak ste mali vypracovaný starý BP podľa zákona č. 428/2002 Z.z., treba ho zosúladiť podľa aktuálnej právnej úpravy.
Zmluvný vzťah s maklérmi & ochrana osobných údajov
V prípadoch, ak maklér spolupracuje s realitnou kanceláriou na základe zmluvy mimo pracovného pomeru, je možné dôvodne predpokladať, že bude mať status sprostredkovateľa v zmysle § 8 zákona. V týchto prípadoch bude potrebné, aby realitná kancelária (v pozícii prevádzkovateľa) mala s maklérom (v pozícii sprostredkovateľa) uzatvorenú písomnú zmluvu tak, ako to vyžaduje zákon. Túto povinnosť si musí realitná kancelária splniť do konca júna 2015.
Na záver treba dodať, že nejde ani tak o výmysel našich zákonodarcov, ale o legislatívu “nanútenú” Slovensku z Európskej únie. V rámci európskeho priestoru čoraz viac silnejú snahy ochraňovať osobné údaje fyzických osôb vo väčšom rozsahu, než tomu bolo doteraz.
