secretariat@abi.org.ro
0731-010-145
GDPR - Sunteti pregatiti?
gdpr
Scopul GDPR: protejarea drepturilor și libertăților fundamentale ale persoanelor fizice și, în special, a dreptului acestora la protecția datelor cu caracter personal.
Definiții
În sensul GDPR:
date cu caracter personal” înseamnă orice informații privind o persoană fizică identificată sau identificabilă („persoana vizată”); o persoană fizică identificabilă este o persoană care poate fi identificată, direct sau indirect, în special prin referire la un element de identificare, cum ar fi un nume, un număr de identificare, date de localizare, un identificator online, sau la unul sau mai multe elemente specifice, proprii identității sale fizice, fiziologice, genetice, psihice, economice, culturale sau sociale;
Asta inseamna ca numele unui client, numarul lui de telefon si adresa de email sunt date cu caracter personal.
prelucrare” înseamnă orice operațiune sau set de operațiuni efectuate asupra datelor cu caracter personal sau asupra seturilor de date cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea;
Salvarea datelor personale intr-o baza de date/soft CRM, inclusiv in agenda telefonului sau in contactele din clientul de email este sau poate fi considerata prelucrarea acestora.
sistem de evidență a datelor” înseamnă orice set structurat de date cu caracter personal accesibile conform unor criterii specifice, fie ele centralizate, descentralizate sau repartizate după criterii funcționale sau geografice;
Softurile imobiliare de tip CRM se incadreaza in aceasta categorie.
operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; atunci când scopurile și mijloacele prelucrării sunt stabilite prin dreptul Uniunii sau dreptul intern, operatorul sau criteriile specifice pentru desemnarea acestuia pot fi prevăzute în dreptul Uniunii sau în dreptul intern;
Brokerul imobiliar este un operator de date personale.
persoană împuternicită de operator” înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau alt organism care prelucrează datele cu caracter personal în numele operatorului;
Daca brokerul salveaza datele intr-un soft imobiliar, atunci dezvoltatorul softului este persoana imputernicita de operator sa prelucreze date personale. Cu alte cuvinte, daca brokerul salveaza datele personale ale unui client in softul imobiliar, atunci responsabilitatea pentru integritatea datelor personale cade in sarcina softului, dar numai pe baza unui acord scris in acest sens intre operator (broker) si persoana imputernicita (soft).
Articolul 6 din GDPR Legalitatea prelucrării
(a) Prelucrarea este legală numai dacă și în măsura în care se aplică cel puțin una dintre următoarele condiții:

(b) prelucrarea este necesară pentru executarea unui contract la care persoana vizată este parte sau pentru a face demersuri la cererea persoanei vizate înainte de încheierea unui contract;
(c) prelucrarea este necesară în vederea îndeplinirii unei obligații legale care îi revine operatorului;

(f) prelucrarea este necesară în scopul intereselor legitime urmărite de operator sau de o parte terță ….
              Asta inseamna ca toate demersurile intreprinse de broker pentru clientii sai si implicit prelucrarea datelor personale, chiar inaintea semnarii unui contract, sunt considerate legale, fara a fi necesar un acord explicit din partea clientului in acest sens. Mai mult decat atat, pentru indeplinirea obligatiilor legale cu privire la semnarea contractelor de prestari servicii si facturarea serviciilor (Codul Civil si Codul Fiscal), suntem obligati sa prelucram date cu caracter personal.
              Deci prelucrarea datelor personale ale clientilor nostri nu are nevoie de consimtamant si nu are la baza consimtamantul clientilor, ci interesul legitim si obligatie legala. Totusi, asta nu inseamna ca nu suntem responsabili de prelucrarea datelor. Mai mult decat atat, este foarte important ce se intampla cu datele clientilor, cine si in ce scop le prelucreaza, pentru a nu incalca drepturile personei vizate.
Drepturile persoanei vizate
Articolul 12 Operatorul ia măsuri adecvate pentru a furniza persoanei vizate orice informații legate de datele personale si referitoare la prelucrare, într-o formă concisă, transparentă, inteligibilă și ușor accesibilă, utilizând un limbaj clar și simplu, în special pentru orice informații adresate în mod specific unui copil. Informațiile se furnizează în scris sau prin alte mijloace, inclusiv, atunci când este oportun, în format electronic.
Informare și acces la date cu caracter personal
Articolul 13 Informații care se furnizează în cazul în care datele cu caracter personal sunt colectate de la persoana vizată (1) În cazul în care datele cu caracter personal referitoare la o persoană vizată sunt colectate de la aceasta, operatorul, în momentul obținerii acestor date cu caracter personal, furnizează persoanei vizate toate informațiile următoare:
(a) identitatea și datele de contact ale operatorului și, după caz, ale reprezentantului acestuia;
(b) datele de contact ale responsabilului cu protecția datelor, după caz;
(c) scopurile în care sunt prelucrate datele cu caracter personal, precum și temeiul juridic al prelucrării;

e) destinatarii sau categoriile de destinatari ai datelor cu caracter personal;
In plus față de informațiile menționate la alineatul (1), în momentul în care datele cu caracter personal sunt obținute, operatorul furnizează persoanei vizate următoarele informații suplimentare necesare pentru a asigura o prelucrare echitabilă și transparentă:
(a) perioada pentru care vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă;
(b) existența dreptului de a solicita operatorului, în ceea ce privește datele cu caracter personal referitoare la persoana vizată, accesul la acestea, rectificarea sau ștergerea acestora sau restricționarea prelucrării sau a dreptului de a se opune prelucrării, precum și a dreptului la portabilitatea datelor;

(d) dreptul de a depune o plângere în fața unei autorități de supraveghere;
(e) dacă furnizarea de date cu caracter personal reprezintă o obligație legală sau contractuală sau o obligație necesară pentru încheierea unui contract, precum și dacă persoana vizată este obligată să furnizeze aceste date cu caracter personal și care sunt eventualele consecințe ale nerespectării acestei obligații;
Articolul 15 Dreptul de acces al persoanei vizate
(1) Persoana vizată are dreptul de a obține din partea operatorului o confirmare că se prelucrează sau nu date cu caracter personal care o privesc și, în caz afirmativ, acces la datele respective și la următoarele informații:
(a) scopurile prelucrării; (b) categoriile de date cu caracter personal vizate; (c) destinatarii sau categoriile de destinatari cărora datele cu caracter personal le-au fost sau urmează să le fie divulgate, în special destinatari din țări terțe sau organizații internaționale; (d) acolo unde este posibil, perioada pentru care se preconizează că vor fi stocate datele cu caracter personal sau, dacă acest lucru nu este posibil, criteriile utilizate pentru a stabili această perioadă; (e) existența dreptului de a solicita operatorului rectificarea sau ștergerea datelor cu caracter personal ori restricționarea prelucrării datelor cu caracter personal referitoare la persoana vizată sau a dreptului de a se opune prelucrării; (f) dreptul de a depune o plângere în fața unei autorități de supraveghere; (g) în cazul în care datele cu caracter personal nu sunt colectate de la persoana vizată, orice informații disponibile privind sursa acestora;
Pentru a putea pune in aplicare art.12-15, brokerul trebuie sa aiba la dispozitie functii avansate de aplicare a GDPR in softul de gestiune imobiliara. Atentie, exista un termen de 30 de zile pentru a raspunde unei solicitari din partea unui persoane vizate, deci nu va panicati deocamdata!
Articolul 24 Responsabilitatea operatorului
(1) Ținând seama de natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și de riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice, operatorul pune în aplicare măsuri tehnice și organizatorice adecvate pentru a garanta și a fi în măsură să demonstreze că prelucrarea se efectuează în conformitate cu prezentul regulament. Respectivele măsuri se revizuiesc și se actualizează dacă este necesar.
Deci responsabilitatea juridica cade in sarcina brokerului.
Articolul 28 Persoana împuternicită de operator
(1) În cazul în care prelucrarea urmează să fie realizată în numele unui operator, operatorul recurge doar la persoane împuternicite care oferă garanții suficiente pentru punerea în aplicare a unor măsuri tehnice și organizatorice adecvate, astfel încât prelucrarea să respecte cerințele prevăzute în prezentul regulament și să asigure protecția drepturilor persoanei vizate.

(3) Prelucrarea de către o persoană împuternicită de un operator este reglementată printr-un contract ...
Intre broker si softul imobiliar (persoana imputernicita) trebuie sa existe un acord scris/contract.
DPO – responsabilul cu protectia datelor nu este obligatoriu decat pentru institutii publice sau entitati care prelucreaza la scara larga date cu caracter personal. Asta inseamna ca nici brokerul si nici imputernicitul nu este obligat sa angajeze un DPO daca nu se incadreaza in categoriile de mai sus.
Concluzie
GDPR este un set de masuri pe care noi toti trebuie sa le intreprindem pentru a proteja drepturile clientilor nostri cu privire la datele cu caracter personal. Nu trebuie sa ne speriem, nu trebuie sa exageram, cu siguranta la inceput vor fi foarte multe neintelegeri si interpretari eronate, dar pe parcurs lucrurile vor intra pe un fagas normal si toata lumea va sti cum sa aplice GDPR.