GDPR V REALITNÍ KANCELÁŘI: CO S DATY KLIENTŮ SMÍTE A CO NE

Realitní kancelář denně pracuje s osobními údaji prodávajících, kupujících i zájemců o nemovitost. Co s těmito daty smíte, co naopak ne a kde realitní kanceláře nejčastěji chybují? Praktický přehled pro ředitele a majitele realitních kanceláří.

Stručná odpověď

Realitní kancelář smí zpracovávat osobní údaje klientů, pokud k tomu má některý ze stanovených právních důvodů, zpracovává jen údaje, které skutečně potřebuje, a po dobu, která je nezbytná. Co realitní kancelář naopak nesmí: plošně a automaticky kopírovat doklady totožnosti bez posouzení rizik, uchovávat data „pro jistotu“ bez jasně nastavené retenční doby, předávat údaje dodavatelům bez správně nastaveného režimu a nechávat dokumentaci klientů nezabezpečenou. Za porušení hrozí pokuta od Úřadu pro ochranu osobních údajů. Nejčastější a nejdražší chyby přitom vznikají z neznalosti, ne ze zlého úmyslu.

Proč se GDPR realitní kanceláře týká více, než si myslíte

Realitní zprostředkování je z pohledu ochrany osobních údajů jednou z citlivějších činností. Realitní kancelář během jediného obchodu pracuje se jmény, rodnými čísly, adresami, kontaktními údaji, informacemi o majetkových poměrech a často i s údaji o financování ze strany banky.

Tyto údaje navíc proudí mezi více subjekty: makléřem, kanceláří, advokátem, který připravuje smluvní dokumentaci, inzertními portály, případně bankou nebo odhadcem. GDPR, tedy nařízení Evropské unie 2016/679, je v České republice doplněno zákonem č. 110/2019 Sb., o zpracování osobních údajů. Dozor nad jeho dodržováním vykonává Úřad pro ochranu osobních údajů (ÚOOÚ).

Pro realitní kancelář z toho plyne jednoduchý závěr: nejde o formalitu, kterou lze vyřešit jednou stáhnutou šablonou z internetu, ale o nastavení procesů, které musí odpovídat tomu, jak kancelář reálně funguje. Realitní zprostředkování je navíc vázanou živností regulovanou zákonem č. 39/2020 Sb., o realitním zprostředkování. Realitní kancelář tedy podléhá hned několika regulačním vrstvám současně a ochrana osobních údajů je jednou z nich.

Co realitní kancelář s daty klientů smí

Zpracování osobních údajů je podle GDPR zákonné pouze tehdy, opírá-li se o některý z právních důvodů. V praxi realitní kanceláře jsou relevantní zejména tyto:

Plnění smlouvy. Pokud kancelář uzavírá zprostředkovatelskou smlouvu, potřebuje identifikační a kontaktní údaje klienta, aby mohla smlouvu plnit. Pro tyto údaje nepotřebujete samostatný souhlas, právním důvodem je samotná smlouva.

Plnění právní povinnosti. Realitní makléř je tzv. povinnou osobou podle zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (AML zákona), tedy zákona proti praní špinavých peněz. Z toho plyne povinnost identifikovat klienta. Zpracování údajů, které vyžaduje zákon, je legitimní bez souhlasu klienta.

Oprávněný zájem. Část zpracování lze opřít o oprávněný zájem kanceláře, například ochranu vlastních právních nároků nebo evidenci kontaktů. Tento právní důvod má ale své hranice a je potřeba umět ho doložit.

Souhlas. Souhlas se zpracováním osobních údajů je potřeba tam, kde zpracování nepokrývá žádný z předchozích důvodů. Souhlas musí být dobrovolný, konkrétní a klient ho může kdykoli odvolat. Klíčové je nezahrnovat „souhlas se vším“ do zprostředkovatelské smlouvy. Pokud zpracování stojí na plnění smlouvy nebo na zákonné povinnosti, vynucený souhlas je nadbytečný a může celé zpracování naopak zpochybnit.

Specifickou kapitolou je marketing. Vedle GDPR se na něj vztahují i pravidla pro zasílání obchodních sdělení podle zákona o některých službách informační společnosti. Jinak se posuzuje komunikace s existujícím klientem a jinak oslovování studených kontaktů. U elektronického marketingu, typicky e-mailingu, proto nestačí obecně odkázat na „oprávněný zájem“ nebo „souhlas“, ale je třeba nastavit konkrétní režim podle typu kontaktu a způsobu oslovení.

Co realitní kancelář s daty klientů nesmí

Tady vzniká většina problémů. Následující chyby se v realitní praxi objevují opakovaně.

Plošné kopírování občanských průkazů a pasů. Toto je častý zdroj nedorozumění. Realitní zprostředkovatel musí klienta podle AML zákona identifikovat, údaje z dokladu ověřit a zákonem stanovené údaje zaznamenat. Kopii občanského průkazu nebo pasu pro účely AML pořídit může, není to však automatická povinnost u každého klienta. Podle metodických pokynů Finančního analytického úřadu (FAÚ) by mělo kopírování dokladů probíhat podle posouzení rizik praní špinavých peněz a financování terorismu, ne plošně.Nadbytečné kopírování bez tohoto posouzení je v rozporu se zásadou minimalizace údajů. Navíc přináší bezpečnostní riziko: kopie dokladu uložená ve složce nebo v autě makléře je v případě ztráty nebo odcizení zneužitelná například k podvodnému vyřízení úvěru.

Uchovávání dat bez časového omezení. Osobní údaje nelze držet „navždy pro jistotu“. Doba uchování musí být omezená a odůvodnitelná. U údajů uchovávaných pro účely AML platí zákonná evidenční doba, typicky deset let od ukončení obchodního vztahu nebo provedení příslušného obchodu či identifikace. U ostatních údajů musí realitní kancelář nastavit retenční dobu podle konkrétního účelu, například plnění smlouvy, ochrana právních nároků, účetní povinnosti nebo marketing. Po uplynutí účelu a lhůty je potřeba dokumentaci protřídit a zlikvidovat, a to v papírové i elektronické podobě.

Předávání údajů bez správně nastaveného režimu. Realitní kancelář předává údaje klientů dalším subjektům. U dodavatelů, kteří údaje zpracovávají pro kancelář podle jejích pokynů, typicky IT správce, CRM systém nebo poskytovatel realitního softwaru, je zpravidla nutná zpracovatelská smlouva. U advokáta je situace jiná a vyžaduje individuální posouzení. Advokát při poskytování samostatné právní služby často vystupuje jako samostatný správce osobních údajů, nikoli jako zpracovatel, a má vlastní zákonné a stavovské povinnosti. V takovém případě zpracovatelská smlouva nemusí být správným nástrojem. Pokud by advokát naopak pouze technicky zpracovával údaje podle pokynů kanceláře, zpracovatelská smlouva namístě být může. Roli a režim je proto vždy potřeba posoudit konkrétně.

Nezabezpečená dokumentace. GDPR vyžaduje, aby osobní údaje zůstaly důvěrné. Praxe, kdy podklady ke smlouvám volně leží v kanceláři nebo ve voze makléře, případně kdy makléři sdílejí přístupy a hesla, je v rozporu se zásadou integrity a důvěrnosti. Riziko nese nejen konkrétní makléř, ale i kancelář jako celek. Oslovování studených kontaktů bez správně nastaveného režimu. Marketingové oslovování osob, které o nemovitost ani spolupráci dosud neprojevily zájem, je z pohledu GDPR i pravidel pro obchodní sdělení citlivé. Vyžaduje právní základ a konkrétní nastavení podle kanálu a typu kontaktu.

Povinnosti realitní kanceláře v praxi

Kromě toho, co kancelář smí a nesmí, ukládá GDPR i sadu konkrétních povinností:

• Záznamy o činnostech zpracování. Realitní kancelář by měla mít zpracované záznamy o tom, jaké údaje, za jakým účelem a po jakou dobu zpracovává. GDPR sice u menších subjektů zná omezenou výjimku, ale vzhledem k tomu, že realitní kancelář pracuje s údaji klientů opakovaně a systematicky, vedení záznamů je v praxi velmi vhodné a často obtížně nahraditelné.
• Informační povinnost. Klient musí být srozumitelně informován o tom, jak kancelář s jeho údaji nakládá. V praxi se to řeší informační doložkou ve smlouvě nebo na webu kanceláře.
• Zpracovatelské smlouvy. S dodavateli, kteří údaje zpracovávají pro kancelář podle jejích pokynů (typicky IT správce, CRM systém, poskytovatel realitního softwaru), je zpravidla nutná zpracovatelská smlouva. U dalších subjektů, jako je advokát, je třeba posoudit konkrétní roli a režim.
• Vnitřní směrnice a proškolení. Kancelář by měla mít interní pravidla pro nakládání s údaji a seznámit s nimi makléře i zaměstnance.
• Zabezpečení. Technická a organizační opatření odpovídající rozsahu zpracování, od zamykání dokumentů po správu přístupů.
• Reakce na žádosti klientů. Klient má právo na přístup ke svým údajům, na opravu, na výmaz (s výjimkou údajů, které kancelář musí uchovávat podle jiných zákonů) a na další postupy. Kancelář na ně musí umět včas reagovat.
• Ohlašování porušení zabezpečení. Dojde-li k úniku nebo ztrátě osobních údajů, má kancelář povinnost to ohlásit ÚOOÚ bez zbytečného odkladu, pokud možno do 72 hodin od okamžiku, kdy se o porušení dozvěděla. Výjimkou je situace, kdy je nepravděpodobné, že by porušení vedlo k riziku pro práva a svobody osob. Za stanovených podmínek je nutné informovat i dotčené klienty.

Potřebuje realitní kancelář pověřence pro ochranu osobních údajů?

Toto je častý dotaz a odpověď zní: běžná realitní kancelář pověřence pro ochranu osobních údajů (DPO) jmenovat povinně nemusí. Povinnost jmenovat pověřence vzniká podle GDPR jen tehdy, spočívá-li hlavní činnost správce v rozsáhlém a systematickém monitorování osob nebo v rozsáhlém zpracování zvláštních kategorií údajů. Typická realitní kancelář pod tuto definici nespadá.

To ale neznamená, že je téma uzavřené. Pověřence lze jmenovat i dobrovolně jako nástroj k posílení důvěry a snížení rizik. A i bez formálního pověřence platí, že odpovědnost za soulad s GDPR nese vedení kanceláře. Tu nelze přenést na nikoho jiného.

Pokuty: jak vysoké riziko reálně hrozí

GDPR rozlišuje dvě úrovně správních pokut. U závažnějších porušení je horní hranice 20 milionů eur nebo 4 % celkového ročního obratu, podle toho, která hodnota je vyšší. U méně závažných porušení činí horní hranice 10 milionů eur nebo 2 % celkového ročního obratu.Tato čísla zní hrozivě a často se používají ke strašení.

Realitě je ale potřeba rozumět správně. Uvedená částka je zákonné maximum, nikoli běžně udělovaná pokuta. Konkrétní výši stanoví ÚOOÚ vždy individuálně a zohledňuje řadu okolností: povahu, závažnost a délku trvání porušení, počet dotčených osob, zda šlo o úmysl nebo nedbalost, jaká opatření kancelář přijala a jak s úřadem spolupracovala. Pro běžnou realitní kancelář je reálná pokuta zpravidla výrazně nižší než zákonné maximum.

Pro ředitele realitní kanceláře z toho plyne praktický závěr. Skutečným rizikem není ani tak teoretická pokuta v řádu milionů eur, ale kombinace dílčích nákladů: čas strávený řešením stížnosti, poškození pověsti kanceláře u klientů a obchodních partnerů a v krajním případě spor s klientem, jehož údaje byly zneužity. Prevence vychází levněji než řešení následků.

Nejčastější chyby realitních kanceláří

1. Makléři plošně kopírují doklady totožnosti klientů bez posouzení rizik a nezbytnosti.
2. Kancelář uchovává osobní údaje bez nastavené retenční doby podle jednotlivých účelů.
3. S IT dodavatelem nebo realitním softwarem chybí zpracovatelská smlouva; u advokáta není jasně posouzeno, v jakém režimu vystupuje.
4. Smluvní dokumentace obsahuje nadbytečný „souhlas se vším“, ač zpracování stojí na plnění smlouvy nebo zákonné povinnosti.
5. Podklady klientů nejsou zabezpečené, makléři sdílejí přístupy.
6. Kancelář nemá zpracované záznamy o činnostech zpracování ani vnitřní směrnici.
7. Web kanceláře neobsahuje srozumitelné informace o zpracování osobních údajů.

Časté dotazy

Smí realitní makléř kopírovat občanský průkaz klienta?

Pro účely AML kopii pořídit může, není to však automatická povinnost u každého klienta. Plošné kopírování dokladů bez posouzení rizik a nezbytnosti je z hlediska GDPR i metodických pokynů FAÚ problematické.

Jak dlouho smí realitní kancelář uchovávat osobní údaje klientů?

Po dobu nezbytnou k naplnění účelu a splnění zákonných povinností. U údajů uchovávaných pro účely AML platí zákonná evidenční doba, typicky deset let od ukončení obchodního vztahu nebo provedení obchodu či identifikace. U ostatních údajů se retenční doba určuje podle konkrétního účelu.

Musí mít realitní kancelář pověřence pro ochranu osobních údajů?

Běžná realitní kancelář povinně ne. Povinnost vzniká jen při rozsáhlém systematickém monitorování osob nebo rozsáhlém zpracování citlivých údajů. Pověřence lze jmenovat dobrovolně.

Potřebuje realitní kancelář souhlas klienta se zpracováním údajů?

Ne pro všechno. Pro údaje nutné k plnění smlouvy nebo k splnění zákonné povinnosti souhlas potřeba není. Souhlas je namístě u zpracování nad tento rámec, typicky u marketingu.

Co hrozí realitní kanceláři za porušení GDPR?

Pokuta od ÚOOÚ, jejíž výši úřad stanoví individuálně podle závažnosti. Vedle pokuty je reálným rizikem poškození pověsti a spor s klientem.

Musí mít realitní kancelář zpracovatelskou smlouvu s advokátem?

Ne vždy. Záleží na tom, v jakém postavení advokát vystupuje. Pokud advokát poskytuje samostatnou právní službu, typicky bude spíše samostatným správcem osobních údajů. Pokud by však pouze technicky zpracovával údaje podle pokynů realitní kanceláře, mohla by být zpracovatelská smlouva namístě.

Závěr: GDPR jako součást profesionální realitní kanceláře

GDPR není pro realitní kancelář byrokratická zátěž, ale součást toho, co dělá kancelář důvěryhodnou. Klient, který svěřuje realitní kanceláři prodej nemovitosti, jí současně svěřuje citlivé informace o sobě a svém majetku. Kancelář, která s těmito daty umí zacházet, působí profesionálně. Kancelář, která to podcení, riskuje pokutu, spor i ztrátu pověsti. Většina chyb popsaných v tomto článku nevzniká ze zlého úmyslu, ale z toho, že realitní kancelář jede na obecných šablonách, které neodpovídají její skutečné praxi. Řešením je nastavit dokumentaci a procesy na míru tomu, jak kancelář reálně funguje. Jak si vybrat advokáta, který vám s tím pomůže, jsme rozebrali v článku Jak si realitní kancelář vybírá advokáta.

Pomůžeme vám nastavit GDPR ve vaší realitní kanceláři

Advokátní kancelář MACEK.LEGAL se dlouhodobě věnuje právu pro realitní kanceláře, makléře a developery. Připravíme vám smluvní a interní dokumentaci na míru, zkontrolujeme vaše zprostředkovatelské a rezervační smlouvy a nastavíme zpracování osobních údajů tak, aby odpovídalo tomu, jak vaše kancelář skutečně pracuje. Ozvěte se nám a domluvíme si nezávaznou konzultaci. Projdeme vaši současnou praxi a řekneme vám konkrétně, kde máte rizika a jak je odstranit.

#GDPR #nemovitosti #ochrana osobních údajů #realitní kanceláře