Dołącz do czytelników
Brak wyników

Okiem prawnika

18 lipca 2018

NR 5 (Czerwiec 2018)

RODO w branży budowlanej

0 66

Dnia 25 maja 2018 roku nastąpiła istotna zmiana w zakresie przepisów prawnych regulujących zasady pozyskiwania i przetwarzania danych osobowych. Szerokim echem w publikacjach zajmujących się problematyką prawną i biznesową odbiło się rozpoczęcie stosowania właśnie od tego dnia na terenie Unii Europejskiej Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, nazywane w skrócie ogólnym rozporządzeniem o ochronie danych – RODO.

Zakres zastosowania i cel regulacji

Tak zwane RODO (lub GDPR w publikacjach angielskojęzycznych) to nienowa, ale dopiero od niedawna stosowana regulacja prawa Unii Europejskiej, która znajduje niemal powszechne zastosowanie na terenie Wspólnoty i nie tylko. Warto mieć bowiem na uwadze, że zgodnie z przepisami RODO znajduje ono zastosowanie również w sytuacji, kiedy dochodzi do przetwarzania danych obywatela Unii Europejskiej przez podmiot spoza Wspólnoty. Stąd pod koniec maja prośby o potwierdzenie chęci otrzymywania newsletterów czy zgody na przetwarzanie danych osobowych, a także informacje o wprowadzonych zmianach polityki prywatności napływały zewsząd – od małych firm lokalnych prowadzących sklep internetowy po gigantów branży technologicznej, takich jak Google czy Orange. Regulacjom rozporządzenia podlegają bowiem wszelkie przejawy przetwarzania danych osobowych, niezależnie od tego, czy dokonywane są przez przedsiębiorcę, czy przez osoby prywatne. Spod regulacji RODO wyłączono jedynie działania państw kluczowe dla jego bezpieczeństwa czy z zakresu wymiaru sprawiedliwości, a w odniesieniu do działań obywateli RODO nie znajdzie zastosowania, jeżeli operacje na danych osobowych dokonywane są w zakresie osobistych potrzeb lub potrzeb gospodarstwa domowego. Jednakże należy pamiętać, że przepisom RODO podlega przetwarzanie danych osób fizycznych,
ale już nie osób prawnych.

Ewolucja, nie rewolucja

Postęp technologiczny i rosnąca wartość danych osobowych jako swoistej waluty, w szczególności w działaniach prowadzonych za pośrednictwem internetu, przemawiały za koniecznością aktualizacji reguł towarzyszących procesowi ich przetwarzania, które dotychczas na terenie Wspólnoty uregulowane były przepisami krajowymi, opracowanymi na podstawie dyrektywy z 1995 roku. Z uwagi na transgraniczny charakter wymiany danych zdecydowano się wprowadzić jednakowe przepisy na terenie całej Unii Europejskiej. Zapewniają one wszystkim narzędzia pozwalające na większą samodzielną kontrolę nad procesami przetwarzania swoich udostępnionych danych osobowych. Wbrew powszechnej opinii, nowe przepisy nie stanowią rewolucji w systemie ochrony danych osobowych, a jego ewolucję. Wprowadzane reguły zmusiły wszystkie podmioty dokonujące operacji na danych osobowych do przyjrzenia się posiadanym danym osobowym. Do odpowiedzenia sobie na pytanie, czy pozyskano je w sposób legalny, czy są przetwarzane zgodnie z celem, dla którego zostały udostępnione, i czy zakres przetwarzanych danych jest adekwatny do celów, którym służą. RODO dodaje też nowe akcenty do procesów przetwarzania, kładzie większy nacisk na bezpieczeństwo przetwarzanych danych oraz na rozbudzenie świadomości osób fizycznych co do ich praw w odniesieniu do własnych danych osobowych. Administratorzy danych osobowych, którzy w pełni realizowali obowiązki przewidziane dotychczasowymi przepisami, nie powinni mieć istotnych problemów z przygotowaniem i działaniem zgodnie z nowym rozporządzeniem. Wyzwaniem organizacyjnym jest zapewne opracowanie i prowadzenie wymaganej przez RODO dokumentacji czy dopełnianie obowiązków informacyjnych. Jednak ciężar doboru środków technicznych i organizacyjnych służących zapewnieniu zgodnego z RODO przetwarzania danych osobowych przerzucony został na administratorów, którzy będą następnie rozliczani z tego, czy prawidłowo dostosowali swoje wewnętrzne procedury do wymogów RODO. Rozporządzenie podaje jedynie ogólne wytyczne w tym zakresie. Wynika to z fundamentu RODO, którym jest chęć ujednolicenia sposobu przetwarzania danych we wszystkich rodzajach działalności. Stąd nieco problematyczna ogólność regulacji, posługiwanie się często terminami nieostrymi. RODO przygotowane jest dla wszystkich rodzajów działalności, również szeroko pojętej branży budowlanej.

Administrator danych osobowych i podmiot przetwarzający

Inwestorzy w stosunku do osoby generalnego wykonawcy czy przyszłych nabywców lokali lub najemców oraz generalni wykonawcy w odniesieniu do podwykonawców czy dostawców będą podmiotami gromadzącymi i przetwarzającymi dane osobowe. Uczestnicy procesu inwestycyjnego, w rozumieniu szerszym niż ujmuje to Prawo budowlane, będą zatem administratorami danych osobowych lub tzw. podmiotami przetwarzającymi dane osobowe. Jest to kluczowe rozróżnienie wpływające na zakres obowiązków i odpowiedzialności z zakresu ochrony danych. Administrator to podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Podmiot przetwarzający dane osobowe, tak zwany „procesor”, działa na zlecenie administratora i współpracuje z nim, ale operacji na danych osobowych dokonuje wyłącznie na jego polecenie i w zakresie przez niego wskazanym. 
Nie podejmuje samodzielnych działań, nie kształtuje zakresu przetwarzanych danych ani celu ich przetwarzania. Przykładowo zatem – w przypadku inwestycji mieszkaniowych, gdzie działa szeroko umocowany inspektor nadzoru – administratorem danych osobowych przyszłych właścicieli lokali będzie inwestor, a inspektor nadzoru, dokonujący na przykład odbiorów lokatorskich, a zatem dysponujący danymi nabywców, będzie podmiotem przetwarzającym.
Istotne, że zgodnie z RODO administrator zobowiązany jest do odpowiedniego doboru współpracujących z nim podmiotów przetwarzających. Za ewentualne nieprawidłowości w sposobie przetwarzania danych, których dopuści się procesor, odpowiadać będzie bowiem również administrator – i to w pełnej wysokości, jest to bowiem odpowiedzialność solidarna. Konieczne jest zatem upewnienie się, że u procesora wprowadzono system techniczny i organizacyjny spełniający wymogi RODO. 

Umowy powierzenia przetwarzania danych osobowych

Nowe rozporządzenie zawiera ogólną wytyczną, zobowiązującą administratora do współpracy jedynie z procesorami zapewniającymi odpowiednie gwarancje co do stosowanych środków technicznych i organizacyjnych, które zabezpieczają powierzone dane osobowe. Podmiot przetwarzający może posługiwać się dalszymi podwykonawcami jedynie za uprzednią pisemną zgodą administratora. Podobnie jak miało to miejsce wcześniej, w przypadku, kiedy administrator w ramach prowadzonej działalności współpracuje z podmiotem przetwarzającym i w ramach tej współpracy podmiot przetwarzający będzie dokonywał operacji na danych osobowych, których dysponentem jest admini...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 6 wydań magazynu "Forum Nowoczesnego Budownictwa"
  • Dostęp do wszystkich archiwalnych artykułów w wersji online
  • ...i wiele więcej!
Sprawdź

Przypisy