RODO w branży budowlanej

Zakres zastosowania i cel regulacji

Tak zwane RODO (lub GDPR w publikacjach angielskojęzycznych) to nienowa, ale dopiero od niedawna stosowana regulacja prawa Unii Europejskiej, która znajduje niemal powszechne zastosowanie na terenie Wspólnoty i nie tylko. Warto mieć bowiem na uwadze, że zgodnie z przepisami RODO znajduje ono zastosowanie również w sytuacji, kiedy dochodzi do przetwarzania danych obywatela Unii Europejskiej przez podmiot spoza Wspólnoty. Stąd pod koniec maja prośby o potwierdzenie chęci otrzymywania newsletterów czy zgody na przetwarzanie danych osobowych, a także informacje o wprowadzonych zmianach polityki prywatności napływały zewsząd – od małych firm lokalnych prowadzących sklep internetowy po gigantów branży technologicznej, takich jak Google czy Orange. Regulacjom rozporządzenia podlegają bowiem wszelkie przejawy przetwarzania danych osobowych, niezależnie od tego, czy dokonywane są przez przedsiębiorcę, czy przez osoby prywatne. Spod regulacji RODO wyłączono jedynie działania państw kluczowe dla jego bezpieczeństwa czy z zakresu wymiaru sprawiedliwości, a w odniesieniu do działań obywateli RODO nie znajdzie zastosowania, jeżeli operacje na danych osobowych dokonywane są w zakresie osobistych potrzeb lub potrzeb gospodarstwa domowego. Jednakże należy pamiętać, że przepisom RODO podlega przetwarzanie danych osób fizycznych,
ale już nie osób prawnych.

Ewolucja, nie rewolucja

Postęp technologiczny i rosnąca wartość danych osobowych jako swoistej waluty, w szczególności w działaniach prowadzonych za pośrednictwem internetu, przemawiały za koniecznością aktualizacji reguł towarzyszących procesowi ich przetwarzania, które dotychczas na terenie Wspólnoty uregulowane były przepisami krajowymi, opracowanymi na podstawie dyrektywy z 1995 roku. Z uwagi na transgraniczny charakter wymiany danych zdecydowano się wprowadzić jednakowe przepisy na terenie całej Unii Europejskiej. Zapewniają one wszystkim narzędzia pozwalające na większą samodzielną kontrolę nad procesami przetwarzania swoich udostępnionych danych osobowych. Wbrew powszechnej opinii, nowe przepisy nie stanowią rewolucji w systemie ochrony danych osobowych, a jego ewolucję. Wprowadzane reguły zmusiły wszystkie podmioty dokonujące operacji na danych osobowych do przyjrzenia się posiadanym danym osobowym. Do odpowiedzenia sobie na pytanie, czy pozyskano je w sposób legalny, czy są przetwarzane zgodnie z celem, dla którego zostały udostępnione, i czy zakres przetwarzanych danych jest adekwatny do celów, którym służą. RODO dodaje też nowe akcenty do procesów przetwarzania, kładzie większy nacisk na bezpieczeństwo przetwarzanych danych oraz na rozbudzenie świadomości osób fizycznych co do ich praw w odniesieniu do własnych danych osobowych. Administratorzy danych osobowych, którzy w pełni realizowali obowiązki przewidziane dotychczasowymi przepisami, nie powinni mieć istotnych problemów z przygotowaniem i działaniem zgodnie z nowym rozporządzeniem. Wyzwaniem organizacyjnym jest zapewne opracowanie i prowadzenie wymaganej przez RODO dokumentacji czy dopełnianie obowiązków informacyjnych. Jednak ciężar doboru środków technicznych i organizacyjnych służących zapewnieniu zgodnego z RODO przetwarzania danych osobowych przerzucony został na administratorów, którzy będą następnie rozliczani z tego, czy prawidłowo dostosowali swoje wewnętrzne procedury do wymogów RODO. Rozporządzenie podaje jedynie ogólne wytyczne w tym zakresie. Wynika to z fundamentu RODO, którym jest chęć ujednolicenia sposobu przetwarzania danych we wszystkich rodzajach działalności. Stąd nieco problematyczna ogólność regulacji, posługiwanie się często terminami nieostrymi. RODO przygotowane jest dla wszystkich rodzajów działalności, również szeroko pojętej branży budowlanej.

Administrator danych osobowych i podmiot przetwarzający

Inwestorzy w stosunku do osoby generalnego wykonawcy czy przyszłych nabywców lokali lub najemców oraz generalni wykonawcy w odniesieniu do podwykonawców czy dostawców będą podmiotami gromadzącymi i przetwarzającymi dane osobowe. Uczestnicy procesu inwestycyjnego, w rozumieniu szerszym niż ujmuje to Prawo budowlane, będą zatem administratorami danych osobowych lub tzw. podmiotami przetwarzającymi dane osobowe. Jest to kluczowe rozróżnienie wpływające na zakres obowiązków i odpowiedzialności z zakresu ochrony danych. Administrator to podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Podmiot przetwarzający dane osobowe, tak zwany „procesor”, działa na zlecenie administratora i współpracuje z nim, ale operacji na danych osobowych dokonuje wyłącznie na jego polecenie i w zakresie przez niego wskazanym. 
Nie podejmuje samodzielnych działań, nie kształtuje zakresu przetwarzanych danych ani celu ich przetwarzania. Przykładowo zatem – w przypadku inwestycji mieszkaniowych, gdzie działa szeroko umocowany inspektor nadzoru – administratorem danych osobowych przyszłych właścicieli lokali będzie inwestor, a inspektor nadzoru, dokonujący na przykład odbiorów lokatorskich, a zatem dysponujący danymi nabywców, będzie podmiotem przetwarzającym.
Istotne, że zgodnie z RODO administrator zobowiązany jest do odpowiedniego doboru współpracujących z nim podmiotów przetwarzających. Za ewentualne nieprawidłowości w sposobie przetwarzania danych, których dopuści się procesor, odpowiadać będzie bowiem również administrator – i to w pełnej wysokości, jest to bowiem odpowiedzialność solidarna. Konieczne jest zatem upewnienie się, że u procesora wprowadzono system techniczny i organizacyjny spełniający wymogi RODO. 

Umowy powierzenia przetwarzania danych osobowych

Nowe rozporządzenie zawiera ogólną wytyczną, zobowiązującą administratora do współpracy jedynie z procesorami zapewniającymi odpowiednie gwarancje co do stosowanych środków technicznych i organizacyjnych, które zabezpieczają powierzone dane osobowe. Podmiot przetwarzający może posługiwać się dalszymi podwykonawcami jedynie za uprzednią pisemną zgodą administratora. Podobnie jak miało to miejsce wcześniej, w przypadku, kiedy administrator w ramach prowadzonej działalności współpracuje z podmiotem przetwarzającym i w ramach tej współpracy podmiot przetwarzający będzie dokonywał operacji na danych osobowych, których dysponentem jest administrator, zobowiązani są oni zawrzeć umowę powierzenia przetwarzania danych osobowych. Podmiotem przetwarzającym nie będą wyłącznie podmioty współpracujące przy realizacji głównego przedmiotu działalności administratora, np. wykonawcy czy inspektorzy nadzoru, ale również firmy świadczące na rzecz administratora stałe usługi towarzyszące. Procesorem będzie zatem również zewnętrzna firma zajmująca się księgowością administratora, osoba, której zlecono archiwizację i przechowanie dokumentacji, a nawet firma świadcząca usługi z zakresu hostingu poczty e-mail.
W RODO przewidziano wymogi co do treści umowy powierzenia przetwarzania danych osobowych. W takiej umowie określić należy w szczególności przedmiot i czas powierzonego przetwarzania, jego charakter i cel, rodzaj powierzonych danych osobowych oraz kategorie osób, których przetwarzane dane dotyczą. Oczywiście, należy również określić prawa i obowiązki administratora i procesora: zobowiązanie do zachowania tajemnicy oraz stosowania odpowiednich środków organizacyjnych i technicznych, z prawem kontroli po stronie administratora, a także zasady współpracy przy dopełnianiu obowiązków względem osób, których dane dotyczą. 

Legalność przetwarzania

Dane osobowe należy rozumieć szeroko – jako informacje o zidentyfikowanej lub możliwej do zidentyfikowania, bezpośrednio lub pośrednio, osobie fizycznej. Zgodnie z założeniami, RODO określa podstawowe zasady wskazujące ramy działania podmiotów przetwarzających dane osobowe. Wymogom tym towarzyszy tzw. zasada rozliczalności, zgodnie z którą w razie kontroli, to administrator będzie musiał wykazać, że przetwarza dane osobowe zgodnie z przepisami. Przetwarzanie musi odbywać się zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą.

Regulacja przywiązuje dużą wagę do tego, aby dane osobowe do przetwarzania zostały pozyskane w sposób legalny. W kontekście podmiotów prywatnych działających w branży budowlanej najważniejsze wskazane w RODO przesłanki legalnego pozyskania i przetwarzania danych 
są następujące: 

• osoba, której dane dotyczą, musi wyrazić na to zgodę, przy czym zgoda musi być udzielona dobrowolnie, a wniosek o jej wyrażenie musi być jasny i precyzyjny,
• przetwarzanie musi być niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub dla wykonania żądania osoby, której dane dotyczą,
• przetwarzanie musi być niezbędne do wypełnienia prawnych obowiązków administratora danych,
• przetwarzanie musi być niezbędne do celów wynikających z przepisów prawa, które realizuje administrator,
• przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora.

Wielu administratorów nie miało tego typu informacji, w szczególności zgody pozyskiwane były „przy okazji”, a nie na podstawie jasnych i precyzyjnych komunikatów. Stąd pod koniec maja tak duża liczba maili proszących o potwierdzenie chęci „pozostania w kontakcie”, dalszego otrzymywania newslettera i tym podobnych.

Drugim elementem składającym się na legalność przetwarzania jest zapewnienie, aby dane osobowe zbierać w konkretnych i prawnie uzasadnionych celach. Jest to rozwiązanie znane już we wcześniejszym stanie prawnym. W oświadczeniach wyrażających zgodę na przetwarzanie danych osobowych każdorazowo wskazywany jest cel przetwarzania (np. w celach marketingowych, w celu przeprowadzenia transakcji). Wykorzystanie danych niezgodnie z celem wskazanym przy ich pobieraniu jest zabronione.

Ze wskazanym celem przetwarzania danych osobowych powiązana jest kolejna wytyczna RODO, aby zakres gromadzonych danych osobowych był adekwatny do celów, jakim zebrane dane mają posłużyć. Rozporządzenie wymaga od administratorów, aby nie gromadzić danych, które będą zbędne – nazywa się to zasadą minimalizacji danych. Przykładowo: inwestor w odniesieniu do podmiotów współpracujących nie będzie mógł zbierać danych o posiadanym wykształceniu.

Do celów realizacji inwestycji wystarczające w tym zakresie będą informację o posiadanych uprawnieniach budowlanych. Podobnie w stosunku do przyszłego nabywcy nieruchomości nie powinien prosić o podanie informacji np. o stanie zdrowia.

Przec

...