RODO w branży budowlanej i mieszkaniowej

Dodano: poniedziałek, 07 maja 2018 10:01
RODO w branży budowlanej i mieszkaniowej

Spółdzielnie i wspólnoty mieszkaniowe, firmy budowlane, deweloperzy, zarządcy nieruchomości przetwarzają dane osobowe i zwykle są ich administratorem. To oznacza, że muszą się przygotować do wdrożenia unijnych przepisów o ich ochronie. Ustawa RODO zacznie obowiązywać 25 maja 2018 r.

Do 25 maja wszyscy administratorzy danych osobowych mają czas na:

  • inwentaryzację: ustalenie kogo dane, jakie, jak, po co, na jakiej podstawie, kto (którzy zatrudnieni), na czym, u kogo przetwarzają;
  • przygotowanie dokumentacji: opracowanie polityki/zasad ochrony danych, procedur informowania oraz rejestrów odbiorców danych, zgód, żądań osób, których dotyczą czy naruszeń;
  • aktualizację umów powierzania przetwarzania danych i współpracy;
  • testowanie, czyli sprawdzenie jak zadziałają przygotowane procedury.

Administrator i przetwarzający dane osobowe

Administratorem danych czyli podmiotem, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych są spółdzielnie i wspólnoty mieszkaniowe, firmy deweloperskie, projektowe, budowlane, inwestorzy. Wszystkie te podmioty posiadają informacje o zidentyfikowanych lub możliwych do zidentyfikowania osobach, które utrwalają, organizują, przechowują, przeglądają, udostępniają. Z kolei przetwarzającym jest ktoś, komu administrator powierzył dane i kto używa danych dla administratora, a więc zarządca nieruchomości, agent nieruchomości, gdy działa dla dewelopera, firma księgowa. Co ważne nie są to tylko dane właścicieli mieszkań, ale często też najemców, klientów, kontrahentów, przechodniów (z monitoringu, jeśli jest).

Czy numer lokalu podlega ochronie danych osobowych?

Warto pamiętać, że numer lokalu, odczyt z licznika, numer ewidencyjny działki. Liczba mieszkańców w danym lokalu też mogą pozwolić na identyfikację, a więc są danymi osobowymi, mówi mecenas Maciej Gawroński, radca prawny, partner zarządzający Gawroński & Partners. Co więcej wśród tych danych, mogą być wrażliwe. Np. gdy zadłużony właściciel prośbę o rozłożenie zaległości na raty uzasadnia chorobą mamy czy żony, to jest to informacja o jej zdrowiu. Jeśli wniosek, ma być komuś pokazany czy przekazany, zgodnie z RODO nie tylko wnioskodawca powinien wyrazić na to zgodę, ale również osoba, na którą się powołuje, podkreśla Gawroński.

Statut podstawą przetwarzania danych osobowych

Zgodnie z RODO administratorzy muszą pamiętać, że wymagana jest podstawa przetwarzania danych. Jeśli więc, chcą umieścić na klatce schodowej jaki wykaz, np. mieszkańców, numerów lokali wraz z wysokością czynszu, informacje o zadłużeniu lokali, to muszą uzyskać zgodę każdej z osób, której dane dotyczą. Podstawą przetwarzania może być jednak również wykonanie lub zawarcie umowy, a także prawny obowiązek administratora. Jeśli zatem obowiązek zbierania określonych danych wynika z obowiązującego statuty spółdzielni czy wspólnoty, to podstawą jest właśnie prawny obowiązek administratora.

Ochrona danych osobowych w praktyce

Po 25 maja 2018 r. każdy będzie miał m.in.: prawo do informacji o zbieranych o nim danych, dostępu do nich i ich kopii, usunięcia (bycia zapomnianym). Nie będzie można ignorować tych próśb, bo rozporządzenie tego zakazuje. Administrator będzie miał miesiąc, aby odpowiedzieć na żądanie i trzy miesiące na jego spełnienie, podkreśla mecenas Gawroński. I tu pojawia się pytanie, czy każde żądanie, np. o usunięcie danych należy spełniać. Jeśli bowiem obowiązek ich przechowywania wynika z ustawy, to nie można ich usunąć.

Czy trzeba zrealizować żądanie usunięcia danych osobowych z rejestru członków spółdzielni? - Nie.
Czy na tablicy informacyjnej budowy muszą figurować dane osobowe inwestora budowy, wykonawców robót budowlanych, kierownika budowy, kierowników robót, inspektora nadzoru inwestorskiego oraz projektantów? - Tak.

Administrator musi prowadzić rejestry. Zatem musi mieć system, w którym odnotowuje zgłoszenie żądania. Musi tez prowadzić rejestr osób, którym dane udostępnia, a także rejestr naruszeń. Warto też mieć rejestr czynności przetwarzania, choć zatrudniający poniżej 250 osób nie muszą go robić, przekonuje mecenas Gawroński.

źródło: Wolters Kluwer
zdjęcie: Pixabay