Spółdzielnie i wspólnoty mieszkaniowe, firmy budowlane, deweloperzy, zarządcy nieruchomości przetwarzają dane osobowe i zwykle są ich administratorem. To oznacza, że musza się przygotować do wdrożenia unijnych przepisów o ich ochronie. Do 25 maja, dnia kiedy zacznie być stosowane unijne rozporządzenie , został miesiąc. Tyle czasu mają więc na:
•    inwentaryzację:  ustalenie kogo dane, jakie, jak, po co, na jakiej podstawie, kto (którzy zatrudnieni), na czym, u kogo przetwarzają;
•    przygotowanie dokumentacji: opracowanie polityki/zasad ochrony danych, procedur informowania oraz rejestrów odbiorców danych, zgód, żądań osób, których dotyczą czy naruszeń;
•    aktualizację umów powierzania przetwarzania danych i współpracy;
•    testowanie, czyli sprawdzenie jak zadziałają przygotowane procedury.

- To ogrom pracy zwłaszcza, że przy każdej czynności zaczną się pojawiać szczegółowe pytania – mówi Maciej Gawroński, radca prawny, partner zarządzający Gawroński & Partners , który poprowadził szkolenie on-line "RODO w branży budowlanej i mieszkaniowej" zorganizowane przez serwis LEX Budownictwo.

Administrator i przetwarzający

Pierwsze pytanie, to kto jest administratorem, a kto przetwarzającym. Generalnie administratorem – czyli podmiotem, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych są spółdzielni i wspólnoty mieszkaniowe, firmy deweloperskie, projektowe, budowlane, inwestorzy. Wszystkie te podmioty bowiem posiadają informacje o zidentyfikowanych lub możliwych do zidentyfikowania osobach, które utrwalają, organizują, przechowują, przeglądają, udostępniają. Z kolei przetwarzającym jest ktoś, komu administrator powierzył dane i kto używa danych dla administratora, a więc zarządca nieruchomości, agent nieruchomości, gdy działa dla dewelopera, firma księgowa. Co ważne nie są to tylko dane właścicieli mieszkań, ale często też najemców, klientów, kontrahentów, przechodniów (z monitoringu, jeśli jest).

Czy numer lokalu podlega ochronie

-  Warto pamiętać, że numer lokalu, odczyt z licznika, numer ewidencyjny działki. Liczba mieszkańców w danym lokalu też mogą pozwolić na identyfikację, a więc są danymi osobowymi – podkreślał podczas szkolenia mecenas Gawroński. – Co więcej wśród tych danych, mogą być wrażliwe. Np. gdy zadłużony właściciel prośbę o rozłożenie zaległości na raty uzasadnia chorobą mamy czy żony, to jest to informacja o jej zdrowiu. Jeśli wniosek, ma być komuś pokazany czy przekazany, zgodnie z RODO nie tylko wnioskodawca powinien wyrazić na to zgodę, ale również osoba na którą się powołuje – podkreślał Gawroński.





Mecenas zwrócił jeszcze uwagę na inne dane o mieszkańcach. Otóż spółdzielnie czy wspólnoty wiedzą, że w danym lokalu mieszkają dwie kobiety czy dwóch mężczyzn, bez dzieci, i nie są to studenci, to może świadczyć o orientacji seksualnej. A takie dane trzeba chronić szczególnie. Pojawiło się więc pytanie, czy szyfrować pliki, maile, itp.? GIODO odpowiada, że tak. Mecenas Gawroński poradził jednak, aby najpierw ocenić, czy kiedykolwiek doszło do wycieku, jakaś osoba niepowołana miała wgląd do kartotek mieszkańców, nagrań z monitoringu, itp. Jeśli nie, to z wprowadzaniem szyfrowania można  się wstrzymać. Warto jednak dane zabezpieczyć dobrymi, a więc trudnymi, hasłami. Jeśli bowiem dane wyciekną, np. zarządca, członek zarządu zgubi pendriva z dokumentami, to nie będzie trzeba każdego, kogo dane na nim były, o tym poinformować. W ten sposób też minimalizuje się ryzyko wytoczenia procesu o odszkodowanie za naruszenie przepisów o ochronie danych.

Statut podstawą przetwarzania

Administratorzy musza pamiętać, że wymagana jest podstawa przetwarzania danych. Jeśli więc, chcą umieścić na klatce schodowej jaki wykaz, np. mieszkańców, numerów lokali wraz z wysokością czynszu, informacje o zadłużeniu lokali, to muszą uzyskać zgodę każdej z osób, której dane dotyczą. Podstawą przetwarzania może być jednak również wykonanie lub zawarcie umowy , a także prawny obowiązek administratora. Jeśli zatem obowiązek zbierania określonych danych wynika z obowiązującego statuty spółdzielni czy wspólnoty, to podstawą jest właśnie prawny obowiązek administratora.

Multum praw do spełnienia

Po 25 maja każdy będzie miał m.in.: prawo do informacji o zbieranych o nim danych, dostępu do nich i ich kopii, usunięcia (bycia zapomnianym). Nie będzie można ignorować tych próśb, bo rozporządzenie tego zakazuje. Co to oznacza w praktyce?

- Jeżeli wspólnota zbiera dane o odczytach licznika, to jej członek może poprosić o wgląd do nich, a także kopię, bo np. będzie chciał wiedzieć, ile mediów zużywa – tłumaczy mecenas Gawroński. I taką informację będzie trzeba udzielić.
- Administrator będzie miał miesiąc, aby odpowiedzieć na żądanie i trzy miesiące na jego spełnienie – podkreśla mecenas Gawroński. I tu pojawia się pytanie, czy każde żądanie, np. o usunięcie danych należy spełniać. Jeśli bowiem obowiązek ich przechowywania wynika z ustawy, to nie można ich usunąć.

A zatem odpowiedź na pytanie:   Czy trzeba zrealizować żądanie usunięcia danych osobowych z rejestru członków spółdzielni?, brzmi nie, ale na pytanie:  Czy na tablicy informacyjnej budowy muszą figurować dane osobowe inwestora budowy, wykonawców robót budowlanych, kierownika budowy, kierowników robót, inspektora nadzoru inwestorskiego oraz projektantów? - tak.

Oczywiście, jeśli dana osoba nie jest członkiem spółdzielni, a na tablicy informacyjnej pojawiło się nazwisko przypadkowej osoby i jej numer telefonu, a nie kierownika, to oczywiście, żądanie usunięcia jest uzasadnione.


  RODO. Przewodnik ze wzorami >>

Co więcej, jak już zostało wspomniane na początku, administrator musi prowadzić rejestry. Zatem musi mieć system, w którym odnotowuje zgłoszenie żądania. Musi tez prowadzić rejestr osób, którym dane udostępnia, a także rejestr naruszeń. I lepiej, aby były to rejestry w formie elektronicznej, bo trudno takie informacje zapisywac w zeszycie.

– Warto też mieć rejestr czynności przetwarzania, choć zatrudniający poniżej 250 osób nie muszą go robić – przekonuje mecenas Gawroński. Dlaczego?
I tu, praktycznie już na koniec szkolenia, mecenas odpowiedział cytatem z filmu pt. „Hydrozagadka”:  - Na Pani miejscu, Pani Jolu, wziąłbym udział w pieszym rajdzie PTTK na odznakę nizinną. Dobrze jest łączyć przyjemne z pożytecznym i dobrze jest mieć odznakę.

Podczas szkolenia padło wiele szczegółowych pytań. Nie na wszystkie mecenas Gawroński zdążył odpowiedzieć. Dlatego wkrótce na portalu budownictwo.abc.com.pl opublikujemy odpowiedzi na te najciekawsze.
 
Relację ze szkolenia on-line "RODO w branży budowlanej i mieszkaniowej" opracowała Jolanta Ojczyk. Całe szkolenie można obejrzeć w serwisie LEX Budownictwo