iSecure logo
  • pl
  • en
    • Blog

    Kto jest administratorem danych w przedsiębiorstwie deweloperskim?

    Marcin Stryszko
    Kategorie

    Ochrona danych osobowych jest jednym z wyzwań w zakresie dostosowania organizacji do obowiązujących regulacji prawnych. Branża nieruchomości, w tym firmy deweloperskie, nie są wyjątkiem. Dbanie o ochronę danych osobowych klientów, partnerów biznesowych, pracowników czy podwykonawców jest nie tylko obowiązkiem prawnym, ale przede wszystkim kluczowym elementem budowania zaufania. Świadczy o profesjonalizmie oraz odpowiedzialności. Chcąc prawidłowo zaprojektować system ochrony danych osobowych, należy rozpocząć od postawienia najprostszego pytania: kto jest administratorem danych? Jest to kluczowy element, bez którego nie da się rozpocząć wdrażania lub skutecznie zweryfikować poziomu ochrony danych osobowych.

    Prosta struktura organizacyjna dewelopera

    Ustalenie kto jest administratorem danych nie sprawia żadnych problemów w przypadku najprostszej z możliwych struktur, czyli gdy przedsiębiorstwo deweloperskie składa się wyłącznie z jednej spółki. Przypomnijmy, iż administratorem danych w rozumieniu przepisów RODO jest podmiot (osoba fizyczna, prawna, organ publiczny lub inny podmiot), który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Co za tym idzie, w omawianej sytuacji, wszelkie podstawowe działania operacyjne, np.

    • prowadzenie spraw kadrowych,
    • prowadzenie księgowości,
    • sprzedaż nieruchomości,
    • prowadzenie działań marketingowych,
    • świadczenie usług dodatkowych (np. zarządzanie nieruchomością, czy aranżacja oraz wykończenie mieszkań),

    są realizowane przez ten jeden podmiot, który to jest administratorem danych osobowych.

    Rozbudowana struktura organizacyjna dewelopera

     Praktyka pokazuje, iż prosta struktura organizacyjna w omawianej branży występuje niezwykle rzadko. Realizowanie większej ilości inwestycji oraz chęć zwiększenia skali biznesu pociąga za sobą konieczność rozbudowania struktury. Prowadzi to do sytuacji, gdzie obowiązki są rozdzielone na wiele podmiotów odpowiedzialnych za pewną, wąską działkę biznesu. Spółki wchodzą w skład jednej grupy kapitałowej, a w oparciu o przepisy RODO powiedzielibyśmy, iż stanowią grupę przedsiębiorstw.

    Odpowiedź na pytanie: kto jest administratorem danych, wymaga od nas identyfikacja roli podmiotów w przetwarzaniu danych osobowych, z uwzględnieniem przepływu danych między nimi. Określenie, kto jest administratorem danych, wynika zatem z okoliczności faktycznych, w których podmiot podjął decyzję o samodzielnym przetwarzaniu danych osobowych dla własnych celów. Podając przykład: w większości przypadków, spółki celowe, utworzone na potrzeby realizacji konkretnej inwestycji, będą odrębnymi administratorami danych. Nie jest to jednak regułą i każdorazowo należy wziąć pod uwagę wszelkie okoliczności towarzyszące.

    Określając status podmiotów w przetwarzaniu danych osobowych, należy ustalić, kto ponosi odpowiedzialność i na jakiej zasadzie, czyli czy możemy przypisać danemu podmiotowi status administratora danych, współadministratora, czy być może podmiotu przetwarzającego. Pomocne mogą być poniższe punkty.

    Kto ponosi odpowiedzialność za:

    • zgodność przetwarzania z zasadami, o których mowa w art. 5 RODO,
    • wykonanie obowiązków informacyjnych wynikających z art. 13 lub art. 14 RODO,
    • realizację żądań osób, których dane dotyczą, wynikających z przepisów art. 15–22 RODO,
    • przetwarzanie danych, które prowadzi samodzielnie lub które prowadzone jest w jego imieniu (motyw 74).

    Istnieje jeszcze inny schemat współpracy, w którym relacje pomiędzy spółkami w grupie będą kształtować się w ten sposób, że jedna z nich przetwarza dane osobowe w imieniu drugiej. Dzieje się tak najczęściej w przypadku tzw. centrów usług wspólnych, gdzie wszystkie spółki w grupie korzystają ze wsparcia jednej ze spółek w zakresie świadczenia pewnych usług (np. informatycznych, księgowych, kadrowych, marketingowych, administrowania nieruchomością wspólną). Pomimo oczywistych powiązań między spółkami należy pamiętać o podstawowych obowiązkach wynikających z art. 28 RODO – w zakresie powierzenia do przetwarzania danych osobowych. Podmiot przetwarzający realizuje cele wyznaczone przez administratora danych w zakresie i granicach wynikających z zawartej umowy powierzenia.

    Przepływ danych wewnątrz grupy deweloperskiej

    Właściwe wskazanie administratora danych jest niezbędne w celu prawidłowego zaplanowania i uporządkowania przepływu danych pomiędzy spółkami wewnątrz grupy. Każdy podmiot, chcąc wymieniać się danymi osobowymi z innymi spółkami, musi dysponować stosowną podstawą prawną. Najczęściej do wymiany danych osobowych będzie dochodziło w ramach powierzenia przetwarzania danych osobowych. Jedna ze spółek, będąca administratorem danych, może powierzyć innej spółce posiadane dane osobowe w celu wykonania na tych danych pewnych operacji przetwarzania. Z reguły chodzi o świadczenie na rzecz innych spółek usług wsparcia technicznego, informatycznego (poczta elektroniczna, dysk wspólny), obsługę kadrową, płacową czy księgową (prowadzenie rekrutacji na rzecz innej spółki, obliczanie wynagrodzeń, centra rozliczeniowe). Inny z przykładów może dotyczyć działań marketingowych, wysyłki newsletterów czy obsługi call center. Jeszcze inna spółka może być powołana w celu świadczenia usług w zakresie zarządzania nieruchomością wspólną.

    Kolejny scenariusz dotyczy udostępnienia danych osobowych odrębnemu administratorowi. Pierwszy z przykładów może dotyczyć prowadzenia rachunku powierniczego, do czego są zobowiązani deweloperzy rozpoczynający sprzedaż. Dane osobowe każdej osoby, która w związku z planowanym nabyciem nieruchomości będzie stroną rachunku powierniczego, są przekazywane do Banku w celu zarządzania środkami dostępnymi na rachunku powierniczym.

    Przesyłanie danych osobowych może również odbywać się pomiędzy spółkami wchodzącymi w skład grupy przedsiębiorstw. Sama „grupa przedsiębiorstw” oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane, przy czym sprawowanie kontroli oznacza możliwość wywierania dominującego wpływu ze względu na strukturę właścicielską lub udział finansowy. Podstawą legalizującą wymianę danych osobowych może być np. prawnie uzasadniony interes polegający na przesyłaniu danych (zarówno klientów, jak i pracowników) w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych.

    Podsumowanie

    Niezależnie od tego, kto pełni rolę administratora danych w rozbudowanej strukturze spółek, ważne jest, aby taka struktura była jasno zdefiniowana, a procesy przetwarzania danych były zgodne z przepisami prawa o ochronie danych osobowych. Prawidłowe zarządzanie danymi obejmuje również zorganizowaną komunikację i współpracę między poszczególnymi podmiotami, aby zapewnić spójność i skuteczność działań związanych z ochroną danych osobowych. Wszelkie te informacje powinny być w niezbędnym zakresie dostępne wszystkim osobom, których dane są przetwarzane przez spółki z grupy. Każda z osób powinna być świadoma, kto jest administratorem jej danych osobowych i w razie konieczności, do którego podmiotu może się zwrócić z żądaniem realizacji przysługujących praw. Niezwykle pomocne może być wyznaczenie osoby wspierającej administratora danych swoimi wskazówkami. Mowa tu oczywiście o inspektorze ochrony danych. Pamiętajmy, iż grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, który będzie punktem kontaktowym dla organu nadzorczego czy osób, których dane dotyczą.

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Katarzyna Ułasiuk-Delamare

    Monitoring wizyjny (i nie tylko) na budowie

    Kiedy myślimy o RODO w branży nieruchomości, a zwłaszcza w segmencie deweloperskim, to intuicyjnie kojarzymy dane osobowe klientów – w bazie marketingowej, sprzedażowej, czy już po zawartej umowie. Mając pewne doświadczenie w tej branży jako IOD chciałabym skierować Twoją uwagę na zdecydowanie mniej popularny obszar, czyli dział konstrukcji/realizacji inwestycji. „Jak to?” – możesz zapytać – […]

    Czytaj więcej
    Katarzyna Ułasiuk-Delamare

    Bezpieczne zbieranie leadów: jak stworzyć formularz kontaktowy zgodny z RODO w branży deweloperskiej?

    Załóżmy taki scenariusz: tworzysz stronę internetową nowej inwestycji. Pomiędzy układem, grafiką, danych o lokalach, pojawia się też temat formularza kontaktowego. Jak go zaprojektować, żeby był zgodny z RODO? Cele przetwarzania Jak nie wiadomo, od czego zacząć, to najlepiej zacząć od początku. A więc – czemu ma w ogóle służyć Twój formularz kontaktowy? Oczywiście ma on […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki