Kiedy myślimy o RODO w branży nieruchomości, a zwłaszcza w segmencie deweloperskim, to intuicyjnie kojarzymy dane osobowe klientów – w bazie marketingowej, sprzedażowej, czy już po zawartej umowie. Mając pewne doświadczenie w tej branży jako IOD chciałabym skierować Twoją uwagę na zdecydowanie mniej popularny obszar, czyli dział konstrukcji/realizacji inwestycji.
„Jak to?” – możesz zapytać – „Przecież tam tylko budują”. Nie da się ukryć, ale wiesz, że na budowie też mogą się pojawić nieprawidłowości w przetwarzaniu danych osobowych? Co więcej, miałam okazję analizować kilka naruszeń bezpieczeństwa danych właśnie w tej części biznesu.
„Gdzie jest to RODO na budowie?”
Zacznę od klasycznego przykładu – monitoring. Instalowanie kamer to powszechna praktyka, która ma służyć zabezpieczeniu mienia lub osób. Jeżeli taki monitoring jest prowadzony, to obiekt powinien być oznaczony tablicą informującą o tym, że jest pod stałym nadzorem kamer. Mogą to być piktogramy, informacje słowne “Obszar monitorowany”, czy inne jednoznaczne oznaczenia. Pamiętaj jednak, że nagrywanie obrazu może wiązać się z przetwarzaniem danych osobowych, dlatego konieczne jest także zamieszczenie na obszarze monitorowanym – najlepiej najpóźniej w momencie wejścia w ten obszar – klauzuli informacyjnej o przetwarzaniu danych. Trzeba dopilnować dodatkowo, żeby była ona odporna na warunki atmosferyczne (np. wydrukowana i zalaminowana, czy nadrukowana/wybita na tabliczce plastikowej czy metalowej).
Same kamery powinny być umieszczone w taki sposób, żeby nie naruszały prywatności pracowników, mieszkańców czy osób postronnych. Powinny być skoncentrowane np. na wejścia główne, czy ciągi komunikacyjne, ale nie na ulicę, park czy inne publiczne miejsce. Nie mogą obejmować prywatnych obszarów, jak mieszkania lub prywatne ogródki. Co do tego nie ma żadnych wątpliwości, bo potwierdził to sam UODO w wydanej przez siebie decyzji.[1]
Kolejna sprawa to utrwalany obraz z kamer. Wgląd do monitora, na którym wyświetla się nagranie, ma być możliwy tylko dla osób uprawnionych. Monitor nie może być ustawiony tak, aby wgląd do niego miały osoby postronne.
Jeżeli obraz jest rejestrowany, to termin przechowywania nagrań powinien być z góry oznaczony (zalecam, aby nie było to dłużej niż 30 dni). Po upływie tego terminu starsze nagrania powinny być usunięte lub nadpisane nowszymi.
Należy także pilnować, aby nagrania nie były udostępniane osobom innym, niż uprawnione do zapoznania się z nimi. Ze swojego doświadczenia zalecam, aby przyjąć zasadę, że nagrania mogą być udostępnione na zewnątrz wyłącznie organom państwowym (np. Policja, Straż Miejska) i tylko na pisemny wniosek, w którym wskazano co najmniej (obowiązkowo): podstawę prawną, cel i zakres udostępnienia. Wnioski takie powinny być każdorazowo weryfikowane, najlepiej konsultowane z IOD – w celu upewnienia się, co do możliwości udostępnienia danych i ustalenia bezpiecznej formy ich przekazania.
Jeżeli współpracujesz z zewnętrzną firmą w zakresie ochrony obiektu, to zwróć uwagę, czy w ramach zleconych usług nie pojawiają się czynności jak np.: prowadzenie rejestru pojazdów/osób, wydawanie przepustek, zarządzanie monitoringiem. Takie usługi z dużym prawdopodobieństwem będą się wiązać z dostępem firmy ochroniarskiej do danych osobowych, dlatego podmiot ten będzie podmiotem przetwarzającym dane na rzecz dewelopera. Konieczne jest uprzednie zweryfikowanie takiej firmy pod kątem przygotowania do ochrony danych (i spełnienia wymagań RODO), a po pozytywnej weryfikacji – podpisanie umowy powierzenia.
Co do przepustek czy rejestru wejść/wjazdu na obiekt – tutaj również jest pole do sprawdzenia, czy i jakie dane osobowe będą przy takiej okazji przetwarzane. I na tę okoliczność także trzeba przygotować klauzulę informacyjną dla osób, które zostawiają swoje dane osobowe podczas tych czynności.
„RODO na budowie” to także biura, w których przebywają pracownicy. W nich pracuje się często na komputerach przenośnych czy dokumentach dotyczących budowy. Biura powinny być zatem wyposażone w szafy/szafki zamykane na kluczyk, w których należy przechowywać dokumenty zawierające dane osobowe oraz przenośny sprzęt komputerowy pracownika (laptop, telefon służbowy). Kluczyki nie mogą pozostawać w szafce. Jak zawsze dobrym rozwiązaniem w przypadku laptopów jest też szyfrowanie dysku twardego. Jeden z incydentów, o których informowałam na wstępie, dotyczył właśnie włamania do biura na budowie i poza specjalistycznym sprzętem, skradziono także elektronikę, na której przetwarzano dane osobowe.
Taki obszar to również obszar przetwarzania danych osobowych przez pracowników, dlatego wszelkie procedury organizacyjne (np. zasady czystego biurka, czystego ekranu, korzystania z powierzonego sprzętu służbowego poza biurem, bezpiecznego korzystania z poczty elektronicznej, itp.) powinny obowiązywać także tych pracowników, którzy pracują z biura na terenie budowy.
Zachęcam też do przyjrzenia się bliżej kwestii przetwarzania danych pracowników wykonawców. Może się zdarzyć, że dla takich pracowników będą przygotowywane identyfikatory albo sporządzana dokumentacja związana z BHP na budowie. Umowy, procedury, oświadczenia, czy inne „druki” z tym związane powinny być sprawdzone przez IOD (lub inną osobę odpowiedzialną za nadzór w obszarze RODO) pod kątem interesujących nas przepisów: np. oceny zakresu danych, podstawy prawnej, okresu przechowywania danych, klauzuli informacyjnej.
Niszowa sprawa
Często spotykam się z tym, że mniej popularne czy „mniejsze” zakresowo tematy przetwarzania danych są traktowane po macoszemu. Zachęcam Cię do skupienia uwagi także i na tym obszarze biznesowej działalności, aby nic Cię nie zaskoczyło.
[1] https://www.uodo.gov.pl/decyzje/DS.523.399.2021
