iSecure logo
  • pl
  • en
    • Blog

    Hic sunc dracones – o czym powinien pamiętać deweloper w kontekście RODO?

    Daniel Taberski
    Kategorie

    „HC SVNT DRACONES” (łac. hic sunt dracones – „tu są smoki”) to termin, który czasem można było znaleźć na średniowiecznej czy renesansowej mapie – naniesiony w miejscu, o którym autor mapy nic nie wiedział. Ten brak wiedzy oczywiście skutkowało założeniem, że są tam wszelkiej materii potwory morskie, smoki niczym ten na globusie z 1508 roku, czy ludzie z jedną nogą i wielką stopą kryjący się w cieniu tej stopy pod palącym Słońcem. Można go czytać jako symbol strachu przed nieznanym.

    Po 6 latach stosowania RODO takich niezbadanych krain ze smokami zostało niewiele. Na przypadającą w sobotę 25 maja rocznicę obowiązywania rozporządzenia 2016/679 napiszemy o tym, na co przedsiębiorcy z branży deweloperskiej powinni szczególnie uważać w 2024 roku. Są to:

    • brak lub nieaktualna analiza ryzyka,
    • niewłaściwy nadzór nad procesorami,
    • współpraca w ramach grupy kapitałowej.

    Analiza ryzyka

    Z licznych audytów w zakresie ochrony danych osobowych, które przeprowadził autor tego artykułu wynika niestety, że analizy ryzyka pozostają wysoce problematycznym obszarem dla wielu przedsiębiorstw. Przez „wysoce problematyczny” rozumiem, że wiele firm albo nie ma ich wcale, albo  zrobiło ją raz przy wdrożeniu RODO (najpowiewniej w 2018 roku) i nigdy nie aktualizowało.

    Dlaczego analiza ryzyka jest ważna? Praktyka orzecznicza Prezesa UODO (jak również publikacje na jego stronie internetowej i nasze doświadczenia w reprezentacji Klientów w razie incydentu) pokazują, że jest to jeden z pierwszych obszarów, które są analizowane w razie kontroli. Informując o niedawnej decyzji o nałożeniu kary na Politechnikę Warszawską UODO wskazał, iż „zastosowanie środków technicznych bez dokonania uprzedniej analizy ryzyka dla procesu przetwarzania danych osobowych nie może dawać gwarancji, że zastosowane środki będą skuteczne i adekwatne”. Podobne stanowisko znalazło się w decyzji o nałożeniu kary na P. Sp. z o.o.

    Problematyczne jest również posiadanie nieaktualnej analizy ryzyka – może ona dawać złudne poczucie bezpieczeństwa. Złudne, bo z upływem czasu zmieniają się nie tylko zagrożenia (w 2018 roku dopiero nieśmiało pojawiała się powszechna dziś metodyka „Big Game Hunting” w stosowaniu ransomware), ale również i organizacja, która ową analizę przeprowadziła.

    Błędem jest też traktować analizę ryzyka wyłącznie jako papierek, którzy trzeba „odbębnić” czy „odhaczyć” dla zapewnienia zgodności z przepisami. Dobrze przeprowadzona, jest niezwykle cennym narzędziem dla uniknięcia incydentu o bardzo poważnych (finansowo, wizerunkowo i operacyjnie) konsekwencjach. Analiza ryzyka udziela też odpowiedzi na pytanie które obszary bezpieczeństwa wymagają wzmocnienia w pierwszej kolejności. Takie oparte na danych podejście do alokacji zasobów pozwala  odpowiednio priorytetyzować inwestycje w bezpieczeństwo.

    Nadzór nad procesorami

    We współczesnych realiach gospodarczych trudno znaleźć firmę, która nie korzysta z żadnych usług dostarczanych przez podmioty zewnętrzne. Obsługa księgowo – kadrowa, IT, archiwizacja dokumentów, headhunting, marketing internetowy to tylko niektóre procesy, które często zlecane są w ramach outsourcingu. I wszystkie te działania wymagają zawarcia umowy powierzenia przetwarzania danych osobowych. Po 6 latach stosowania RODO świadomość prawna w tym zakresie zdecydowanie zmierza we właściwym kierunku i coraz rzadziej trafiamy na tego typu współprace realizowane bez zawarcia obowiązkowej umowy powierzenia przetwarzania danych osobowych. Ale z perspektywy wymogów ochrony danych osobowych, taka umowa to dopiero drugi krok w relacji administratora z procesorem. Zgodnie z art. 28 ust. 3 lit. h RODO, administrator danych ma prawo kontrolować przestrzeganie przepisów prawa przez procesora. Prawo to powiązane jest z obowiązkiem realnego sprawowania tego nadzoru, a Prezes UODO wielokrotnie dał do zrozumienia, że poważnie traktuje zaniechania w tym obszarze.

    Nie można mieć w świetle powyższego wątpliwości, że jakiś nadzór nad procesorem musi być. Pytanie zatem brzmi: jaki?

    Jedną z największych zalet (ale chyba i jednocześnie wad) RODO jest to, że wymogi tam zawarte są skalowalne. Oznacza to, że inny nadzór powinien być sprawowany nad zewnętrznym headhunterem (który sporadycznie przetwarza tylko podstawowe dane zawarte w dokumentach CV) a inny nad firmą, która dostarcza nam wsparcie IT (a więc ma codzienny, pełny dostęp do absolutnie wszystkich danych, jakie przetwarza nasza firma). Inaczej kontrolujemy zewnętrzną firmę księgową, a inaczej – spółkę matkę, która w ramach grupy kapitałowej prowadzi obsługę księgową spółek celowych założonych do realizacji poszczególnych inwestycji. W dobraniu zakresu i sposobu kontroli pomoże nam dobrze zrobiona analiza ryzyka. A w praktyce, o ile z bieżącej współpracy nie dostajemy niepokojących sygnałów o procesorze, w większości przypadków powinna wystarczyć kontrola procesora polegająca na cyklicznym rozsyłaniu ankiet do samooceny. Takie działania nie wiążą się ze znacznym wysiłkiem organizacyjnym i kosztami, a pozwalają trzymać rękę na pulsie i podejmować działania prewencyjne (a nie reakcyjne).

    Współpraca w ramach grupy kapitałowej

    Coraz popularniejszym modelem działania w branży deweloperskiej jest tworzenie dla realizacji poszczególnych inwestycji tzw. spółek celowych. Zmniejsza to ryzyko biznesowe dla dewelopera – w przypadku nieoczekiwanego niepowodzenia inwestycji, koszty pozostaną w wydzielonej spółce, która „ochroni” spółkę matkę. Takie działanie pozwala też na uproszczenie i przyspieszenie podejmowania decyzji operacyjnych.

    Zdarza się jednak, że twórcy takiej korporacyjnej struktury zupełnie zapominają o przepisach o ochronie danych osobowych. Oczywistym jest, że spółki w obrębie jednej grupy kapitałowej mają prawo wymieniać się danymi osobowymi na zasadzie swojego uzasadnionego interesu (art. 6 ust. 1 lit. f RODO). Ale takich transferów nie można opierać wyłącznie na tej „oczywistości”. Muszą za nią iść odpowiednie procedury, analizy prawnie uzasadnionego interesu, stosowne umowy oraz klarowna informacja dla osób, których dane dotyczą. O wadze tej ostatniej przekonał się operator popularnego komunikatora WhatsApp (Meta Platfroms Inc.), na który właśnie za brak przejrzystości w przekazywaniu danych osobowych na podstawie uzasadnionego interesu nałożono karę w wysokości 225 mln Euro.

    Korzystanie ze spółek celowych ma jednak zasadniczą wadę z perspektywy przepisów RODO. Jak szerzej napisała o tym niedawno na naszym blogu Olga Skotnicka, kary za naruszenie RODO w wysokości do 2-4% całkowitego rocznego obrotu firmy z poprzedniego roku liczone są dla obrotu całej grupy kapitałowej, a nie tylko dla danej spółki – córki.

    Podsumowując

    Po 6 latach obowiązywania RODO białych plam na mapach tego jak te przepisy stosować zostaje coraz mniej. Ten zmniejszający się stan niepewności nie oznacza jednak, że można spocząć na przysłowiowych laurach i zapomnieć o obowiązku ochrony danych osobowych. Zaniechania na tym odcinku nie tylko łączą się z ryzykiem nałożenia kar administracyjnych, ale przede wszystkim – wobec rosnącej świadomości tych przepisów w społeczeństwie – mogą skutkować bardzo trudnymi do naprawienia stratami wizerunkowymi.

    *[Grafika wygenerowana przez AI Canva Magic Studio™].

    Pobierz wpis w wersji pdf
    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    Marcin Stryszko

    Kto jest administratorem danych w przedsiębiorstwie deweloperskim?

    Ochrona danych osobowych jest jednym z wyzwań w zakresie dostosowania organizacji do obowiązujących regulacji prawnych. Branża nieruchomości, w tym firmy deweloperskie, nie są wyjątkiem. Dbanie o ochronę danych osobowych klientów, partnerów biznesowych, pracowników czy podwykonawców jest nie tylko obowiązkiem prawnym, ale przede wszystkim kluczowym elementem budowania zaufania. Świadczy o profesjonalizmie oraz odpowiedzialności. Chcąc prawidłowo zaprojektować […]

    Czytaj więcej
    Katarzyna Ułasiuk-Delamare

    Monitoring wizyjny (i nie tylko) na budowie

    Kiedy myślimy o RODO w branży nieruchomości, a zwłaszcza w segmencie deweloperskim, to intuicyjnie kojarzymy dane osobowe klientów – w bazie marketingowej, sprzedażowej, czy już po zawartej umowie. Mając pewne doświadczenie w tej branży jako IOD chciałabym skierować Twoją uwagę na zdecydowanie mniej popularny obszar, czyli dział konstrukcji/realizacji inwestycji. „Jak to?” – możesz zapytać – […]

    Czytaj więcej
    Katarzyna Ułasiuk-Delamare

    4 typowe błędy – zarządzanie nieruchomością wspólną a przetwarzanie danych osobowych

    Zarządzanie nieruchomością wspólną to bez wątpienia kompilacja spraw administracyjno-techniczno-organizacyjnych. A przy tym wszystkim dochodzi oczywiście do przetwarzania danych osobowych i to nie byle jakich. Poza oczywistymi danymi identyfikującymi właścicieli (jak np. imię, nazwisko, adres), pojawiają się informacje o należnościach lub zadłużeniu czy wizerunki (w zakresie monitoringu). Moja dotychczasowa współpraca z podmiotami zarządzającymi nieruchomością wspólną pozwoliła […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki