Ochrona danych osobowych jest jednym z wyzwań w zakresie dostosowania organizacji do obowiązujących regulacji prawnych. Branża nieruchomości, w tym firmy deweloperskie, nie są wyjątkiem. Dbanie o ochronę danych osobowych klientów, partnerów biznesowych, pracowników czy podwykonawców jest nie tylko obowiązkiem prawnym, ale przede wszystkim kluczowym elementem budowania zaufania. Świadczy o profesjonalizmie oraz odpowiedzialności. Chcąc prawidłowo zaprojektować system ochrony danych osobowych, należy rozpocząć od postawienia najprostszego pytania: kto jest administratorem danych? Jest to kluczowy element, bez którego nie da się rozpocząć wdrażania lub skutecznie zweryfikować poziomu ochrony danych osobowych.
Prosta struktura organizacyjna dewelopera
Ustalenie kto jest administratorem danych nie sprawia żadnych problemów w przypadku najprostszej z możliwych struktur, czyli gdy przedsiębiorstwo deweloperskie składa się wyłącznie z jednej spółki. Przypomnijmy, iż administratorem danych w rozumieniu przepisów RODO jest podmiot (osoba fizyczna, prawna, organ publiczny lub inny podmiot), który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Co za tym idzie, w omawianej sytuacji, wszelkie podstawowe działania operacyjne, np.
- prowadzenie spraw kadrowych,
- prowadzenie księgowości,
- sprzedaż nieruchomości,
- prowadzenie działań marketingowych,
- świadczenie usług dodatkowych (np. zarządzanie nieruchomością, czy aranżacja oraz wykończenie mieszkań),
są realizowane przez ten jeden podmiot, który to jest administratorem danych osobowych.
Rozbudowana struktura organizacyjna dewelopera
Praktyka pokazuje, iż prosta struktura organizacyjna w omawianej branży występuje niezwykle rzadko. Realizowanie większej ilości inwestycji oraz chęć zwiększenia skali biznesu pociąga za sobą konieczność rozbudowania struktury. Prowadzi to do sytuacji, gdzie obowiązki są rozdzielone na wiele podmiotów odpowiedzialnych za pewną, wąską działkę biznesu. Spółki wchodzą w skład jednej grupy kapitałowej, a w oparciu o przepisy RODO powiedzielibyśmy, iż stanowią grupę przedsiębiorstw.
Odpowiedź na pytanie: kto jest administratorem danych, wymaga od nas identyfikacja roli podmiotów w przetwarzaniu danych osobowych, z uwzględnieniem przepływu danych między nimi. Określenie, kto jest administratorem danych, wynika zatem z okoliczności faktycznych, w których podmiot podjął decyzję o samodzielnym przetwarzaniu danych osobowych dla własnych celów. Podając przykład: w większości przypadków, spółki celowe, utworzone na potrzeby realizacji konkretnej inwestycji, będą odrębnymi administratorami danych. Nie jest to jednak regułą i każdorazowo należy wziąć pod uwagę wszelkie okoliczności towarzyszące.
Określając status podmiotów w przetwarzaniu danych osobowych, należy ustalić, kto ponosi odpowiedzialność i na jakiej zasadzie, czyli czy możemy przypisać danemu podmiotowi status administratora danych, współadministratora, czy być może podmiotu przetwarzającego. Pomocne mogą być poniższe punkty.
Kto ponosi odpowiedzialność za:
- zgodność przetwarzania z zasadami, o których mowa w art. 5 RODO,
- wykonanie obowiązków informacyjnych wynikających z art. 13 lub art. 14 RODO,
- realizację żądań osób, których dane dotyczą, wynikających z przepisów art. 15–22 RODO,
- przetwarzanie danych, które prowadzi samodzielnie lub które prowadzone jest w jego imieniu (motyw 74).
Istnieje jeszcze inny schemat współpracy, w którym relacje pomiędzy spółkami w grupie będą kształtować się w ten sposób, że jedna z nich przetwarza dane osobowe w imieniu drugiej. Dzieje się tak najczęściej w przypadku tzw. centrów usług wspólnych, gdzie wszystkie spółki w grupie korzystają ze wsparcia jednej ze spółek w zakresie świadczenia pewnych usług (np. informatycznych, księgowych, kadrowych, marketingowych, administrowania nieruchomością wspólną). Pomimo oczywistych powiązań między spółkami należy pamiętać o podstawowych obowiązkach wynikających z art. 28 RODO – w zakresie powierzenia do przetwarzania danych osobowych. Podmiot przetwarzający realizuje cele wyznaczone przez administratora danych w zakresie i granicach wynikających z zawartej umowy powierzenia.
Przepływ danych wewnątrz grupy deweloperskiej
Właściwe wskazanie administratora danych jest niezbędne w celu prawidłowego zaplanowania i uporządkowania przepływu danych pomiędzy spółkami wewnątrz grupy. Każdy podmiot, chcąc wymieniać się danymi osobowymi z innymi spółkami, musi dysponować stosowną podstawą prawną. Najczęściej do wymiany danych osobowych będzie dochodziło w ramach powierzenia przetwarzania danych osobowych. Jedna ze spółek, będąca administratorem danych, może powierzyć innej spółce posiadane dane osobowe w celu wykonania na tych danych pewnych operacji przetwarzania. Z reguły chodzi o świadczenie na rzecz innych spółek usług wsparcia technicznego, informatycznego (poczta elektroniczna, dysk wspólny), obsługę kadrową, płacową czy księgową (prowadzenie rekrutacji na rzecz innej spółki, obliczanie wynagrodzeń, centra rozliczeniowe). Inny z przykładów może dotyczyć działań marketingowych, wysyłki newsletterów czy obsługi call center. Jeszcze inna spółka może być powołana w celu świadczenia usług w zakresie zarządzania nieruchomością wspólną.
Kolejny scenariusz dotyczy udostępnienia danych osobowych odrębnemu administratorowi. Pierwszy z przykładów może dotyczyć prowadzenia rachunku powierniczego, do czego są zobowiązani deweloperzy rozpoczynający sprzedaż. Dane osobowe każdej osoby, która w związku z planowanym nabyciem nieruchomości będzie stroną rachunku powierniczego, są przekazywane do Banku w celu zarządzania środkami dostępnymi na rachunku powierniczym.
Przesyłanie danych osobowych może również odbywać się pomiędzy spółkami wchodzącymi w skład grupy przedsiębiorstw. Sama „grupa przedsiębiorstw” oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane, przy czym sprawowanie kontroli oznacza możliwość wywierania dominującego wpływu ze względu na strukturę właścicielską lub udział finansowy. Podstawą legalizującą wymianę danych osobowych może być np. prawnie uzasadniony interes polegający na przesyłaniu danych (zarówno klientów, jak i pracowników) w ramach grupy przedsiębiorstw do wewnętrznych celów administracyjnych.
Podsumowanie
Niezależnie od tego, kto pełni rolę administratora danych w rozbudowanej strukturze spółek, ważne jest, aby taka struktura była jasno zdefiniowana, a procesy przetwarzania danych były zgodne z przepisami prawa o ochronie danych osobowych. Prawidłowe zarządzanie danymi obejmuje również zorganizowaną komunikację i współpracę między poszczególnymi podmiotami, aby zapewnić spójność i skuteczność działań związanych z ochroną danych osobowych. Wszelkie te informacje powinny być w niezbędnym zakresie dostępne wszystkim osobom, których dane są przetwarzane przez spółki z grupy. Każda z osób powinna być świadoma, kto jest administratorem jej danych osobowych i w razie konieczności, do którego podmiotu może się zwrócić z żądaniem realizacji przysługujących praw. Niezwykle pomocne może być wyznaczenie osoby wspierającej administratora danych swoimi wskazówkami. Mowa tu oczywiście o inspektorze ochrony danych. Pamiętajmy, iż grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, który będzie punktem kontaktowym dla organu nadzorczego czy osób, których dane dotyczą.