RODO (GDPR) dla Budownictwa

Czym jest RODO / GDPR?

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych (ang. GDPR – General Data Protection Regulation), to unijny akt prawny obowiązujący od 25 maja 2018 roku, który reguluje zasady przetwarzania danych osobowych osób fizycznych na terenie Unii Europejskiej. Rozporządzenie nakłada na przedsiębiorców obowiązek zapewnienia bezpieczeństwa danych, transparentności ich przetwarzania oraz poszanowania praw osób, których dane dotyczą. Nieprzestrzeganie przepisów grozi karami finansowymi sięgającymi 20 milionów euro lub 4% rocznego globalnego obrotu firmy.

RODO / GDPR a branża Budownictwo

Branża budowlana przetwarza znacznie więcej danych osobowych, niż mogłoby się wydawać na pierwszy rzut oka. Firmy budowlane gromadzą dane klientów indywidualnych zamawiających budowę domów, pracowników zatrudnionych na budowach, podwykonawców, dostawców materiałów oraz inspektorów nadzoru. W codziennej działalności operacyjnej dochodzi do przetwarzania imion, nazwisk, adresów zamieszkania, numerów PESEL, danych kontaktowych, a także informacji finansowych zawartych w umowach i fakturach.

Przykładowo, deweloper realizujący osiedle mieszkaniowe zbiera dane setek potencjalnych nabywców jeszcze na etapie listy zainteresowanych. Generalny wykonawca prowadzi ewidencję pracowników fizycznych, w tym dane dotyczące szkoleń BHP, badań lekarskich oraz numerów kont bankowych do wypłaty wynagrodzeń. Firma specjalizująca się w remontach mieszkań prywatnych posiada w swoich systemach adresy domowe klientów, zakresy wykonanych prac oraz historię płatności. Każdy z tych procesów podlega przepisom RODO i wymaga odpowiedniego zabezpieczenia.

Szczególnym wyzwaniem w budownictwie jest rozbudowany łańcuch podwykonawców. Przekazywanie danych pracowników pomiędzy generalnym wykonawcą a podwykonawcami wymaga zawarcia stosownych umów powierzenia przetwarzania danych, co w praktyce jest często pomijane przez mniejsze firmy budowlane.

Kluczowe wymagania

• Podstawa prawna przetwarzania danych – każde przetwarzanie danych osobowych musi mieć wyraźną podstawę prawną: zgodę osoby, wykonanie umowy, obowiązek prawny lub uzasadniony interes administratora. W budownictwie najczęściej stosowaną podstawą jest wykonanie umowy z klientem lub pracownikiem.
• Obowiązek informacyjny – klienci, pracownicy i podwykonawcy muszą otrzymać klauzulę informacyjną RODO zawierającą dane administratora, cel i podstawę przetwarzania, okres przechowywania danych oraz informację o przysługujących prawach.
• Rejestr czynności przetwarzania – każda firma budowlana zatrudniająca powyżej 250 pracowników jest zobowiązana do prowadzenia rejestru czynności przetwarzania. Mniejsze firmy powinny go prowadzić dobrowolnie, jeśli przetwarzają dane wrażliwe, np. dane zdrowotne pracowników.
• Umowy powierzenia przetwarzania danych – gdy firma budowlana przekazuje dane osobowe podwykonawcom lub zewnętrznym dostawcom usług (np. biurom rachunkowym, agencjom pracy tymczasowej), konieczne jest zawarcie pisemnej umowy powierzenia zgodnej z art. 28 RODO.
• Bezpieczeństwo danych – dokumentacja projektowa, oferty, umowy oraz dane pracownicze przechowywane w formie elektronicznej muszą być chronione przed nieautoryzowanym dostępem poprzez szyfrowanie, hasła i kontrolę dostępu. Dokumenty papierowe należy przechowywać w zamkniętych szafach.
• Ograniczenie okresu przechowywania danych – dane osobowe nie mogą być przechowywane dłużej, niż wymaga tego cel przetwarzania. Dane klientów po zakończeniu projektu budowlanego należy usunąć lub zanonimizować, z wyjątkiem dokumentów wymaganych przepisami prawa (np. dokumentacja podatkowa przez 5 lat).
• Prawa osób, których dane dotyczą – firma musi zapewnić możliwość realizacji praw: dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania oraz przenoszenia. Wnioski muszą być rozpatrywane w ciągu 30 dni.
• Zgłaszanie naruszeń – w przypadku wycieku lub utraty danych osobowych firma ma obowiązek zgłoszenia naruszenia do Prezesa Urzędu Ochrony Danych Osobowych (UODO) w ciągu 72 godzin od jego wykrycia.

Kroki wdrożenia w firmie z branży Budownictwo

1. Przeprowadzenie audytu danych osobowych – na początku należy zinwentaryzować wszystkie dane osobowe przetwarzane w firmie: jakie kategorie danych są zbierane, od kogo, w jakim celu, gdzie są przechowywane i kto ma do nich dostęp. W firmie budowlanej będą to m.in. dane klientów w systemie CRM, akta pracownicze, dane w programach do fakturowania oraz korespondencja e-mailowa.
2. Opracowanie lub aktualizacja dokumentacji RODO – na podstawie audytu należy przygotować lub zaktualizować politykę prywatności, politykę bezpieczeństwa informacji, rejestr czynności przetwarzania oraz wzory klauzul informacyjnych dostosowane do specyfiki firmy budowlanej (osobne dla klientów, pracowników, podwykonawców i osób odwiedzających plac budowy).
3. Zawarcie umów powierzenia przetwarzania danych – należy zidentyfikować wszystkich zewnętrznych procesorów danych, w tym biura rachunkowe, firmy IT obsługujące systemy informatyczne, agencje pracy tymczasowej dostarczające pracowników na budowę oraz firmy świadczące usługi archiwizacji dokumentów. Z każdym z nich trzeba podpisać umowę powierzenia zgodną z RODO.
4. Szkolenie pracowników – wszyscy pracownicy mający kontakt z danymi osobowymi, czyli kierownicy budów, pracownicy biurowi, kadrowcy i handlowcy, muszą przejść szkolenie z zakresu RODO. Szkolenie powinno obejmować praktyczne zasady postępowania z danymi, rozpoznawanie naruszeń oraz procedury reagowania na incydenty.
5. Wdrożenie środków technicznych i organizacyjnych – należy zabezpieczyć systemy informatyczne poprzez wprowadzenie silnych haseł, szyfrowanie dysków twardych i poczty elektronicznej, regularne tworzenie kopii zapasowych oraz ograniczenie dostępu do danych zgodnie z zasadą minimalnych uprawnień. Fizyczne dokumenty z danymi osobowymi powinny być przechowywane w zamkniętych pomieszczeniach.
6. Ustanowienie procedur reagowania na naruszenia – firma powinna opracować wewnętrzną procedurę postępowania w przypadku wycieku danych, która określa osoby odpowiedzialne za zgłoszenie naruszenia, terminy działania oraz sposób powiadamiania osób poszkodowanych.
7. Rozważenie powołania Inspektora Ochrony Danych (IOD) – choć w większości firm budowlanych powołanie IOD nie jest obowiązkowe, w większych przedsiębiorstwach deweloperskich lub generalnych wykonawcach zatrudniających duże liczby pracowników warto rozważyć jego wyznaczenie jako stałego punktu kontaktowego ds. ochrony danych.
8. Regularne przeglądy i aktualizacje – RODO to proces ciągły, a nie jednorazowe wdrożenie. Co najmniej raz w roku należy przeprowadzać przegląd dokumentacji, weryfikować aktualność klauzul informacyjnych i dostosowywać procedury do zmieniających się przepisów oraz profilu działalności firmy.

Najczęstsze pytania

Czy mała firma remontowa lub jednoosobowy wykonawca budowlany też musi stosować RODO?

Tak, RODO obowiązuje każdy podmiot przetwarzający dane osobowe osób fizycznych, niezależnie od wielkości firmy. Nawet jednoosobowy wykonawca, który zbiera imię, nazwisko i adres klienta w celu wystawienia faktury lub realizacji zlecenia, jest administratorem danych i musi spełniać podstawowe obowiązki wynikające z rozporządzenia. W praktyce zakres obowiązków jest proporcjonalny do skali przetwarzania danych.

Jak długo firma budowlana może przechowywać dane klientów po zakończeniu projektu?

Okres przechowywania danych zależy od celu ich przetwarzania. Dane zawarte w fakturach i dokumentach podatkowych należy przechowywać przez 5 lat od końca roku, w którym upłynął termin płatności podatku. Dane z umów cywilnoprawnych powinny być przechowywane przez okres odpowiadający przedawnieniu roszczeń, czyli co do zasady 6 lat. Po upływie wymaganych terminów dane należy trwale usunąć lub zanonimizować.

Co grozi firmie budowlanej za naruszenie przepisów RODO?

Prezes UODO może nałożyć administracyjną karę pieniężną do wysokości 20 milionów euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego, w zależności od tego, która kwota jest wyższa. Oprócz kar finansowych firma może ponieść odpowiedzialność cywilnoprawną wobec osób, których prawa zostały naruszone, a naruszenia mogą poważnie uszkodzić reputację przedsiębiorstwa i wpłynąć na utratę kontraktów, szczególnie w przetargach publicznych.

Czy monitoring wizyjny na placu budowy podlega przepisom RODO?

Tak, rejestrowanie obrazu z kamer monitoringu, na którym widoczne są twarze pracowników lub innych osób, stanowi przetwarzanie danych osobowych i podlega RODO. Firma musi posiadać podstawę prawną dla stosowania monitoringu (najczęściej jest to uzasadniony interes administratora w postaci ochrony mienia i bezpieczeństwa), poinformować pracowników i osoby wchodzące na teren budowy o stosowaniu kamer poprzez czytelne oznaczenia, a także określić maksymalny czas przechowywania nagrań, który zazwyczaj nie powinien przekraczać 30 dni.

Podsumowanie

Wdrożenie RODO w firmie budowlanej to nie tylko obowiązek prawny, ale przede wszystkim inwestycja w zaufanie klientów, pracowników i partnerów biznesowych. Firmy, które poważnie traktują ochronę danych osobowych, budują silniejszą pozycję rynkową i unikają kosztownych kar oraz sporów prawnych. Zacznij od przeprowadzenia audytu danych w swojej firmie, uzupełnij dokumentację i przeszkol pracowników, a ochrona danych osobowych stanie się naturalnym elementem codziennej działalności budowlanej.