Rozporządzenie Ogólne o Ochronie Danych Osobowych, popularnie zwane RODO, zacznie obowiązywać w Polsce od 25 maja 2018 r. i dotyczyć będzie zasad przetwarzania danych osobowych osób fizycznych przez wszystkich przedsiębiorców na terenie obejmującym wszystkie państwa członkowskie Unii Europejskiej.
RODO zostało przyjęte w dniu 24 maja 2016 r. przez Parlament Europejski oraz Radę Unii Europejskiej. Ogólne rozporządzenie wprowadzi nowe zasady bezpośrednio co oznacza, iż nie zaszła konieczność wydania dodatkowego aktu prawnego, za pomocą którego zmiany te mogłyby zostać wdrażane stopniowo. Jego najważniejszym celem jest ujednolicenie zasad ochrony danych osobowych w całej Unii Europejskiej, albowiem do tej pory każdy z krajów członkowskich regulował te kwestie odrębnie oraz w sposób indywidualny.
Zasady jakie wprowadza RODO będą w takim samym stopniu obowiązywać wszystkich przedsiębiorców w Polsce, mimo iż wśród poszczególnych firm zróżnicowany będzie stopień natężenia przetwarzania danych osobowych, jak również związany z nim sposób przetwarzania tych danych, a zatem zależeć to będzie przede wszystkim od profilu i charakteru prowadzonej działalności. W branży związanej z procesem powstania obiektów budowlanych począwszy od architektonicznej, konstrukcyjno – budowlanej, instalacyjnej, aż po kolejową, czy mostową tak samo jak w przypadku innych form działalności gospodarczej, RODO znajdzie pełne zastosowanie, co oznacza, że każda osoba prowadząca nawet jednoosobową działalność gospodarczą i nie zatrudniająca pracowników będzie musiała dostosować się do nowych zasad przetwarzania danych osobowych.
A zatem co to oznacza w praktyce?
Otóż głównym założeniem ogólnego rozporządzenia jest nałożenie na wszystkich przedsiębiorców obowiązku stworzenia odpowiednich procedur przetwarzania danych osobowych tak, aby móc zgodnie z obowiązującym prawem funkcjonować w obrocie gospodarczym. W związku z tym dotychczasowe kryteria dotyczące polityki bezpieczeństwa, instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych czy ewidencji osób upoważnionych do przetwarzania danych, utracą swoją ważność i trzeba będzie dokonać ich aktualizacji, bądź stworzyć je od nowa, zgodnie z założeniami RODO, które w tych kwestiach pozostawia firmom sporą dowolność, choć jednocześnie wymaga spełnienia założeń rozporządzenia, czyli poprawnego i adekwatnego do analizy ryzyka zagwarantowania ochrony danych osobowych.
Wśród najistotniejszych dokumentów jakie każdy przedsiębiorca, w tym także inżynier budownictwa, zobligowany będzie posiadać jest rejestr czynności przetwarzania, polityka bezpieczeństwa czy upoważnienie do przetwarzania danych osobowych. Oczywiście są to tylko przykłady wymaganych dokumentów i oświadczeń albowiem w celu zgodnego z prawem i założeniami RODO przetwarzania danych osobowych należy opracować klauzule kompatybilne z wszelką dokumentacją, która dotyka omawianej problematyki i funkcjonuje w danej organizacji.
Każdy inżynier budownictwa w zakresie prowadzonej przez siebie działalności gospodarczej, przetwarza dane osobowe w mniejszym, bądź większym stopniu. Podobna sytuacja ma miejsce w odniesieniu do inżynierów zatrudnionych na podstawie umowy o pracę, z tym, że w tym wypadku administratorem danych osobowych będzie dany pracodawca. W celu oceny jakich wdrożeń należy dokonać, powinno się – w pierwszej kolejności – przeprowadzić analizę ryzyka. W znacznym uproszczeniu polega ona na ustaleniu skutków jakie wywołałby wyciek lub zniszczenie danych osobowych klientów i kontrahentów oraz zagrożenie ich prawom i wolnościom.
Inżynierowie budownictwa, pomimo iż przeważnie nie przetwarzają danych osobowych wrażliwych, to jednak już sam fakt przetwarzania przez nich jakichkolwiek danych, a zatem nawet jeśli są to tylko dane zwykłe, wymusza uzyskania choćby minimalnej wiedzy z zakresu przetwarzania danych osobowych w celu zrozumienia istoty zasad jakimi rządzi się RODO. Niestety wciąż jeszcze wyjaśnienie na czym dokładnie polega przetwarzanie danych osobowych, nastręcza wielu przedsiębiorcom sporych trudności, mimo iż definicja bardzo wyraźnie wskazuje, że przetwarzanie danych osobowych oznacza każdą czynność podejmowaną na danych osobowych, a zatem będą to czynności takie jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych.
RODO wprowadza również zasady przetwarzania danych osobowych, które są znacznie bardziej – niż w dotychczasowej ustawie o ochronie danych osobowych z dnia 29 sierpnia 1997 r. – zaakcentowane i uszczegółowione. Jedną z kluczowych zasad jest zasada zgodności z prawem zwana także zasadą rzetelności czy przejrzystości, zgodnie z którą przetwarzane danych osobowych ma się odbywać zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. W tym kontekście, biorąc pod uwagę fakt, iż inżynierowie budownictwa w celu wykonywania samodzielnych funkcji w budownictwie, poza koniecznością posiadania uprawnień budowlanych, zobligowani są do przynależenia do Okręgowej Izby Inżynierów Budownictwa, obciążeni są zatem szczególnym obowiązkiem profesjonalnego świadczenia swoich usług, w tym także w dziedzinie przetwarzania danych osobowych, co oprócz doniosłości prawnej, ma także istotne znaczenie dla kwestii wizerunkowych.
Legalność przetwarzania danych osobowych przez inżynierów budownictwa determinowana będzie przede wszystkim uzyskaniem zgody od osoby, której dane dotyczą, a ponadto – w określonych sytuacjach – w związku z koniecznością wykonania umowy, na przykład dla realizacji określonego projektu, czy przy wypełnianiu obowiązku prawnego, który może nastąpić w momencie, kiedy dochodzi do prowadzenia dokumentacji budowy, kontaktu z urzędami, bądź przy zgłaszaniu gotowego projektu do odbioru. Należy pamiętać o tym, że w sytuacji gdy przetwarzanie danych osobowych odbywa się na podstawie zgody, administrator danych, zobligowany będzie do wykazania, iż faktycznie uzyskał taką zgodę, a zatem w praktyce powinna się ona każdorazowo znaleźć w aktach danego klienta. Sam fakt zbierania jakichkolwiek danych osobowych od klienta nawet w niezbędnych celach takich jak realizacja umowy, czy wykonywanie obowiązku prawnego stwarza po stronie inżynierów względem osoby, której dane przetwarza, konieczność podania informacji takich jak własna tożsamość, cele i podstawa prawna przetwarzania danych osobowych, jak również okres przetwarzania danych osobowych.
RODO nakłada ponadto na każdego przedsiębiorcę obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie danych osobowych odbywało się zgodnie z ogólnym rozporządzeniem. Co istotne środki te powinny być – w razie potrzeby – poddawane okresowym przeglądom i na bieżąco uaktualniane.
Kolejną kwestią, która wśród przedsiębiorców wzbudza wiele dyskusji jest ponadto nałożony przez RODO obowiązek powołania inspektora ochrony danych. Zgodnie z art. 37 ogólnego rozporządzenia administrator danych i podmiot przetwarzający dane wyznaczają inspektora ochrony danych, zawsze wówczas, gdy przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; a także w sytuacji gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 ogólnego rozporządzenia, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa. Ponadto grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej.
Ogólne rozporządzenie przewiduje, że w sytuacji, gdy administrator lub podmiot przetwarzający są organem lub podmiotem publicznym, dla kilku takich organów lub podmiotów można wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego inspektora ochrony danych.
Wciąż jeszcze dość powszechnie panuje wśród przedsiębiorców pogląd, że w jednostkach, w których do tej pory funkcjonował ABI, a zatem administrator bezpieczeństwa informacji, będzie on mógł automatycznie wcielić się w rolę inspektora ochrony danych. Niestety takiemu rozwiązaniu jednoznacznie sprzeciwia się brzmienie art. 37 pkt. 5 RODO, zgodnie z którym inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych. Oznacza to tym samym, że inspektor ochrony danych nie dość, że musi się odznaczać specjalistyczną wiedzą i ugruntowaną praktyką, to dodatkowo nie może pozostawać w tzw. konflikcie interesów, a zatem swoją funkcję powinien pełnić w sposób niezależny, czyli nie może zajmować w organizacji stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych.
A zatem kiedy dokładnie może dojść do wspomnianego konfliktu interesów?
Co do zasady, uznaje się, że konflikt interesów istnieć będzie wśród osób pełniących stanowiska kierownicze takie jak dyrektor, czy kierownik danej organizacji, choć także wśród osób na niższych stanowiskach, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych. Typowy konflikt interesów może powstać, gdy inspektor ochrony danych zostanie poproszony o reprezentowanie administratora lub podmiotu przetwarzającego dane przed sądem w sprawie dotyczącej ochrony danych osobowych. Inżynierowie budownictwa, w zależności od stopnia przetwarzania danych osobowych, powinni podjąć autonomiczne decyzje w zakresie powołania, bądź niepowołania inspektora ochrony danych. Głównymi czynnikami determinującym podjęcie decyzji o powołaniu inspektora ochrony danych są sytuacje, w których przetwarzania danych osobowych dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości; główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych.
Wejście w życie ogólnego rozporządzenia oznacza dla wszelkich podmiotów przetwarzających dane osobowe konieczność wprowadzenia wielu zmian, zaktualizowania dokumentów, a nawet stworzenia zupełnie nowych procedur. Z punktu widzenia zasad jakie wprowadza do krajowych porządków prawnych RODO, wszyscy przedsiębiorcy, w tym inżynierowie budownictwa, zobligowani będą do wdrożenia regulacji, które uchronią ich przed ewentualnymi negatywnymi skutkami niepodjęcia stosownych działań i czynności zapobiegających niezgodnemu z prawem przetwarzaniu danych osobowych. Wypada stwierdzić, że kary jakie przewiduje RODO z tytułu niezastosowania się do jego wytycznych, spowodować mogą skutki wielokrotnie bardziej kosztowne niż jednorazowa inwestycja w przygotowanie i zaimplementowane do swojego przedsiębiorstwa adekwatnych do jego profilu procedur.
Z innych jeszcze aspektów, wartych zwrócenia szczególnej uwagi jest sytuacja związana z wystąpieniem incydentu, które do tej pory nie podlegały obowiązkom zgłoszenia do GIODO. Ogólne rozporządzenie zakłada rejestrowane wszystkich incydentów oaz zgłaszanie części z nich do Urzędu Ochrony Danych Osobowych. W kwestii zaś dokonywania oceny czy dany incydentów powinien zostać zgłoszony do UODO, rozporządzenie pozostawia przedsiębiorcom praktycznie pełną dowolność traktując ich jak profesjonalne podmioty, które we własnym zakresie decydują o kształcie wprowadzonych zmian.
Podobnie jak dokumentowanie incydentów, RODO nakłada na większość firm obowiązek prowadzenia rejestru czynności przetwarzania, a zatem zakłada, że rejestr będzie musiał prowadzić ten administrator danych, który zatrudnia powyżej 250 osób; przetwarza dane w sposób powodujący ryzyko naruszenia praw i wolności osób, których dane dotyczą, w sytuacji gdy przetwarzanie danych nie jest sporadyczne, lecz ciągłe, jak również, ten który przetwarza dane tzw. wrażliwe, w tym wyroki skazujące i dotyczące naruszeń prawa. Kryteria wyodrębnienia podmiotów zobligowanych do prowadzenia rejestru czynności przetwarzania opierają się na wielkości zatrudnienia, jak również ze względu na sposób przetwarzania danych i kategorię tych danych.
Podsumowując, wejście w życie RODO, wokół którego do tej pory zawiązało się mnóstwo dyskusji i sporów, z pewnością zrewolucjonizuje w sposób globalny i nieznany dotąd sposób podejścia do tematyki przetwarzania danych osobowych oraz ich zabezpieczenia przed nieuprawnionych dostępem i wykorzystaniem przez osoby do tego niepowołane. Każdy inżynier budownictwa niezależnie od tego czy wykonuje swoje funkcje na zasadzie własnej działalności gospodarczej, czy też jako pracownik danej jednostki, powinien zdawać sobie sprawę z wagi i doniosłości tematu, który w ciągu ostatnich kilku miesięcy stał się przodującym zagadnieniem we wszystkich krajach Unii Europejskiej.