RODO a budowa domu jednorodzinnego – od czego w ogóle zacząć
RODO w wersji „dla człowieka”, nie dla prawnika
RODO to unijne rozporządzenie o ochronie danych osobowych, które ma jeden główny cel: żeby informacje o konkretnej osobie nie były wykorzystywane przeciwko niej lub poza jej kontrolą. Chodzi o takie dane, które pozwalają kogoś zidentyfikować – imię, nazwisko, telefon, adres, PESEL, ale też zdjęcie twarzy czy nagranie z charakterystycznym głosem.
Na budowie domu jednorodzinnego RODO nie jest „wrogiem inwestora”. To raczej zbiór zasad przyzwoitego obchodzenia się z cudzymi informacjami. W praktyce inwestor prywatny zwykle nie prowadzi wielkich rejestrów, ale może łatwo wejść w rolę kogoś, kto kontroluje cudze dane – na przykład nagrywając monitoringiem pracowników ekipy albo zbierając ich dane do przepustek.
Istotne jest rozróżnienie: co robisz jako osoba prywatna „dla siebie”, a co robisz w sposób, który zaczyna przypominać działania firmy. RODO mocno to rozgranicza. Gdy działasz wyłącznie w celach osobistych, rodzinnych, domowych – przepisy RODO co do zasady nie mają zastosowania. Gdy zaczynasz przetwarzać dane w sposób „zorganizowany” i wobec osób trzecich, możesz wkroczyć na teren, gdzie RODO już działa.
Prywatna budowa domu a działalność deweloperska
Budowa domu jednorodzinnego na własne potrzeby mieszkaniowe to zupełnie co innego niż stawianie domów „na sprzedaż” jako deweloper czy firma budowlana. W tym drugim przypadku nikt nie ma wątpliwości, że przedsiębiorca powinien mieć polityki RODO, klauzule informacyjne, rejestry czynności przetwarzania.
Osoba fizyczna budująca dom dla siebie korzysta z tzw. wyłączenia „osobistego lub domowego charakteru”. To znaczy, że:
nie musi rejestrować się w żadnym „urzędzie RODO” (bo takiego i tak nie ma),
nie musi pisać pełnych polityk ochrony danych jak duża firma,
nie musi wywieszać formalnych klauzul informacyjnych wszędzie, gdzie się da.
To wyłączenie nie jest jednak „magiczną tarczą”. Jeżeli inwestor zaczyna:
monitorować teren w sposób obejmujący sąsiadów, przechodniów, ulicę,
publikować nagrania pracowników albo sąsiadów w internecie,
zbierać dane osobowe pracowników ekip w zorganizowany sposób (listy, ewidencje, kopie dokumentów),
to zbliża się do sytuacji, w której traktuje się go jak administratora danych – a wtedy pewne obowiązki z RODO jednak się pojawiają.
RODO a popularne mity na budowie
Na budowie krąży kilka prostych, ale mylących przekonań:
„RODO mnie nie dotyczy, bo jestem osobą fizyczną” – dotyczy, jeśli zaczynasz nagrywać pracowników, podpinasz kamery pod chmurę, publikujesz filmy z ludźmi w sieci albo wykorzystujesz dane zbierane przy budowie w innych celach niż zwykła organizacja prac.
„RODO jest tylko dla firm” – przepisy są „skrojone” pod firmy i instytucje, ale prywatny właściciel nieruchomości, który montuje rozbudowany monitoring obejmujący ulicę, też może podpaść pod RODO.
„Jak ktoś wejdzie na moją działkę, mogę go nagrywać i publikować do woli” – możesz go nagrywać dla celów zabezpieczenia swojego mienia, ale publikacja nagrań w internecie (z czyimś wizerunkiem, numerem rejestracyjnym samochodu) to zupełnie inna historia – tu wchodzą w grę zarówno RODO, jak i prawo do wizerunku oraz dobra osobiste.
W praktyce większość prywatnych inwestorów ma do załatwienia kilka prostych spraw: rozsądnie ustawić monitoring, dogadać z wykonawcami zasady korzystania z danych kontaktowych oraz nie kopiować na potęgę cudzych dokumentów (dowodów, praw jazdy, uprawnień), jeśli nie ma takiej konieczności.
Kiedy inwestor jest administratorem danych, a kiedy nie – praktyczne granice
Administrator danych na budowie w prostych słowach
Administrator danych to ten, kto decyduje o tym, po co i jak przetwarzane są dane osobowe. Na budowie domu jednorodzinnego taką rolę pełnią zazwyczaj:
firmy budowlane,
biura projektowe,
banki, urzędy, nadzór budowlany.
Prywatny inwestor z reguły nie prowadzi żadnej „bazy danych” pracowników ekip. Notuje raczej:
dane kontaktowe do szefa firmy (imię, nazwisko, telefon),
maile i dokumenty dotyczące umowy,
czasem dane do przelewów (nr rachunku, NIP).
Tu działa przede wszystkim zasada zdrowego rozsądku: jeśli zbierasz dane wyłącznie po to, aby zrealizować umowę i zabezpieczyć własne interesy jako inwestora, bez dalszego „obracania” tymi danymi, działasz w ramach zwykłej relacji cywilnoprawnej. W wielu przypadkach RODO „opiekę” nad danymi biorą na siebie profesjonaliści – wykonawcy, projektanci, bank.
Sytuacje prywatne, które nie uruchamiają RODO
Istnieje grupa działań, które mieszczą się w tzw. „osobistym lub domowym charakterze” i RODO nie ma do nich zastosowania. Typowe przykłady:
notatnik z telefonami do ekip (np. „Marek hydraulik – 600…”, „Ania z banku – 500…”),
wymiana maili i SMS-ów z wykonawcą w celu ustalenia zakresu prac i terminów,
zdjęcia robione telefonem z postępów budowy, przechowywane w prywatnym albumie,
prywatna grupka w komunikatorze z rodziną, gdzie wysyłasz zdjęcia ekipy na rusztowaniu czy nowo wylanego stropu.
Dopóki te materiały są używane wyłącznie prywatnie, a nie publikowane publicznie, trudno mówić o klasycznym zastosowaniu RODO. Oczywiście dalej obowiązują inne przepisy (np. dotyczące naruszenia dóbr osobistych, jeśli ktoś poczuje się urażony upublicznieniem kompromitującego zdjęcia), ale to już inny obszar prawa.
Przykłady sytuacji „półprofesjonalnych”, gdzie RODO zaczyna się pojawiać
Cienka granica pojawia się w momencie, kiedy prywatny inwestor zaczyna:
systematycznie monitorować teren wideo, obejmując fragment drogi publicznej, chodnik, wejścia do sąsiadów,
przechowywać nagrania przez dłuższy czas i np. udostępniać je innym (nie tylko policji, ale np. w mediach społecznościowych),
prowadzić listy obecności pracowników ekip z danymi typu imię, nazwisko, PESEL, numer dowodu,
zbierać skany dokumentów pracowników (uprawnienia, badania lekarskie) „na wszelki wypadek”.
W takiej sytuacji zaczynasz zachowywać się jak organizacja, która celowo gromadzi dane osób trzecich. Wtedy możesz być uznany za administratora danych w zakresie tych konkretnych czynności – np. administratora nagrań z monitoringu. To wiąże się z koniecznością:
jasnego określenia celu (np. zabezpieczenie mienia, bezpieczeństwo ludzi),
przemyślenia czasu przechowywania nagrań,
poinformowania osób, że są monitorowane, w rozsądny sposób.
Przykład z praktyki: kamera „tylko dla siebie”, która widzi zbyt wiele
Przykładowa sytuacja: inwestor montuje na słupku bramy kamerę IP, która ma patrzeć na ogrodzenie i materiał składowany przy wjeździe. Konfiguracja fabryczna ma szeroki kąt. Kamera obejmuje:
część ulicy przed działką,
bramę sąsiada,
spory kawałek chodnika, gdzie przechodzą ludzie.
Nagrania lecą do chmury producenta, a inwestor od czasu do czasu udostępnia filmiki z „ciekawymi sytuacjami” znajomym przez internet. W tej chwili:
rejestruje i utrwala wizerunek osób, które nie mają żadnego związku z jego budową,
nie informuje ich o monitoringu,
udostępnia ich wizerunek dalej, bez podstawy prawnej.
To klasyczny przykład, kiedy RODO może „zapukać do drzwi”, bo przetwarzanie wykracza poza czysto domowe potrzeby. W praktyce wystarczy:
zmniejszyć kąt widzenia, aby kamera obejmowała tylko działkę,
dodać czytelną informację przy bramie o monitoringu,
nie publikować nagrań z wizerunkami osób trzecich bez ich zgody.
Co realnie oznacza bycie administratorem danych jako inwestor
Jeśli w konkretnym aspekcie zachowujesz się jak administrator danych (najczęściej dotyczy to monitoringu), w praktyce oznacza to trzy grupy obowiązków:
organizacyjne – decyzja, po co są zbierane dane, jak długo są trzymane, kto ma do nich dostęp,
informacyjne – przekazanie osobom nagrywanym podstawowej informacji, że są monitorowane oraz w jakim celu,
bezpieczeństwa – zabezpieczenie nagrań przed przypadkowym ujawnieniem (hasła do konta w chmurze, nieudostępnianie loginów, ostrożne dzielenie się materiałami).
Nie chodzi o to, aby prywatny inwestor spisywał skomplikowane regulaminy. Raczej o świadome decyzje i prostą dokumentację „na własne potrzeby” – krótką notatkę, jak skonfigurowano kamery, jak długo przechowujesz nagrania, komu je ewentualnie udostępniasz.
Jakie dane osobowe krążą przy budowie domu i skąd się biorą
Dane osobowe inwestora w papierach i systemach
Na budowie domu jednorodzinnego dane osobowe inwestora pojawiają się wszędzie. Trafiają do:
projektu budowlanego (imię, nazwisko, adres, czasem PESEL),
wniosku o pozwolenie na budowę lub zgłoszenie,
księgi wieczystej i akt notarialnych,
umów z wykonawcami, projektantami, kierownikiem budowy, geodetą,
dokumentów bankowych przy kredycie hipotecznym (wraz z danymi finansowymi),
korespondencji mailowej i papierowej z urzędem gminy, starostwem, nadzorem budowlanym.
W tych przypadkach administratorem danych jest zazwyczaj podmiot po drugiej stronie – urząd, bank, biuro projektowe, wykonawca. Inwestor jest odbiorcą decyzji, umów, potwierdzeń, ale sam nie zarządza przetwarzaniem swoich danych; podaje je, by uzyskać konkretną usługę lub decyzję.
Z punktu widzenia RODO istotne jest, że te instytucje i firmy muszą przekazać inwestorowi swoje klauzule informacyjne – najczęściej w dokumentach, które podpisuje lub akceptuje. Inwestor nie musi tworzyć osobnych dokumentów RODO dla swoich danych, ale powinien:
czytać, komu i w jakim celu są one przekazywane,
pilnować, by przesyłając skany dokumentów (np. dowodu osobistego) używać w miarę bezpiecznych kanałów.
Dane wykonawców i podwykonawców: szeroki pakiet informacji
W kontaktach z wykonawcami inwestor otrzymuje i przetwarza różnej maści dane. Dla jednoosobowej działalności gospodarczej imienne dane właściciela firmy są jednocześnie danymi osobowymi. Typowy zestaw:
imię i nazwisko właściciela firmy,
adres działalności (często to adres domowy),
NIP, REGON, numer rachunku bankowego,
numery telefonów i adresy e-mail.
Przy większych firmach dochodzą dane ich reprezentantów:
imię, nazwisko i stanowisko osoby uprawnionej do podpisu umowy,
dane kontaktowe kierownika robót, brygadzisty, inżyniera,
czasem skany uprawnień budowlanych, numerów uprawnień, zaświadczeń.
Inwestor ma prawo posiadać te dane – są niezbędne do zawarcia i wykonania umowy. Nie powinien natomiast:
wymagać nadmiarowych danych (np. pełnych skanów dowodu osobistego, jeśli wystarczy numer uprawnień),
przetwarzać ich dalej w innym celu niż realizacja budowy (np. nie przekazywać bazy numerów telefonów innym firmom).
Przy umowach zawieranych z osobami fizycznymi prowadzącymi działalność dobrze jest od razu ustalić, kto jest administratorem których danych. Przykładowo – ty jesteś administratorem numeru telefonu wykonawcy przechowywanego w twoim telefonie i wykorzystujesz go tylko do kontaktu w sprawie budowy. Z kolei to wykonawca jest administratorem twoich danych wpisanych w fakturę czy w swój system księgowy. Nie ma tu żadnego „wspólnego” wielkiego przetwarzania, tylko dwa równoległe, dość proste zbiory danych po dwóch stronach umowy.
Dane pracowników ekip budowlanych
Przy robotach wykonawca często wprowadza na teren budowy swoich pracowników albo podwykonawców. Ich dane osobowe – imiona, nazwiska, PESEL, informacje o badaniach lekarskich, szkoleniach BHP – pozostają w gestii pracodawcy. To on jest administratorem i to on powinien zadbać o zgodność z RODO. Inwestor zwykle dostaje tylko niezbędny wycinek informacji: listę osób uprawnionych do wejścia na teren, telefon do brygadzisty, czasem imię i nazwisko osoby odpowiedzialnej za dany etap robót.
Granicę przekraczasz wtedy, gdy zaczynasz samodzielnie zbierać i archiwizować „teczki personalne” pracowników ekip, np. skany dowodów, zaświadczenia z badań, uprawnienia, numery PESEL „bo może się przyda”. Takie działanie trudno zmieścić w zwykłych, domowych celach – wchodzisz w rolę administratora danych. Jeżeli nie prowadzisz działalności gospodarczej w zakresie usług budowlanych, zwykle nie ma sensu ani podstaw prawnych, żeby tak szeroko dokumentować personel wykonawców. Wystarczy, że wiesz, jaka firma pracuje, kto nią kieruje i masz z nią ważną umowę.
Rozsądny kompromis to prosta lista kontaktowa: nazwa firmy, imię i nazwisko osoby odpowiedzialnej na budowie, numer telefonu, ewentualnie adres e-mail. Jeżeli wykonawca upiera się, by przekazać więcej danych (np. pełne listy pracowników z PESEL-ami), zapytaj wprost, po co ci to jako inwestorowi i czy nie wystarczy, że on będzie je przechowywał u siebie. Często wystarczy takie pytanie, by rozmowa szybko zeszła na bardziej racjonalne tory.
Dane sąsiadów, przechodniów i „osób z otoczenia budowy”
Przy budowie przewijają się nie tylko wykonawcy, ale też sąsiedzi, przechodnie, kurierzy, urzędnicy. Ich dane pojawiają się głównie „przy okazji”: w SMS-ach („Pani Kasiu, jutro beton, proszę nie zastawiać wjazdu”), w notatkach z ustaleń, w zdjęciach czy na nagraniach z monitoringu. Dopóki te informacje nie są systematycznie zbierane i katalogowane, zwykle mieścimy się w zwykłych kontaktach międzyludzkich, które RODO pozostawia w spokoju.
Kłopot zaczyna się wtedy, gdy otoczenie budowy zaczyna być „profilowane”: zapisujesz dane sąsiadów, kiedy wracają z pracy, nagrywasz i archiwizujesz każdy wjazd i wyjazd, opisujesz szczegółowo zachowania konkretnych osób. Tu wchodzimy już w obszar, w którym ktoś mógłby zarzucić ci naruszenie prywatności nie tylko na gruncie RODO, ale też dóbr osobistych. Zwykle nie chodzi o drobne notatki typu „sąsiad X ma klucze do bramy awaryjnej”, tylko o regularne gromadzenie informacji bez wyraźnej potrzeby.
Jeżeli używasz monitoringu i wiesz, że w kadrze od czasu do czasu pojawiają się sąsiedzi czy kurierzy, zadbaj chociaż o minimalną przejrzystość: prostą tabliczkę informującą o kamerze i rozsądny czas przechowywania nagrań. To często wystarczy, by nikt nie czuł się „podglądany”, a jednocześnie twoje interesy jako inwestora pozostają zabezpieczone.
Jeżeli relacje z sąsiadami są napięte, tym bardziej trzymaj się prostych zasad: żadnych „czarnych list” w notatniku, publikowania zdjęć czy nagrań z ich wizerunkiem w mediach społecznościowych „ku przestrodze” ani udostępniania nagrań osobom postronnym w ramach lokalnych plotek. Materiał z monitoringu traktuj jak dokument techniczny, a nie narzędzie w sąsiedzkich sporach – udostępniaj go wyłącznie wtedy, gdy istnieje realna potrzeba prawna (np. policja, ubezpieczyciel, sąd).
Zdarza się, że inwestor, chcąc „zabezpieczyć się” przed konfliktami, zaczyna gromadzić i archiwizować korespondencję z sąsiadami, screeny z komunikatorów, nagrania dźwiękowe sprzeczek przy płocie. Taka „dokumentacja na wszelki wypadek” łatwo wymyka się spod kontroli: przez lata rośnie zbiór danych wrażliwych o konkretnych osobach, bez jasnego celu i bez realnej potrzeby. Zamiast skrzynki z kompromatami lepiej mieć porządnie opisaną dokumentację budowlaną, a w razie konfliktu skupić się na oficjalnej ścieżce: mediacji, wezwaniu do usunięcia naruszeń, postępowaniu administracyjnym.
RODO nie zabrania zwykłych sąsiedzkich kontaktów. Możesz zapisać sobie numer telefonu sąsiada, który dogląda działki, czy adres mailowy osoby, z którą uzgadniasz dojazd ciężkiego sprzętu. Klucz tkwi w skali i celu: kontakty służące bieżącej współpracy są czymś zupełnie innym niż systematyczne zbieranie informacji o życiu prywatnym ludzi dookoła twojej budowy. Jeśli przy każdym nowym pomyśle na „zbieranie danych” zadasz sobie pytanie: „czy naprawdę potrzebuję tego do wybudowania domu?”, najczęściej odpowiedź sama wskaże, gdzie się zatrzymać.
Budowa domu to i tak duże obciążenie organizacyjne i finansowe. RODO, potraktowane rozsądnie, ma ci pomóc – uporządkować obieg informacji, ograniczyć nadmiar dokumentów, uniknąć niepotrzebnych konfliktów. Kilka prostych zasad: minimum danych, jasno określony cel, rozsądny czas przechowywania i odrobina empatii wobec osób, które przewijają się wokół twojej budowy – to zwykle wystarczy, żeby spokojnie dojść do etapu odbioru, bez dodatkowych nerwów związanych z prywatnością i zarzutami o „inwigilację”.
Źródło: Pexels | Autor: Timothy Huliselan
RODO a budowa domu jednorodzinnego – od czego w ogóle zacząć
Punktem wyjścia jest odpowiedź na bardzo przyziemne pytanie: czy buduję „prywatnie”, czy „zawodowo”. Ten sam dom, ten sam plac budowy, a konsekwencje dla RODO mogą być zupełnie inne. Jeżeli realizujesz inwestycję wyłącznie na własne potrzeby mieszkaniowe, nie wynajmujesz zawodowo, nie prowadzisz tam działalności gospodarczej – większość twoich działań mieści się w tzw. „wyjątku domowym”. Oznacza to, że rozbudowana machina z politykami, rejestrami i inspektorem ochrony danych zwykle cię nie dotyczy.
Sytuacja zmienia się, gdy dom od początku traktujesz jako projekt zarobkowy: pod wynajem krótkoterminowy, biuro, hostel pracowniczy. Wtedy przestajesz działać wyłącznie jako osoba prywatna. Decyzje o danych (monitoring, listy najemców, systemy dostępu) podejmujesz już w ramach działalności zawodowej i wchodzisz w rolę administratora danych w rozumieniu RODO.
Dobry start to przejście przez trzy proste kroki:
Spisz, z kim w ogóle współpracujesz: projektant, kierownik budowy, główny wykonawca, podwykonawcy, bank, pośrednik kredytowy, ubezpieczyciel, geodeta.
Do każdego podmiotu dopisz, jakie dane wymieniacie (chociaż hasłowo: „dane osobowe właściciela firmy”, „dane kontaktowe”, „dane do faktury”).
Zadaj sobie pytanie, czy w którymś przypadku to ty „rządzisz” danymi: ustalasz, po co i jak długo będą trzymane, komu je przekażesz.
Jeżeli odpowiedź brzmi „tak” tylko w sprawach typowo domowych (lista kontaktów w telefonie, maile z ustaleniami), na ogół nie potrzebujesz żadnej formalnej dokumentacji RODO. Gdy jednak planujesz monitoring, ogrodzenie z kontrolą dostępu, profesjonalne biuro budowy z pełną teczką osobową każdej osoby wchodzącej na teren – wchodzisz powoli w świat, w którym warto wszystko poukładać trochę poważniej.
Kiedy inwestor jest administratorem danych, a kiedy nie – praktyczne granice
Administrator to ten, kto decyduje o celach i sposobach przetwarzania danych. Nie ten, kto ma klucze do segregatora, tylko ten, kto mówi: „zbieramy to, przechowujemy w ten sposób, udostępniamy tam i w takim celu”. Przy budowie domu ta rola zwykle rozkłada się bardzo prosto – ale w kilku miejscach pojawiają się pułapki.
Typowe sytuacje, w których inwestor NIE jest administratorem
W wielu kontaktach jesteś po prostu klientem. Podajesz dane, ale nie zarządzasz ich dalszym losem:
Bank i pośrednik kredytowy – to oni decydują, co dalej z twoim wnioskiem, jak długo przechowują dokumenty, komu je przekazują (np. do BIK czy ubezpieczyciela).
Biuro projektowe i kierownik budowy – mają własne archiwa dokumentacji, rejestry klientów, listy zleceń.
Duża firma wykonawcza – sama ustala, jak dokumentuje zlecenia, jak długo trzyma umowy i faktury z twoimi danymi.
W tych relacjach twoja rola ogranicza się do tego, by wiedzieć, komu powierzono twoje dane i w jakim celu. RODO „dzieje się” po ich stronie.
Sytuacje, w których inwestor staje się administratorem
Inwestor zaczyna pełnić rolę administratora, kiedy sam organizuje jakiś „system” danych. Nie musi to być superprofesjonalny CRM – wystarczy regularny, przemyślany sposób gromadzenia informacji o innych ludziach, wykraczający poza domowe potrzeby.
Przykładowe sytuacje, w których szczególnie łatwo przekroczyć granicę:
Zatrudnianie ludzi „na własną rękę” – np. bierzesz brygadę „na godziny”, płacisz z własnej kieszeni, podpisujesz umowy zlecenia. Wtedy to ty decydujesz, jakie dane pracowników są zbierane i przechowywane.
Samodzielna organizacja ochrony czy monitoringu – ustawiasz kamery, ustalasz, jak długo przechowujesz nagrania, komu je pokażesz (np. policji, ubezpieczycielowi, sąsiadowi).
Tworzenie rozbudowanych list wejść na budowę – np. rejestrujesz nazwiska, PESEL-e, godziny wejścia i wyjścia każdej osoby na plac budowy „dla porządku”.
Jeżeli te działania mają charakter prywatny i na niewielką skalę, część prawników nadal będzie je traktować jako „domowe” i wyłączone z RODO. Im bliżej jednak działalności zawodowej (np. budujesz kilka domów rocznie i wynajmujesz), tym łatwiej uznać, że powinny być objęte pełnymi zasadami ochrony danych.
Granica między „hobby budowlanym” a działalnością zawodową
Jedna budowa na całe życie to zwykle inna kategoria niż seryjne inwestycje. Jeżeli:
kupujesz kolejne działki i budujesz domy „pod wynajem” lub „pod sprzedaż”,
na budowie często pojawiają się pracownicy zatrudniani bezpośrednio u ciebie,
masz stałe umowy z ekipami, architektem wnętrz, geodetą,
łatwo wykazać, że to już zorganizowana działalność gospodarcza, a nie jednorazowa przygoda z własnym domem. Wtedy rola administratora danych staje się oczywista – i trzeba spojrzeć na całą inwestycję oczami przedsiębiorcy, a nie tylko „prywatnego inwestora”.
Jakie dane osobowe krążą przy budowie domu i skąd się biorą
Na placu budowy nie ma tabel Excela i serwerowni, ale dane krążą intensywnie. Część z nich trafia tam zupełnie naturalnie (umowy, faktury), część – „tylko na chwilę” (SMS, zdjęcia, notatki).
Dane kontraktowe i finansowe
Podstawowa grupa to dane potrzebne do zawierania i rozliczania umów. Pojawiają się w:
umowach o roboty budowlane, umowach zlecenia, zamówieniach na materiały,
fakturach i rachunkach,
przelewach bankowych – opisy przelewów, numery kont, dane właścicieli rachunków.
Często te same informacje „migrują” pomiędzy różnymi dokumentami: imię i nazwisko właściciela firmy wykonawczej pojawia się w umowie, na fakturze, w przelewie i w historii SMS-ów z ustaleniami. Nie trzeba ich za każdym razem „oddzielnie” klasyfikować – istotne jest, w jakim celu w ogóle je przechowujesz.
Dane kontaktowe i robocze notatki
Druga warstwa to czysto praktyczne informacje: kto za co odpowiada, kto do kogo dzwoni. Lądują w:
książce telefonicznej w telefonie,
wątkach mailowych i na komunikatorach,
notatkach papierowych („pan Marek – glazurnik, tel. …”).
To również są dane osobowe, ale ich „ciężar gatunkowy” jest znacznie mniejszy niż w przypadku np. dokumentacji medycznej czy wyciągów z kont. Dlatego przy rozsądnym, domowym korzystaniu nie trzeba wokół nich stawiać wysokiego muru procedur; wystarczy zwykła dbałość o to, by nie wypłynęły niepotrzebnie dalej.
Dane w dokumentacji technicznej i urzędowej
Projekt budowlany, pozwolenia, zgłoszenia do nadzoru – tu pojawiają się dane inwestora, projektanta, kierownika budowy, czasem właścicieli działek sąsiednich. Te dokumenty:
mają narzucony prawem czas przechowywania – w urzędach i u niektórych uczestników procesu,
są przechowywane także u ciebie – jako element dokumentacji domu.
Trudno mówić o „nadmiarowym” przetwarzaniu, bo tu zakres danych wynika wprost z przepisów (np. prawa budowlanego). Twoje zadanie sprowadza się raczej do nieujawniania ich szerzej – np. nie wrzucania skanów pełnego projektu z danymi wszystkich uczestników na otwarte fora internetowe.
Dane w zdjęciach i filmach z budowy
Fotorelacja z budowy to dziś standard, często ważniejszy niż klasyczny dziennik budowy. Na zdjęciach i filmach:
widać twarze pracowników, numer rejestracyjny auta,
czasem fragmenty dokumentów przyklejonych na tablicy informacyjnej,
okoliczne posesje – a więc również cudze mienie.
Dopóki materiał służy prywatnej dokumentacji i nie jest systematycznie publikowany, nie ma zwykle powodu do niepokoju. Problem zaczyna się, gdy zdjęcia i nagrania trafiają regularnie do internetu, zwłaszcza z komentarzami typu „omijajcie tego wykonawcę szerokim łukiem”. Wtedy pojawia się nie tylko RODO (jeśli dana osoba jest możliwa do zidentyfikowania), ale też odpowiedzialność za naruszenie dóbr osobistych.
Obowiązki informacyjne inwestora wobec wykonawców i pracowników ekip
Obowiązek informacyjny to nic innego jak proste wyjaśnienie: „kto i po co ma twoje dane”. Formularzy i paragrafów jest wokół tego sporo, ale sama idea jest dość intuicyjna.
Kiedy inwestor musi przekazać informację o przetwarzaniu danych
Jeżeli działasz czysto prywatnie, krąg osób, wobec których trzeba się tłumaczyć z danych, jest bardzo ograniczony. W praktyce obowiązek informacyjny pojawia się wtedy, gdy:
samodzielnie zatrudniasz osoby fizyczne (np. pomocnika murarza, ogrodnika, ekipę sprzątającą) i zbierasz ich dane na umowy, rozliczenia, listy płac,
prowadzasz monitoring lub system rejestracji wejść, który w oczywisty sposób obejmuje inne osoby (pracowników, gości, kurierów),
prowadzisz działalność gospodarczą związaną z tą budową (np. budujesz dom, który zaraz po ukończeniu wejdzie do portfela mieszkań na wynajem firmy, którą prowadzisz).
Wówczas nie wystarczy powiedzieć „to tylko na mojej działce, więc mogę wszystko”. Jeżeli dane przetwarzasz jako przedsiębiorca lub de facto „pracodawca”, druga strona ma prawo wiedzieć, w jakim zakresie to robisz.
Jak może wyglądać prosta „klauzula” po stronie inwestora
Nie trzeba tworzyć elaboratu. Dla małej, jednorazowej budowy wystarczy krótkie oświadczenie w umowie lub załączniku, np. przy zatrudnianiu pomocnika:
kto jest administratorem (imię, nazwisko, adres inwestora),
jakie dane są zbierane (np. imię, nazwisko, adres, numer rachunku bankowego),
w jakim celu (zawarcie i rozliczenie umowy, ewentualne roszczenia),
jak długo (np. przez czas trwania umowy i okres przedawnienia roszczeń),
podstawa prawna (wykonanie umowy i przepisy podatkowe),
podstawowe prawa osoby (dostęp, poprawianie, sprzeciw – z zaznaczeniem wyjątków wynikających z prawa podatkowego).
Taką informację możesz przekazać wprost w treści umowy lub w osobnym, jedno- czy dwustronicowym załączniku. Ważne, by pracownik czy współpracownik miał szansę się z nią zapoznać, a nie tylko podpisał bezwiednie kolejny papierek.
Co z pracownikami wykonawcy?
Tutaj proporcje są odwrócone: to wykonawca ma obowiązki wobec swoich ludzi. Jeżeli w umowie pojawia się zapis o monitoringu czy kontroli wejść, dobrym zwyczajem jest upewnienie się, że wykonawca:
poinformuje swoich pracowników o tym, że teren jest monitorowany,
wprowadzi wewnętrznie odpowiednie zapisy (np. w regulaminie pracy).
Nie musisz „oblatywać” każdej osoby z ekipy osobną klauzulą informacyjną. Wystarczy, że w umowie z wykonawcą jasno opiszesz, że na terenie budowy działa monitoring, a on zobowiąże się przekazać tę informację pracownikom i podwykonawcom.
Źródło: Pexels | Autor: Minh Tri
Umowy z wykonawcami a RODO – co powinno znaleźć się na papierze
Standardowa umowa o roboty budowlane zazwyczaj skupia się na terminach, cenie i gwarancji. Do tego dochodzi aspekt danych: w tle zawsze krąży co najmniej kilka zestawów informacji o osobach. Kilka prostych zapisów pozwala uniknąć sporów i nieporozumień.
Rozdzielenie ról: kto za co odpowiada
Warto doprecyzować, że:
każda ze stron jest odrębnym administratorem swoich danych – inwestor danych o wykonawcy, a wykonawca danych o inwestorze (na fakturach, w systemie księgowym),
wykonawca jest administratorem danych swoich pracowników i podwykonawców,
jeśli którakolwiek ze stron zleca dalsze przetwarzanie (np. księgowości, firmie ochroniarskiej), robi to na własną odpowiedzialność.
Jeżeli jednak wykonawca ma np. bezpośredni dostęp do twoich systemów (kamer, aplikacji do zarządzania inteligentnym domem) i może w twoim imieniu coś z danymi robić, wtedy wchodzimy w obszar tzw. powierzenia danych i potrzebna jest już osobna umowa regulująca szczegóły takiej współpracy. Na typowej budowie domu jednorodzinnego rzadko się to zdarza, ale przy bardziej zaawansowanych instalacjach (systemy smart home, zdalny dostęp do monitoringu) przestaje to być egzotyczny scenariusz.
Zapisy o poufności i bezpieczeństwie
Przy prostych robotach wystarczy krótki, konkretny punkt w umowie. Chodzi o to, by wykonawca zobowiązał się do zachowania poufności informacji, do których uzyska dostęp – nie tylko o tobie, lecz także o twoich domownikach, zwyczajach czy zabezpieczeniach posesji. W praktyce to jedno zdanie typu „Strony zobowiązują się do zachowania w poufności wszelkich informacji uzyskanych w związku z realizacją umowy, w tym danych osobowych w rozumieniu RODO”.
Przy bardziej wrażliwych pracach (alarm, monitoring, systemy dostępu) można dodać kilka prostych doprecyzowań: że wykonawca nie będzie kopiował konfiguracji systemu dla innych klientów, nie zostawi haseł na kartce w szafce z rozdzielnią i nie będzie przekazywał dostępu „koledze z zewnątrz”. To są rzeczy, które potem realnie chronią cię przed problemami, a jednocześnie pokazują wykonawcy, że traktujesz temat poważnie.
Dostęp do terenu budowy i danych osób trzecich
Na budowie często pojawiają się też inne osoby: sąsiedzi, geodeta, inspektor z banku, kurierzy. Dobrze, aby umowa z głównym wykonawcą jasno mówiła, że nie może on swobodnie udostępniać terenu osobom postronnym, a jeśli korzysta z podwykonawców, to bierze odpowiedzialność za to, kogo wpuszcza na działkę i do dokumentacji. Krótki zapis, że wykonawca ponosi odpowiedzialność za działania swoich pracowników i podwykonawców w zakresie zachowania poufności, bardzo porządkuje sytuację.
Jeśli prowadzisz np. monitoring wizyjny, przyda się jeszcze jedno zdanie: że wykonawca został poinformowany o monitoringu i zobowiązuje się przekazać tę informację swoim ludziom. To zrzuca z ciebie konieczność „polowania” na każdego pracownika ekipy z osobnym oświadczeniem, a jednocześnie domyka kwestię obowiązku informacyjnego.
Przekazywanie danych dalej – bank, ubezpieczyciel, architekt
Część danych z umów z wykonawcami trafia dalej: do banku (przy kredycie), ubezpieczyciela, architekta pełniącego nadzór autorski. Nie trzeba na to za każdym razem osobnej zgody, ale dobrze jest mieć ogólny zapis, że dane mogą zostać przekazane podmiotom zaangażowanym w finansowanie lub obsługę inwestycji, jeśli jest to niezbędne do jej realizacji. To eliminuje późniejsze zdziwienie, że kosztorys z nazwą firmy wykonawczej trafił do banku razem z wnioskiem o uruchomienie transzy kredytu.
Jeżeli prosisz wykonawcę o referencje albo zdjęcia z realizacji, przy okazji doprecyzuj, czy może posługiwać się twoim adresem, imieniem i nazwiskiem, czy raczej ma ograniczyć się do ogólnego opisu typu „dom jednorodzinny w okolicy Warszawy”. Z twojej perspektywy to również element zarządzania danymi – i prywatnością – przy tej konkretnej inwestycji.
Monitoring placu budowy i fotopułapki – granice prywatności
Kamery na budowie czy fotopułapki w ogrodzie najczęściej mają jedno zadanie: odstraszyć złodzieja i pomóc w razie szkody. Problem zaczyna się wtedy, gdy obiektyw „widzi” znacznie więcej niż samą działkę – część ulicy, wejścia sąsiadów, podjazdy. Wtedy wchodzimy w obszar, w którym nagrania mogą już być uznane za przetwarzanie danych osobowych, a nie tylko prywatne notatki.
Granica jest prosta: jeśli kamera obejmuje wyłącznie twoje podwórko i nie da się z nagrań rozpoznać osób postronnych, pozostajesz w sferze prywatnej. Gdy jednak nagrania pokazują sąsiadów wychodzących z domu, przechodniów czy tablice rejestracyjne na ulicy, w praktyce zaczynasz przetwarzać ich dane osobowe i wtedy przepisy RODO zaczynają mieć znaczenie.
Jak ustawić kamery, żeby nie przesadzić
Zaczyna się od zdrowego rozsądku, a dopiero potem od przepisów. W praktyce dobrze jest:
tak ustawić kąt widzenia, by maksymalnie ograniczyć „złapanie” ulicy i posesji sąsiadów,
korzystać z funkcji maskowania obrazu (wiele kamer pozwala zaciemnić fragment kadru, np. okno sąsiada),
nie montować kamer tak, by stale „wisząco” obserwowały furtkę lub ogród obok – jeśli sąsiad zwróci uwagę, że czuje się nagrywany, to zwykle nie jest to tylko jego „widzimisię”.
Często da się osiągnąć ten sam efekt ochrony, ustawiając kamerę nieco wyżej lub kierując ją bardziej na drzwi i okna, a nie „na świat”. Każdy stopień zawężenia pola widzenia to mniej problemów na tle prywatności.
Informowanie o monitoringu – tabliczka to nie gadżet
Jeżeli monitoring obejmuje miejsca, gdzie mogą pojawiać się inne osoby niż ty i twoja rodzina, rozsądnie jest ich o tym uprzedzić. Nie potrzebujesz skomplikowanej klauzuli – wystarczy czytelna informacja przy wjeździe lub wejściu na teren, że teren jest monitorowany przez inwestora wraz z podstawowymi danymi kontaktowymi. Tam, gdzie budowa jest ogrodzona i wchodzi się przez bramę, praktyczna jest prosta tabliczka na płocie.
Przy krótkich, typowo „prywatnych” nagraniach (tylko dla siebie, bez udostępniania ich w sieci, bez analizowania zachowań sąsiadów) nikt nie oczekuje od ciebie rozbudowanych regulaminów monitoringu. Chodzi raczej o to, żeby osoby wchodzące na teren budowy – ekipa, dostawcy, znajomi – nie dowiadywały się o kamerach dopiero po fakcie, oglądając filmik na twoim telefonie.
Jak długo trzymać nagrania i kto ma do nich dostęp
W praktyce przy domowym monitoringu czas przechowywania nagrań wyznacza pojemność dysku lub karty pamięci. Rozsądnym punktem odniesienia jest okres, który naprawdę jest ci potrzebny do zorientowania się, że coś się stało – zwykle to kilka, kilkanaście dni. Trzymanie miesięcy archiwum „na wszelki wypadek” nie daje wiele korzyści, za to zwiększa ryzyko wycieku czy nieuprawnionego podglądania.
W dostępie do nagrań im mniej osób, tym lepiej. Jeżeli system montuje firma zewnętrzna, dobrze jest wprost ustalić, że po zakończeniu prac nie będzie miała zdalnego dostępu do obrazu, chyba że wyraźnie tego chcesz i opiszesz to w umowie. Typowy błąd to zostawienie instalatorowi konta „serwis” bez zmiany hasła – wtedy realnie nie wiesz, kto patrzy na twoją budowę i dom.
Fotopułapki, udostępnianie nagrań i konflikty z sąsiadami
Fotopułapki kuszą prostotą: wieszasz, zapominasz, a zdjęcia przychodzą same. Problem w tym, że często „łapią” zupełnie inne osoby niż złodzieja – listonosza, sąsiada skracającego sobie drogę, dzieci bawiące się przy ogrodzeniu. Jeżeli korzystasz z takich urządzeń, traktuj je podobnie jak kamery: ustawiaj tak, by nie śledziły cudzego podwórka ani publicznej drogi, a zdjęcia trzymaj tylko tak długo, jak to ma sens z punktu widzenia bezpieczeństwa budowy.
Kłopot zaczyna się wtedy, gdy takie zdjęcia lub nagrania zaczynają krążyć – w grupce sąsiedzkiej, na portalu społecznościowym, w mailu do „wszystkich zainteresowanych”. Udostępniając obraz z rozpoznawalnymi osobami, przechodzisz z poziomu prywatnej notatki do realnego przetwarzania ich danych. Jeżeli nagranie ma pomóc policji czy ubezpieczycielowi po szkodzie, przekaż je właśnie tym podmiotom, a nie całej okolicy. Publiczne napiętnowanie „podejrzanego” przechodnia rzadko kończy się dobrze – cyfrowy ślad zostaje na długo, a odpowiedzialność za to, co wypuścisz do sieci, ciągle zostaje po twojej stronie.
Gdy sąsiad ma zastrzeżenia do kamer albo fotopułapki, najprościej jest po prostu z nim porozmawiać i – jeśli się da – skorygować ustawienie urządzenia. Często wystarczy lekko przekręcić obiektyw, wyłączyć jedną strefę detekcji ruchu czy włączyć maskowanie obrazu, żeby uciąć konflikt i podejrzenia o „podglądactwo”. Lepiej poświęcić kwadrans na spokojne wyjaśnienie, co i po co nagrywasz, niż tłumaczyć się potem przed urzędem lub w sądzie z „monitoringu na wszystko”.
Zdarzają się sytuacje, w których nagranie z twojej kamery jest jedynym dowodem np. na stłuczkę przed bramą sąsiada czy akt wandalizmu na ulicy. Wtedy możesz – na jego prośbę – udostępnić materiał, ale z głową. Dobrym nawykiem jest przekazywanie kopii bezpośrednio policji albo wspólne złożenie zawiadomienia i zgranie pliku na nośnik funkcjonariuszy. Im mniej prywatnych kopii krąży na pendrive’ach i komunikatorach, tym mniejsze ryzyko, że nagranie „wypłynie” tam, gdzie nie powinno.
Budowa domu to wystarczająco duże wyzwanie logistyczne i finansowe, by nie dokładać sobie kłopotów z przepisami o ochronie danych. Kilka rozsądnych decyzji – czytelne umowy, proste klauzule informacyjne, sensownie ustawione kamery – powoduje, że RODO przestaje być straszakiem, a staje się jednym z narzędzi porządkowania całego procesu. Dzięki temu możesz skupić się na tym, co najważniejsze: doprowadzeniu inwestycji do końca i spokojnym zamieszkaniu w domu, który jest bezpieczny nie tylko konstrukcyjnie, lecz także pod względem przepływu informacji o tobie i ludziach, którzy się przy tej budowie przewinęli.
RODO a „szara strefa” kontaktów okołobudowlanych
Przy formalnych umowach sprawa jest w miarę klarowna: są dane w dokumentach, jest administrator, da się to poukładać. Trudniej robi się tam, gdzie budowa żyje „codziennym życiem” – telefon do poleconej ekipy, kontakt do „pana od koparki”, numer kierowcy betoniarki zapisany na kartce w aucie. To też są dane osobowe, nawet jeśli cały obieg odbywa się w notatniku czy w komunikatorze.
Nie chodzi o to, by z każdego numeru telefonu robić osobną klauzulę informacyjną. Rozsądek podpowiada inne podejście: ograniczyć się do danych faktycznie potrzebnych do współpracy, nie rozsyłać ich dalej bez sensu i nie trzymać „na wieczne czasy”, gdy relacja dawno się skończyła. Gdy znajomy prosi o kontakt do twojej ekipy, najczystsze rozwiązanie to po prostu zapytać tę ekipę, czy może przekazać ich numer dalej, albo odesłać znajomego do ich publicznego ogłoszenia.
Notatki prywatne a prawdziwe „przetwarzanie danych”
W kalendarzu w telefonie pojawi się sporo wpisów: „Kierownik – 8:00”, „Okna – wycena”, „Elektryk – poprawki”. Dla ciebie to tylko organizacja dnia, ale prawnie też są to dane powiązane z konkretnymi osobami. Tak długo, jak używasz ich wyłącznie na własny użytek, nie tworzysz z tego bazy marketingowej ani nie budujesz „czarnej listy wykonawców” w sieci, pozostajesz w sferze prywatnej.
Granica przesuwa się w momencie, gdy zaczynasz takie informacje systematycznie gromadzić po to, by je dalej wykorzystywać: np. publikujesz w internecie tabelę z nazwiskami, telefonami i ocenami ekip albo wysyłasz masowo SMS-y z zapytaniami o nowe prace. Wtedy przestajesz być wyłącznie prywatnym inwestorem, a zaczynasz działać jak mała platforma pośrednictwa – razem z pakietem obowiązków z RODO.
Grupy na komunikatorach i fora lokalne
Współczesna budowa żyje także w sieci: grupy osiedlowe, fora „budujących w danej gminie”, komunikatory z sąsiadami. Tam również krążą dane: nazwiska fachowców, numery telefonów, czasem skany umów albo zdjęcia z wizytówek. Zanim wrzucisz w taki kanał cudze dane, zadaj sobie dwa pytania:
czy ta osoba wie, że upubliczniasz jej numer lub nazwisko w danym kontekście,
czy naprawdę jest to konieczne, czy możesz przekazać kontakt bardziej „indywidualnie” – np. w prywatnej wiadomości po uzgodnieniu z wykonawcą.
Jedno zdanie wysłane „do wszystkich” potrafi żyć latami w zrzutach ekranu. Dla wykonawcy może to oznaczać lawinę telefonów albo przypięcie łatki na długi czas – pozytywnej albo bardzo niekorzystnej.
Źródło: Pexels | Autor: Jan van der Wolf
Dane w urzędach i rejestrach – co już jest publiczne
Wiele informacji o twojej budowie i tak trafia do przestrzeni publicznej: w decyzjach o pozwoleniu na budowę, zgłoszeniach, dzienniku budowy. Pojawiają się tam imiona, nazwiska, adresy, numery uprawnień. Nie oznacza to jednak automatycznie, że z takimi danymi można robić wszystko.
Fakt, że twoje nazwisko i adres znajdują się w rejestrach urzędowych, jest skutkiem przepisów prawa budowlanego, a nie „zgody na wszystko”. Ktoś może uzyskać wgląd do tych dokumentów w określonym trybie, ale nie powinien ich kopiować i wykorzystywać np. w celach reklamowych czy do wysyłania nachalnych ofert bez żadnego umiaru.
Dziennik budowy i tablica informacyjna na płocie
Dziennik budowy to dokument urzędowy, który przechowujesz i okazujesz określonym osobom: inspektorowi nadzoru, kierownikowi budowy, kontrolerom. Mimo że przewija się przez niego sporo danych (twoich i osób zaangażowanych w proces), nie służy on do robienia zdjęć i wrzucania w media społecznościowe z widocznymi podpisami czy numerami uprawnień. Jeśli chcesz pochwalić się „pierwszym wpisem w dzienniku”, da się to zrobić, zasłaniając część danych choćby kartką lub obróbką zdjęcia.
Podobnie jest z tablicą informacyjną na ogrodzeniu. Jej treść i zakres danych określają przepisy – stąd imię i nazwisko inwestora czy kierownika budowy. To obowiązek administracyjny, a nie zaproszenie do przepisywania tych danych do cudzych baz handlowych. Jeżeli ktoś wykorzystuje dane z tablicy, aby zasypywać cię niezamówioną reklamą albo dzwoni z nachalnymi ofertami, to nie „uśmiech losu”, tylko problem po ich stronie.
Dostęp do dokumentacji przez inne osoby
Zdarza się, że inne osoby – np. sąsiad niezadowolony z inwestycji – próbują zdobyć twoje dokumenty z urzędu, powołując się na dostęp do informacji publicznej. Organ musi tu balansować pomiędzy jawnością a ochroną prywatności, często więc udostępnia dokumenty z częściowo ukrytymi danymi. Z twojej strony nie ma obowiązku samodzielnego kopiowania i wydawania kompletu dokumentów każdemu, kto o to poprosi „po sąsiedzku”.
Jeśli jednak decydujesz się pokazać sąsiadowi projekt czy decyzję, zrób to z namysłem – nie zostawiaj skanów z pełnym kompletem danych na wspólnym dysku, do którego mają dostęp osoby trzecie, a w razie wątpliwości ogranicz się do tego, co jest potrzebne do wyjaśnienia sporu: np. układu budynku na działce, a nie całej historii korespondencji z urzędem.
Porządkowanie danych po zakończeniu budowy
Po odbiorze domu zostaje całkiem pokaźna teczka dokumentów, maile, zdjęcia, czaty, listy kontaktów. Z punktu widzenia inwestora część z tych informacji będzie potrzebna przez lata (gwarancje, rękojmie, dokumentacja instalacji), a część spokojnie może „pójść do niszczarki” w sensie dosłownym lub cyfrowym.
Dobrą praktyką jest prosty przegląd: co musisz mieć ze względów prawnych lub praktycznych, co przypadkiem zawiera cudze dane „przy okazji” i czy jesteś w stanie to rozdzielić. Przykład: protokoły odbioru z danymi pracowników ekip możesz przechowywać, ale resztę – niepotrzebną korespondencję z imionami i numerami telefonów – da się zarchiwizować w formie, która nie eksponuje tych szczegółów (np. wydruk istotnych ustaleń bez całej historii maili).
Co zachować, a czego się pozbyć
W praktyce przydaje się prosty podział na trzy szuflady – fizycznie lub w komputerze:
Dokumenty obowiązkowe – projekt, pozwolenia, dziennik budowy, protokoły odbiorów instalacji, gwarancje, umowy z głównymi wykonawcami. Tu obecność danych osobowych jest ubocznym skutkiem, ale dokumentów i tak nie możesz wyrzucić bez ryzyka.
Dokumenty „na wszelki wypadek” – ustalenia mailowe, kosztorysy, rysunki wersji roboczych. Często wystarczy zachować te, które mogą być dowodem w razie sporu (np. co było w cenie), a resztę uporządkować lub skasować.
Resztki i duplikaty – stare wersje ofert, zdjęcia z danymi na tablicach, zrzuty ekranu z czatów z numerami telefonów. Jeśli nie widzisz sensownego powodu, by je trzymać, lepiej je po prostu usunąć niż odkładać „na czarną godzinę”, która nigdy nie nadejdzie.
Przy cyfrowych kopiach nie wystarczy je „przestać widzieć”. Pliki w chmurze czy na komunikatorach warto usuwać świadomie, zwłaszcza te, które trafiły do publicznych lub półpublicznych kanałów. Im mniej zbędnych informacji o ludziach wokół budowy zostawisz po sobie, tym mniejsze ryzyko, że kiedyś wypłyną w zupełnie niespodziewanym kontekście.
Gwarancje, reklamacje i dane po kilku latach
Relacja z wykonawcą często wraca po czasie – pęknięcie tynku, problem z bramą, przeciekający dach. Wtedy potrzebujesz danych kontaktowych, czasem kopii umowy czy protokołu. To konkretny powód, by te informacje przechowywać przez okres gwarancji czy rękojmi, a czasem dłużej, jeśli realnie toczy się spór.
Jeśli jednak minęło już wiele lat, ekipa zakończyła działalność, a ty nie spodziewasz się żadnych roszczeń, nie ma sensu trzymać całego pakietu danych wszystkich pracowników, którzy przewinęli się przez budowę. Wystarczy zachować to, co pozwala ci wykazać, kto był wykonawcą i co obiecał, zamiast przechowywać listę nazwisk osób, których rola zakończyła się wraz z położeniem pierwszej warstwy tynku.
Gdy coś pójdzie nie tak – naruszenia danych w realiach budowy
Przy skali domowej budowy rzadko mówimy o spektakularnych wyciekach baz danych, ale mniejsze wpadki zdarzają się często: zgubiona teczka z dokumentacją, otwarty na placu budowy laptop z mailami, zdjęcie umowy wysłane pomyłkowo do „złej” osoby. Choć jako prywatny inwestor zwykle nie podlegasz formalnym procedurom raportowania naruszeń do organów nadzorczych, rozsądnie jest potraktować takie sytuacje poważnie.
Jeśli uświadamiasz sobie, że cudze dane „wyszły z twoich rąk” w niekontrolowany sposób, najpierw spróbuj ograniczyć skutki: poproś osobę, do której trafiły, o usunięcie plików, zmień hasła, zablokuj dostęp do folderu w chmurze. W sytuacjach bardziej poważnych – np. gdy ktoś wykorzystuje zrobione przez ciebie zdjęcia dokumentów z danymi pracowników do ich nękania – kontakt z prawnikiem lub samym zainteresowanym wykonawcą może być konieczny, by wspólnie zareagować.
Otwarte dokumenty na placu budowy
Popularny obrazek z placu budowy to stolik w baraku, na nim teczka z umowami, dziennik budowy, luźne kartki z numerami telefonów. Przewija się tam wiele osób, od ekip po dostawców i różne „zajrzę na sekundę” wizyty. Jeżeli nie chcesz, by każdy miał wgląd w adresy i dane różnych osób, wystarczy kilka prostych ruchów: zamykana szafka na dokumenty, odłożenie dziennika do środka po zakończeniu wpisu, niepozostawianie listy numerów telefonów w widocznym miejscu.
Przy większych ekipach to często rola kierownika lub głównego wykonawcy, ale jako inwestor możesz to po prostu zasygnalizować. Nie na zasadzie straszenia RODO, tylko zwykłej troski o porządek: nikt rozsądny nie chce, żeby jego prywatny numer krążył po rękach przypadkowych osób, tylko dlatego że kartka leżała na stole przy wejściu.
Publiczne konflikty i „wyciąganie” danych
Najtrudniejsze sytuacje pojawiają się w konflikcie: spór o zapłatę, opóźnienia, jakość robót. W emocjach łatwo o nieprzemyślane ruchy: wrzucenie do sieci skanu umowy z pełnymi danymi wykonawcy, opisanie publicznie sporu z użyciem imion, nazwisk i numerów telefonów. Z drugiej strony wykonawca może odwdzięczyć się publikacją twoich danych z umowy, by „ostrzec kolegów branżowych”.
Z prawnego punktu widzenia obie strony ryzykują wtedy zarzut nieuprawnionego ujawnienia danych. Z praktycznego – internet pamięta długo i trudno potem odkręcić raz rozkręconą dyskusję. Jeżeli trzeba opisać sytuację np. na forum branżowym lub u rzecznika konsumentów, da się to zrobić w sposób bardziej neutralny: bez zamazywania rzeczywistości, ale też bez upubliczniania pełnych danych osobowych, gdy nie jest to absolutnie konieczne.
Najważniejsze punkty
RODO na prywatnej budowie to głównie zdrowy rozsądek w obchodzeniu się z cudzymi danymi – chodzi o to, by informacje o konkretnych osobach (kontakt, wizerunek, nagranie głosu) nie „wypływały” i nie były używane poza ich kontrolą.
Osoba fizyczna budująca dom na własne potrzeby korzysta z wyłączenia „osobistego lub domowego charakteru”: nie tworzy polityk RODO, nie rejestruje się nigdzie, nie musi szykować formalnych klauzul informacyjnych jak firma.
To wyłączenie ma granice – gdy inwestor zaczyna działać w sposób zorganizowany wobec osób trzecich (monitoring obejmujący ulicę i sąsiadów, listy pracowników, kopiowanie dokumentów ekip), może zostać potraktowany jak administrator danych i mieć konkretne obowiązki z RODO.
Popularne mity („RODO mnie nie dotyczy, bo jestem osobą fizyczną”, „RODO jest tylko dla firm”) są niebezpieczne: prywatny właściciel, który nagrywa pracowników i podpina kamery do chmury albo wrzuca nagrania z ludźmi do sieci, jak najbardziej wchodzi w obszar RODO.
Monitoring na działce jest dopuszczalny jako forma ochrony mienia, ale publikowanie nagrań i zdjęć z rozpoznawalnymi osobami czy tablicami rejestracyjnymi to już inna sytuacja prawna – w grę wchodzą RODO, prawo do wizerunku i ochrona dóbr osobistych.
Zwykłe, prywatne działania (notatnik z numerami telefonów do ekip, maile i SMS-y z ustaleniami, zdjęcia postępów budowy w rodzinnym albumie czy zamkniętej grupie) mieszczą się w sferze osobistej i zazwyczaj nie uruchamiają RODO.
