Regulace v nakládání s osobními údaji, která vstupuje v platnost 25. května 2018, se dotkne všech, tedy i činnosti výborů SVJ a členů představenstev bytových družstev, což je více než 250 000 členů statutárních orgánů Nové nařízení na ochranu osobních údajů (GDPR) je velký strašák, u kterého ale platí, že se víc bojí ten, kdo nic neví. Není třeba panikařit, ale ani strkat hlavu do písku. V klidu se na GDPR připravte, poradíme vám jak.
Základní poučka pro GDPR zní: „Jakákoliv činnost spojená s osobními údaji, vyjma činností osobních a domácích, podléhá režimu GDPR“, říká Martin Pešek z Klusák Advokátní Kancelář, která má za sebou více jak 150 GDPR implementací v bytových domech, SVJ a BD. Nařízení přináší celou řadu práv fyzickým osobám a zároveň povinnosti těm, kteří jejich osobní údaje uchovávají. Klíčem ke GDPR je celou věc nepodcenit, pochopit ji a věnovat se všem zákonným náležitostem zodpovědně.Hlavním strašákem jsou již vytvořené seznamy kontaktů – seznam členů a nájemníků, evidence dlužníků apod. Nabyté seznamy mohou SVJ za konkrétních podmínek využívat i nadále, je ale třeba je řádně zabezpečit, v opačném případě hrozí vysoké pokuty. Jaké jsou nutné kroky?GDPR pro SVJ v praxi
Podle stávajícího zákona o ochraně osobních údajů platí, že pokud SVJ zpracovává osobní údaje členů společenství v nezbytně nutném rozsahu pro naplnění účelu správy domu a souvisejících činností, může v souladu s ustanovením § 5 odst. 2 písm. a) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, provádět zpracování osobních údajů členů bez jejich souhlasu. Tato úprava platí i v novém GDPR.SVJ je oprávněno např. v rámci vyúčtování uvádět osobní údaje získané však pouze za účelem správy domu. Současně zůstává platné taktéž to, že v případě správy společných částí domu se jedná o hospodaření se společným majetkem členů SVJ, a všichni členové jsou oprávněni znát údaje, které se tohoto hospodaření týkají.Jak naložit s osobními údaji vlastníků (členů společenství)
Nyní se zkusme podívat na tuto problematiku z praktického pohledu. Každé SVJ musí znát osobní údaje svých členů, tj. jejich jména, adresu, bankovní spojení, telefon nebo email, ale i např. rodinný stav apod. Všechny tyto údaje považujeme za osobní a současně je tedy nutné s nimi nakládat tak, aby nebyly využívány k jinému účelu než k řádné správě domu. Nelze je např. poskytnout bez uzavření smlouvy o jejich zpracování externí firmě, kupříkladu správní firmě (lidově ´správci´).Je důležité vědět, že pro využití telefonního čísla nebo emailu potřebuje SVJ získat výslovný konkrétní písemný souhlas toho, koho se tyto údaje týkají. „Je na místě očekávat nákladné komplikace, pokud budou mít výbory SVJ zpracování emailu a telefonu plošně, bez konkrétního posouzení, za oprávněný zájem“ upozorňuje advokát Pešek.Velmi důležité je mít všechny spravované osobní údaje řádně zabezpečené proti zneužití, tzn. proti přístupu neoprávněné osoby, tj. uložené např. na počítači, ke kterému má přístup pouze výbor SVJ, a to např. pod heslem. Je nepřípustné, aby taková data byla uložena např. na počítači, ke kterému budou mít přístup např. rodinní příslušníci předsedy výboru SVJ. To stejné platí pro jakékoliv dokumenty v papírové podobě.Jak GDPR ovlivní kamerový systém v domě
Samostatnou kapitolu tvoří kamerový systém v domě. Stávající právní úprava vyžaduje mj. povinnost zaregistrovat se pro zpracování osobních údajů v souladu s § 16 zákona č. 101/2000 Sb. Tato povinnost nově odpadá, nicméně tím to vše začíná. Celá problematika provozu kamerových systémů by byla nad rámec tohoto příspěvku, proto se jeví jako vhodnější doporučit revizi stávajícího provozování, tedy posoudit každou prováděnou operaci s daty, které kamerový systém sbírá, kde je sbírá, jde-li o živý záznam bez ukládání nebo naopak o záznam, který si lze prohlédnout i později. To vše hraje v GDPR roli. Je nutno zvážit úroveň zabezpečení systému a všechna další kritéria. Máte-li kamerový systém, bez zásahu odborníka to rozhodně nepůjde, nechcete-li riskovat šetření inspektorů ÚOOÚ a tučnou pokutu.Co vše si musí SVJ ohlídat
Základním pravidlem mezi SVJ (ze zákona správcem osobních údajů) a zpracovatelem osobních údajů (může být najatá správní firma) by vždy měla být smlouva o jejich zpracování (dnes je tato povinnost upravena v ustanovení § 6 zákona č. 101/2000 Sb. o ochraně osobních údajů), která by měla obsahovat v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá, navíc musí obsahovat záruky zpracovatele (správní firmy) o technickém a organizačním zabezpečení ochrany osobních údajů.I GDPR přejímá tento předpoklad ve velmi podobném duchu ve svém článku 28 odst. 3. Nicméně stanoví další podmínky, např. zpracování osobních údajů pouze na základě doložených pokynů správce (SVJ – příkazce), zajištění, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti, poskytnutí správci (SVJ) veškerých informací potřebných k doložení toho, že byly splněny všechny povinnosti.Zvládne si pravidla GDPR nastavit SVJ samo?
Výbor musí k problematice GDPR přistoupit s péčí řádného hospodáře a nastavit všechny systémové procesy týkající se ochrany osobních údajů. V této souvislosti považuji za vhodné bez okolků zopakovat, že aplikace GDPR vyžaduje schopnost určitého stupně nejen právní, ale i technické analýzy. Ačkoliv není nutné okamžitě jmenovat DPO (pověřenec pro ochranu osobních údajů, z anglického DPO = Data Protection Officer), je vhodné, ne-li rovnou nutné, přizvat k řešení implementátora, který má patřičné evropské certifikace a aplikaci v SVJ bezchybně nastaví.Jak poznat dobrého implementátora? Vyžadujte odbornou kvalifikaci doloženou evropskými certifikáty, odbornou znalost práva, nejlépe tedy advokáty s praxí v bytových domech, SVJ a BD a schopnosti plnit úkoly stanovené nařízením GDPR.Je nutné si uvědomit, že osoba zpracovávající tato data, bude mít přístup k vašim citlivým údajům a není ve vašem zájmu způsobit si v budoucnu jakékoliv problémy. Odpovědnost za výsledek implementace zůstává stále na SVJ, proto je nasnadě, vybírat dobře a s veškerou vážností.
Co hrozí SVJ, které nařízení GDPR nesplníV dnešním chaosu okolo GDPR nelze objektivně předpokládat, že by se inspektoři ÚOOÚ zaměřili na plošné kontroly SVJ a BD. Domníváme se, že budou mít po 25. 5. 2018 co dělat, aby odbavili kontroly tzv. na ´ohlášku´. To ale může být zároveň i problém SVJ, jelikož v každém domě je někdo, kdo s názory výborů a představenstev z principu nesouhlasí. S GDPR takový rebel získal poměrně účinný nástroj pro svůj vliv a úřední obstrukce.Pokuty mohou v extrému dosáhnout až 20 000 000 EUR (nebo až do 4 % celkového ročního obratu, jde-li o podnik). Inspektoři ÚOOÚ budou hodnotit intenzitu zásahu do práva na ochranu osobních údajů, a dále budou vždy posuzovat povahu, závažnost a délku trvání porušení.Závěrem je nutno říct, že pokuty a jejich výška v GDPR nejsou primárně namířeny proti SVJ a BD. Ale jakmile se jednou úřední mašinerie rozjede, nikdo dnes objektivně neví, kde se zastaví. Kryjte se. Nastavené procesy nechte pravidelně kontrolovat!I poté, co SVJ projde procesem analýzy a následné implementace GDPR, je nutné pravidelně, např. jedenkrát ročně, prověřit, zda veškeré procesy práce s osobními údaji vyhovují zákonným normám a požádat o tzv. revizi neboli audit zpracování osobních údajů. Auditor (obvykle advokátní kancelář) tímto dokumentem stvrdí, že proces má SVJ nastaveno správně a výbor se naopak může o auditorskou zprávu v případě problémů zaštítit a opřít.Přinese GDPR pro SVJ něco pozitivního nebo jen nervozitu do výboru?Zlí jazykové tvrdí, že se jedná jen o další výmysl Evropské unie. Jiní mluví o GDPR jako o revoluci v rámci nakládání s osobními údaji. Stejným tempem, jakým se vyvíjí technika a zejména IT odvětví, posunují se naše nároky na uchování vlastního soukromí, kterým současná právní úprava zcela neodpovídá. Podobný, ne-li stejný chaos, vyvolává každá změna, vzpomeňme na Nový občanský zákoník, který nahradil předchozí Občanský zákoník z roku 1964!
Související
15. září 2021 10:08
3. září 2021 10:45
17. května 2019 9:30
15. ledna 2019 11:04
27. listopadu 2018 12:20
13. července 2018 15:44