GDPR = obecné nařízení o ochraně osobních údajů

Je zákon na ochranu dat platný pro celou Evropskou unii od 25. května. 2018. Ochrana osobních údajů v Česku platí od 90. let a Úřad kontroluje už téměř 20 let povinnosti tímto zákonem uložené. GDPR pouze nahrazuje a rozšiřuje současnou směrnici. Není tedy zcela novým zákonem.

Co znamená GDPR pro vaše SVJ:

SVJ pro potřeby správy domu shromažďuje množství osobních údajů („OÚ“) zejména svých členů. Z pohledu zákona je „Správcem údajů“. V případě, že si SVJ samo zpracovává účetnictví nebo dělá rozúčtování záloh, pak je zároveň také „Zpracovatel údajů“. Většinou je pouze Správcem (vytváří seznamy a databáze) a shromážděné údaje předává ke zpracování externí účetní nebo správcovské společnosti. O tom jakým způsobem budou data zpracována rozhoduje Správce. Ten určuje pravidla zpracování (v souladu s GDPR) a Zpracovatel je povinen se jimi řídit. Pro SVJ to tedy znamená:

1. Uzavřít smlouvu se Zpracovatelem, který s údaji pracuje pro vás a místo vás. V této smlouvě se zaváže, že bude údaje chránit stejně jako vy. Bez takové smlouvy by SVJ pro předání údajů jiným osobám mimo společenství muselo získat souhlas dotčeného člověka.

2. Založit formulář „Záznamy o činnostech zpracování“, který bude sloužit jako přehled pro všechny dotčené. V přehledu SVJ uvede:

  • kategorie osob, kterých se zpracované údaje týkají. Tyto osoby jsou označovány jako „Subjekty údajů“. Typicky to jsou vlastníci jednotek, nájemníci, zaměstnanci, dodavatelé (např. účetní, která je fyzickou osobou), atd.
  • kategorie osobních údajů – SVJ vyjmenuje všechny údaje, které u jednotlivých osob potřebuje. Např. u vlastníka – jméno, adresu bydliště, korespondenční adresu, tel., mail., č. účtu, počet osob v domácnosti; u nájemníka – jméno, tel., počet osob v domácnosti.
  • ke každému údaji uvede důvod zpracování. Pro zpracování každého údaje musí mít SVJ důvod (tzv. právní titul pro zpracování). Zákonu jde o minimalizaci množství zpracovávaných OÚ tak, aby nebyli OÚ shromažďovány bezdůvodně a nadbytečně. GDPR říká:

    Článek 6
    Zákonnost zpracování

    1. Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
    a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
    b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
    c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
    d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
    e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
    f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

    První pododstavec písm. f) se netýká zpracování prováděného orgány veřejné moci při plnění jejich úkolů.

    Např. jméno, adresa – tento údaj požaduje SVJ po vlastníkovi na základě zákona, v tomto případě je to Nový občanský zákoník č.89/2012 Sb. § 1177/1:

    „ (1) Kdo nabyl jednotku do vlastnictví, oznámí to včetně své adresy a počtu osob, které budou mít v bytě domácnost, vlastníkům jednotek prostřednictvím osoby odpovědné za správu domu nejpozději do jednoho měsíce ode dne, kdy se dozvěděl nebo mohl dozvědět, že je vlastníkem. To obdobně platí i v případě změny údajů uvedených v oznámení.“

    Jméno a adresu tedy může SVJ zpracovávat – dle článku 6 odst. 1 písm. c) je to zákonné; JE CHYBOU POŽADOVAT PRO ZPRACOVÁNÍ TĚCHTO ÚDAJŮ SOUHLAS.

    Zjednodušeně řečeno bude Souhlas SVJ potřebovat jen pro osobní údaj, který:

                         – není nezbytný pro splnění smlouvy;

                         – nevyžaduje jej žádný právní předpis (např. zákon nebo Stanovy);

                         – není důležitý pro ochranu životně důležitých zájmů subjektu údajů nebo jiné osoby;

                         – není nezbytný pro splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci;

                         – není nezbytný pro účely oprávněných zájmů správce…

          SVJ bude potřebovat souhlas např. pokud bude chtít vlastníkovu fotku.

  • dále ke každému údaji uvede účel zpracování (= sledovaný záměr). Např. jméno a adresu potřebuje SVJ k rozeslání pozvánky na schůzi shromáždění nebo pro zaslání vyúčtování záloh. Všechny způsoby a formy, rozsah zpracování a doba uchovávání údajů musí být vždy přiměřené účelu zpracování. Např. tedy nemůže SVJ za účelem dostižení vlastníka pozvánkou evidovat telefonní číslo jeho manželky apod.
  • kategorie příjemců – vyjmenuje osoby, kterým se budou OÚ předávat.
  • plánované lhůty pro výmaz jednotlivých kategorií údajů. Po naplnění účelu zpracování je dána povinnost osobní údaje zlikvidovat. Delší dobu uchování mohou stanovit zákonná pravidla pro archivaci nebo zvláštní využívání údajů (státní statistická služba, nemocenské a důchodové pojištění apod.).
  • obecný popis technických a organizačních opatření, kterými je zajištěno, že se k OÚ nedostanou osoby, které nejsou oprávněnými příjemci dat.  Správce i zpracovatel osobních údajů musí osobní údaje patřičně zabezpečit a chránit – v míře odpovídající rizikovosti zpracování. Dokumenty v listinné podobě jsou v uzamykatelné skříni. Pro přístup k elektronickým datům je třeba heslo apod.
  • případně uvede informaci o předání OÚ do třetí země nebo mezinárodní organizaci.

Dozor nad dodržováním zákonem stanovených povinností při zpracování osobních údajů provádí Úřad pro ochranu osobních údajů – ÚOOÚ www.uoou.cz.

Na stránkách Úřadu lze nalézt, krom níže uvedeného, spoustu užitečných informací.

Úřad pro ochranu osobních údajů – k sankcím:
Flagrantního porušení obecným nařízením stanovených povinností při takových rizikových operacích prováděných ve velkém objemu dat, zpravidla velkými nadnárodními společnosti, se mohou týkat maximální, obecným nařízením stanovené sankce, dosahující značných částek. Strašit takovými sankcemi menší firmu nebo školu je nesmysl, stejně jako vydávání horentních částek, podstatně převyšujících výši pokut Úřadem pro ochranu osobních údajů ukládaných, za externí audity soulad s nařízením nezaručujícími. Případné sankce za porušení povinností obecného nařízení budou jako dosud přiměřené a v žádném případě nemohou být likvidační.

Co znamená GDPR pro vás jako vlastníka:

SVJ nebude požadovat váš souhlas se zpracováním vašich údajů, pokud mu zpracování těchto údajů ukládá zákon, splnění smlouvy nebo jsou nezbytné pro oprávněný zájem SVJ spravovat společné prostory.

  • Pokud se zpracování osobních údajů zakládá na vašem souhlasu, máte právo svůj souhlas pro budoucí zpracování kdykoli odvolat.
  • Máte právo od SVJ, jako správce vašich osobních údajů, požadovat přístup ke svým osobním údajům a podrobnějším informacím o jejich zpracování,
  • Máte právo požadovat opravu vašich nepřesných nebo neúplných osobních údajů.
  • Máte právo podat námitku týkající se zpracování některých nebo všech vašich osobních údajů.
  • Máte právo požádat SVJ o výmaz vašich osobních údajů, pokud již nemá žádný právní důvod pro jejich další zpracování.
  • Máte právo podat stížnost Úřadu pro ochranu osobních údajů.

Co znamená GDPR pro nás jako zpracovatele a společného správce OÚ:

Pro ta SVJ, ve kterých vystupujeme jako společný správce nebo zpracovatel, připravíme návrh smlouvy nebo dodatku ke stávající smlouvě. V návrhu uvedeme způsob, jakým budou vaše údaje zpracovány, jak budou chráněny a jak budou mazány. Na konečné verzi smlouvy nebo dodatku se poté společně dohodneme.