Povinnosti Společenství Vlastníků (SVJ) dle nařízení GDPR

11.07.2020

Ani Společenství vlastníků se nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (neboli GDPR - General Data Protection Regulation) nevyhýbá. Přesto, že může být rozsah povinností, stanovených obecným nařízením, které by statutární orgány společenství měly zohlednit, rozdílný, přinášíme dle naší praxe alespoň obecné shrnutí jednotlivých bodů, s kterými Vám, v případě potřeby, můžeme pomoci.

GDPR je nařízením Evropského parlamentu a Rady EU, které nabylo účinnosti dne 25. 5. 2018 a současně s následným adaptačním zákonem o zpracování osobních údajů 110/2019 Sb., tvoří právní rámec pro zpracování a nakládání s osobními údaji subjektů. Tyto výše zmíněné právní předpisy tak nahradily předešlou právní úpravu zpracování osobních údajů v České republice, a to nyní již zrušený zákon č. 101/2000 Sb., o ochraně osobních údajů.

Následující přehled zahrnuje povinnosti pro SVJ, resp. pro statutární orgány společenství vlastníků, v souladu s nařízením GDPR. Některé z těchto povinností nejsou zcela jistě nové, některé byly v rámci nařízení doplněny, či zpřesněny. Za nedodržování těchto povinností hrozí firmám, živnostníkům a dalším subjektům (jako je např. SVJ) v rolích správců a zpracovatelů osobních údajů pokuty, jejichž výše se bude odvíjet od samotného posouzení rozsahu pochybení.

1/ Provedení vnitřního auditu zpracování osobních údajů SVJ

Je to právě úvodní analýza zpracovávaných údajů, která nastíní další nutné kroky, vedoucí k zavedení případných opatření, pro soulad s nařízením GDPR.

V rámci auditu by mělo v ideálním případě proběhnout zhodnocení zpracovávaných údajů s ohledem na zákonné důvody, potřebu souhlasu ale také s ohledem na potřebu samotného zpracování. Pokud je například zjištěno zpracování údajů, které nejsou nezbytné pro naplnění účelu správy SVJ, pak by toto zpracování mělo být ukončeno a osobní údaje by měly být vymazány.

GDPR není směrnicí, jak chybně uvádí některé zdroje. Jedná se o nařízení a je právně závazné a platí v celém svém rozsahu. Směrnice v porovnání s nařízením pouze stanovuje cíl a je už na jednotlivých zemích, jak cíle dosáhnou.

2/ Téma zpracování osobních údajů na základě souhlasu

I tato oblast si zaslouží svou samostatnou kapitolu. Nejen, že potřebujete to správné znění dokumentu pro sběr souhlasu subjektů osobních údajů. Z různých zdrojů na internetu si stáhnete různé verze dokumentů, některé budou odpovídat Vaší situaci, některé ovšem budou zcela jistě nevhodné. Pokud máte udělené souhlasy z minulosti, pak je dobré je zkontrolovat s ohledem na náležitosti dle nařízení GDPR.

Je třeba si nejprve ujasnit, v jakých případech souhlas budete vlastně potřebovat. Souhlas není určitě univerzálním řešením. Neexistuje nic jako generální souhlas, vždy je třeba rozlišovat využití, účel, zákonné důvody apod.

3/ Odpovědnost za Zpracovatele osobních údajů

GDPR nařízení jasně definuje odpovědnost Správce osobních údajů (v tomto případě SVJ, tedy Statutární orgán) za výběr Zpracovatelů osobních údajů. Zpracovatel (typicky osoba pověřená správou domu, tedy správce dle Nařízení vlády číslo 371/2004 Sb., kterým se vydávají vzorové stanovy společenství vlastníků jednotek apod.) by měl poskytnout SVJ (Správci dle GDPR) dostatečné záruky zavedených technických a organizačních opatření, splňujících požadavky dle nařízení GDPR tak, aby byla zajištěna ochrana práv subjektů zpracovávaných osobních údajů.

Zde je tedy hlavním krokem kontrola uzavřených smluv, a to jak s osobami, či subjekty vykonávající činnosti související se zpracováním osobních údajů SVJ, ovšem i dalších osob (viz. např. bod 6 o Kamerových systémech). Je tedy Vaší povinností se například ujistit o tom, že je zpracování osobních údajů prováděné správcovskou společností v souladu s GDPR. Toto by měla v odpovídající podobě reflektovat i Vaše smlouva s touto společností.

4/ Proškolení zaměstnanců / členů výboru

Statutární orgán společenství je odpovědný taktéž za proškolení jednotlivých "zaměstnanců" a dalších osob zpracovávajících osobní údaje (typicky předseda, zástupce a členové výboru, účetní apod.). Ideální je provést skupinové školení (ať už s osobní účastí, či jinou elektronickou formou) a zavést interní směrnici, která bude zahrnovat nastavená pravidla pro zpracování osobních údajů vlastníku a případně dalších osob.

5/ Zabezpečení osobních údajů

Výbor SVJ, resp. statutární orgán společenství by měl zvážit dosavadní zabezpečení osobních údajů a zda je toto v souladu s nařízením GDPR. Posouzení se netýká pouze digitální podoby údajů ale také jejich papírové podoby. Pod tento bod spadá také analýza způsobů přístupů k údajům - tedy kdo k údajům přistupuje, jakým způsobem (pomocí nezabezpečeného telefonu, laptopu bez hesla apod.), kdo má přístup k místnosti, kde jsou uloženy složky s údaji ve fyzické formě (např. uklízečka, rodinní příslušníci) atd. Na základě analýzy je pak možné rozhodnout, zda a jaké je potřeba zavést zabezpečení IT zařízení - antivirový systém, šifrování dat/souborů, využívání hesel, jak zabezpečit přístup k fyzickým kopiím dat apod.

5/ Práva subjektů osobních údajů (celkový přehled např. zde u ÚOOÚ)

I zde platí, že GDPR nepřináší pouze novinky. V některých případech doplňuje a upravuje stávající podmínky, ustanovuje ovšem i některé nové body, kterými se SVJ musí také zabývat a zavést je do praxe.

Jedná se mimo jiných o právo na přístup k osobním údajům, právo na opravu, resp. doplnění, právo na výmaz, právo na omezení zpracování, právo na přenositelnost údajů, právo vznést námitku a další. Některá práva jsou tzv. pasivní (aktivitu tak musí vyvinout Správce - SVJ) a některá naopak aktivní (je třeba reagovat na případnou aktivitu/žádost subjektu osobních údajů).

6/ Kamerové zabezpečovací systémy a video nahrávky

Spousta společenství chrání své společné prostory kamerovým a zabezpečovacím systémem a zpracovává tak jak osobní údaje osob, které se na nahrávkách objeví, tak i případné osobní údaje vlastníků. Podobná je pak situace i u systémů pro ovládání vjezdových vrat do garáží apod. Ve všech těchto případech je nutné vědět, jak se má s osobními údaji nakládat, jak by měly být zabezpečené, jak je možné si opatřit souhlas k jejich zpracování a kdy ho vlastně potřebujete a kdy ne.

Důležitá je v těchto případech komunikace, a to především s ohledem na subjekty zpracovávaných osobních údajů, tedy např. video nahrávek ve Vašem kamerovém systému. Dle nařízení GDPR by měly být k tomuto typu zpracování veřejně dostupné informace o samotném účelu zpracování, době zpracování nahrávky, kontaktů na správce systému apod.

Pro všechny body jsme Vám připravení na základě našich zkušeností dodat zaručená řešení, která Vám pomohou předejít případným stížnostem subjektů osobních údajů, vyhnout se případným pokutám, vyplývajících z nedodržení nařízení GDPR. Zajistíme Vám klid v podobě připravených řešení jednotlivých situací, které mohou nastat, vypracujeme Vám veškerou povinnou dokumentaci, provedeme proškolení členů výboru, posouzení zabezpečení osobních údajů a připravíme Vás také na případnou kontrolu Úřadem pro Ochranu Osobních Údajů.


Rádi Vám s přípravou k souladu s nařízením GDPR pomůžeme, kontaktujte nás!

*Údaje z formuláře použijeme pouze ke komunikaci ohledně Vaší poptávky nebo ke zodpovězení dotazu.