10 věcí, na které se musí SVJ připravit kvůli GDPR

7 min. čtení · legislativa ·

Již 25. května 2018 vstoupí v účinnost GDPR, obecné nařízení o ochraně osobních údajů, které přináší sjednocení problematiky ochrany osobních údajů v rámci celé Evropské unie. Nařízení v členských státech EU nahradí dosavadní právní předpisy a bude mít dopad i na SVJ a BD. I když za porušení pravidel a povinností plynoucích z nařízení hrozí subjektům astronomické pokuty, v případě že se SVJ správně připraví na příchod Nařízení, neměly by je pokuty ohrozit.

Podle nařízení musí být osobní údaje zpracovávány zejména zákonným způsobem s legitimním účelem, v nezbytném rozsahu ve vztahu k účelu a po dobu ne delší, než je nezbytné pro účely, pro které jsou údaje zpracovávány. Společenství a jeho členové se v této terminologii mohou ztrácet, z toho důvodu jsme připravili 10 stručných bodů, díky kterým by pro ně měla být problematika GDPR srozumitelnější a jasnější

1. audit

Prvním krokem by měl být audit všech zpracovávaných osobních údajů. Je důležité zjistit, jaké kategorie osobních údajů shromažďujete, pro jaké přesně účely je zpracováváte, zda k jednotlivým kategoriím máte udělené souhlasy od subjektů či zda se jedná o zákonné zpracování a souhlas tedy není nutný.

2. příprava dokumentů

S účinností GDPR přibydou nejen subjektům, ale i samotným správcům nová práva a povinnosti. Z toho důvodu je vhodné mít připravené nejrůznější dokumenty, které tyto práva a povinnosti zrcadlí. Zpracování některých osobních údajů plyne přímo ze zákona, takže není nutné mít k tomuto zpracování souhlas subjektu. Tam, kde je ale souhlas subjektu nutný, je vhodné připravit vzorový souhlas s udělením osobních údajů. Subjekty údajů mohou například podávat žádosti o výmaz osobních údajů, je proto vhodné mít připravené obecné žádosti, na kterých bude subjektům údajů umožněno využít svá práva, ale také konkrétní odpovědi k těmto jednotlivým žádostem.

3. směrnice

GDPR požaduje, aby SVJ vypracovalo nový dokument, a to vnitřní směrnici pro nakládání s osobními údaji. Jedná se o povinný dokument, který však nemá být jen kopií Nařízení, ale mělo by se jednat o jednoduchý, návodný dokument a co nejvíce praktický dokument ve kterém každý najde odpověď na jednotlivé dotazy, ale i postupy, jak se zachovat v konkrétních případech.

4. skartace dokumentů

S uchováváním dokumentů v papírové verzi se pojí i skartační povinnost. Nově je nutné k jednotlivým dokumentům přiřazovat data, po kterém musí být dané dokumenty skartovány. Všechny tyto informace by měli vyplývat ze skartačního řádu, který je nutné zaktualizovat či opatřit nový.

5. kontrola smluv s dodavateli

Ačkoliv to nemusí být na první pohled patrné, je spousta dokumentů, u kterých si členové SVJ nemusí uvědomit, že i zde se jedná o osobní údaje. Například údaje uváděné na plných mocích, na smlouvách s různými externími správci a dodavateli. Je tedy zapotřebí uvědomit si, s jakými přesně dokumenty přijdu do styku a vytřídit z nich ty, které obsahují nějaké osobní údaje. V takovém případě bude nutné k takto zpracovávaným údajům také přiřadit účely zpracování a zjistit, zda se jedná o zákonnou povinnost. V opačném případě bude nutné zajistit souhlasy subjektů s tímto zpracováváním.

U smluv s dodavateli bude nutné zjistit, zda a popřípadě v jaké míře odpovídají jednotliví dodavatelé za dané osobní údaje, a případně doplnit tyto smlouvy o dodatek tak, aby byly v souladu s GDPR.

6. kamerové systémy

Dnes je již běžnou praxí, že se BD a SVJ rozhodnout pro nainstalování kamerového systému do bytového domu, aby tak chránili zájmy nejen své, ale i jednotlivých vlastníků a dalších členů bytových domů. Již dnes a nebude tomu po účinnosti Nařízení jinak, musí správce mít pro provozování kamerového systému právní důvod. Tím může být právě ochrana práv a právem chráněných zájmů správce. Při splnění této podmínky není nutné dále získat souhlas subjektů s tímto zpracování. Co, ale provozovatel musí splnit, je informační povinnost, ve formě cedulky v těch místech, kde dochází k monitorování. Po účinnosti Nařízení pak k této povinnosti přibude ještě nutnost doplnění informační cedulky o základní údaje o provozovateli systému s uvedením kontaktu, odkazu nebo adresy, kde se subjekt údajů dozví další požadované informace.

7. pověřenec pro ochranu osobních údajů

Nařízení nově přichází s povinností, pro určité subjekty, jmenovat pověřence pro ochranu osobních údajů. Společenství vlastníků jednotek ani bytová družstva nespadají do výčtu těch, pro které by byl pověřenec povinný. Těm větším SVJ bychom však mohli zřízení pověřence jen doporučit. Taková osoba by pak u daného SVJ nepůsobila jen jako pověřenec pro ochranu osobních údajů, ale i jako poradce při nejrůznějších potížích, se kterými by si SVJ nedokázali poradit sami.

  1. kontroly ze strany dozorového úřadu

Správce by měl osobní údaje, se kterými pracuje uschovávat, tak aby nemohlo dojít k jejich ohrožení či úniku dat. Takové ohrožení osobních údajů musí nejpozději do 72 hodin ohlašovat dozorovému úřadu. Pravdou ale je, že jednotlivých dozorců je velmi málo, a tak nezvládnou pokrýt celou Českou republiku a pravidelně kontrolovat veškeré subjekty, které zpracovávají osobní údaje. Dozorový úřad tak může do jednotlivých SVJ přicházet hlavně na udání. Velká část SVJ se již bohužel s různými udáními setkala. Proto pamatujte, že nikdy nevíte, který nespokojený člen si bude chtít zchladit žáhu na výboru a mějte neustále všechny dokumenty, záznamy o činnostech, souhlasy se zpracováním či smlouvy s dodavateli v pořádku.

9. rozdělení osobních údajů

Jakmile budete mít stanovené jaké kategorie osobních údajů shromažďujete, bude nutné k nim přiřadit účely jejich zpracování. Nejdůležitější pro určení účelu je stanovit si, s jakými osobními údaji přijdou SVJ a BD do styku. Osobními údaji pro jejich potřeby jsou například jméno a adresa. Povinnost zpracovávat tyto údaje vyplývá z občanského zákoníku, který říká, že ten, kdo nabude jednotku do vlastnictví je povinen tuto skutečnost společně se svou adresou oznámit společenství. Ke zpracování těchto údajů správce nepotřebuje od subjektů údajů souhlas, protože se jedná o zpracování dané přímo zákonem.  Společenství vlastníků jednotek pak na základě zákona a stanov spravuje osobní údaje vlastníků jednotek v seznamu členů společenství. Do seznamu se často vkládá mimo jméno a adresu, také email či telefonní číslo. Email a telefonní číslo nově také zařazujeme pod osobní údaje pod ochranou nařízení. Povinnost zpracovávat tyto údaje není dána žádným zákonem, a proto potřebuje správce k tomuto ukládání nejen souhlas daného subjektu, ale i jasně stanovený účel. Pokud však tato povinnost plyne přímo ze stanov, nutnost souhlasu zde není dána. Tyto seznamy vede osoba odpovědná za správu domu, a to jak v listinné podobě, tak na fyzickém nosiči dat či na počítači.

10. sankce

Jak již bylo řečeno výše, Nařízení nově zavádí astronomické pokuty za nedodržování ustanovení Nařízení. Podle článku 83 odst. 2 se za porušení, které se týkají povahy, závažnosti a délky trvání porušení, dále se zohledňuje i to, zda došlo k úmyslnému či nedbalostnímu porušení či zda správce podnikl nějaké kroky ke zmírnění škod. Za takovéto porušení lze uložit pokuty až do výše 20 000 000 EUR.

I kvůli hrozbě sankcí je dobré si zaznamenávat všechny záznamy o činnostech zpracování, o případných hrozbách porušení či ohrožení osobních údajů, které budu následně schopen předložit dozorovému úřadu, čímž se vyhnu případným nepříjemnostem či pokutám.

Kalkulačka pro GDPR

Protože je problematika GDPR poměrně složitá, připravili jsme pro SVJ Kalkulačku GDPR, kde se mohou po zodpovězení několika otázek dozvědět, zda a jakým způsobem se na něj GDPR vztahuje. Kalkulačka je pro SVJ a BD zdarma a je dostupná na www.svjpravnik.cz/gdpr  SVJ zde pouze vyplní zhruba sedm jednoduchých otázek, my projdeme odpovědi a zašleme SVJ podrobný návod co a jak má pro GDPR udělat.

klíčová slova:

Další podobné články

Pojištění domácnosti a naše dvě zásadní a časté chyby

Nikdo si to nepřeje, ale nečekaná pohroma si nevybírá. Díky uzavřenému pojištění domácnosti ale očekáváme, že alespoň v penězích se nám způsobená škoda vrátí zpět. Ve výši vyplacené částky ale můžete být výrazně zklamáni. Hovoříme o desetitisících, nezřídka až statisících…

Obávané GDPR. Co představuje pro bytová družstva a společenství…

Nové evropské nařízení na ochranu osobních údajů General Data Protection Regulation neboli GDPR nabyde účinnosti už 25. května 2018. Nová pravidla zaručují všem občanům Evropské unie stejnou a vysokou ochranu osobních údajů. Přicházející změny pocítí každý, kdo s údaji pracuje…




Zadejte hledané slovo a stiskněte Enter