606 604 080
499 817 910

GDPR ve vztahu ke společenstvím vlastníků a bytovým družstvům

7.5.2018

GDPR ve vztahu k společenstvím vlastníků a bytovým družstvům

 

 

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.4.2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR), které nabývá účinnosti dne 25.5.2018, se týká všech firem, které  spravují, shromažďují či zpracovávají osobní údaje občanů EU a týká se tedy i všech společenství vlastníků  (SV) a bytových družstev (BD).

Osobními údaji jsou jakékoliv informace o konkrétní osobě, na jejichž základě je možno danou osobu konkretizovat (například tedy jméno, příjmení a bydliště). Zpracováním osobních údajů se pak rozumí jakákoliv manipulace s těmito údaji, například jejich zaznamenání, shromažďování, vyhledávání, nahlížení do nich, jejich přenos, vymazání, umožnění nahlížení do nich atp.  Je tedy nepochybné, že každé SV i BD osobní údaje zpracovává už jen tím, že vede evidenci svých členů.

Naproti tomu je potřeba zdůraznit, že již dnes platí povinnost nakládat s osobními údaji v souladu se zákonem č. 101/2000 Sb. o ochraně osobních údajů, takže řada povinností, o nichž se dnes hovoří jako o povinnostech nových, platila i dosud. Převratnost novinky jménem GDPR je úmyslně zveličována a to zejména  firmami, které se snaží na strachu z GDPR vydělat a nabízejí  předražená obecná školení, šifrovací software či jiné produkty.

Předně je třeba zdůraznit, že pokud SV, BD nakládá s osobními údaji pouze k výkonu správy SV, BD a činí tak na základě právního předpisu (v případě SV na základě z.č. 89/2012 Sb. obč. zák. a v případě BD na základě z.č. 90/2012 Sb. o obchodních společnostech a družstvech) a vlastních stanov a ke splnění povinností, které mu tyto předpisy ukládají, pak nepotřebuje pro zpracování  těchto údajů souhlas jednotlivých vlastníků.

Jak  by mělo každé společenství vlastníků a bytové družstvo postupovat při uvedení vlastní činnosti do souladu s GDPR – pokusím se shrnout a zpřehlednit v následujících bodech:

 

1) revize databází 

2) revize  stávajících smluv s externími dodavateli

3) přijetí technických a organizačních opatření k uložení osobních údajů a přístupu k nim

4) přijetí technických a organizačních opatření v souvislosti s provozováním případného kamerového systému v domě

5) podání informací o zpracování osobních údajů

6) zpracování a vedení  záznamů o činnostech zpracování

 

ad 1)  

V prvé řadě  bych doporučila provedení revize databází a vymazání nepotřebných údajů tak, aby evidovány byly skutečně jen ty osobní údaje, které evidovány být musí. Odpovězte si na otázku, jaká dat zpracováváte, proč a po jak dlouhou dobu.   O které údaje půjde, to už bude záležet na konkrétních podmínkách každého jednotlivého SV.  V návaznosti na příslušné zákony a stanovy daného subjektu se bude jednat o jména, příjmení, adresy, data narození členů (potřebná pro případnou žalobu); zpravidla telefonní čísla (k řešení případné havárie) a elektronické adresy (například tam, kde jsou tyto využívány k doručování podle stanov), otázkou budou například rodná čísla (podle mého názoru nezbytná pro zajištění kontroly insolvenčního rejstříku), dále  by se mohlo jednat o jména a příjmení nájemců, podnájemců, užívajících byt, bankovní účty (pro účely vrácení přeplatků z vyúčtování) apod.  Pokud jde o dobu, po kterou je třeba údaje uchovávat, pak i pro SV, BD platí obecné archivační a skartační lhůty (dle zákona o účetnictví, dle zákona o správě daní a poplatků, pracovněprávních předpisů, důchodového pojištění apod.). V optimálním případě máte ve stanovách vyjmenované údaje, které shromažďujete a upravený způsob, jak s nimi nakládáte a kdo k nim má přístup.  V návaznosti na to  bych pak doporučovala zpracovat a přijmout ve formě  jiného vnitřních předpisu   směrnici, v níž bude přesně uvedeno, co, z jakého důvodu a po jak dlouhou dobu evidujete, jakož i kdo  má k jednotlivým údajům přístup, jak bude zajištěna aktualizace údajů, jak bude řešeno právo  na výmaz údajů, k jejichž vedení už není důvod, úprava postupu při vznesení námitky proti zpracování osobních údajů atp..  Zpracování takové směrnice (a její dodržování) vřele doporučuji i z toho důvodu, že případné kontrole budete mít co předložit. Pokud bude takto zpracovaná směrnice obsahovat údaje dle článku 30 nařízení, pak jejím zpracováním splní SV,BD zároveň i povinnost  uvedenou ad 6).

 

 

ad 2)

Většina SV, BD využívá ke zpracování osobních údajů jiného (externího) zpracovatele (účetní, profesionálního správce domu, správce webových stránek apod.). Pozor – je povinností SV,BD využít výhradně takového zpracovatele, který poskytne dostatečnou záruku zavedení vhodných technických a organizačních opatření, tak, aby zpracování osobních údajů bylo v souladu s nařízením GDPR. Smluvní zpracovatel osobních údajů se musí smluvně zavázat k plnění povinností, které vyplývají z nařízení GDPR, smlouva musí obsahovat povinné náležitosti dle článku 28 nařízení.  Dá se očekávat, že profesionální účetní a správci bytových fondů sami svým klientům předloží návrhy  dodatků ke smlouvám stávajícím či návrhy nových smluv, ale nespoléhejte na to, odpovědnost za to, že smlouva  se zpracovatelem osobních údajů je ve shora uvedeném smyslu v pořádku, nese příslušné SV, BD.  

 

 

 

ad 3)

Povinnost přijmout taková  technická a organizační opatření, která zajistí zabezpečení  osobních údajů v souladu s GDPR znamená, že osobní údaje je potřeba zabezpečit tak, aby k nim nemohl mít přístup nikdo „nepovolaný“.  V optimálním případě má SV, BD k dispozici kancelář, od níž mají klíče pouze členové statutárního orgánu.  Tím je vše vyřešeno, do takové kanceláře už nemusíte pořizovat žádné speciální uzamykatelné skříně ani trezory, nic takového nařízení GDPR neukládá.  Častější jsou ale situace, kdy SV, BD nemá vlastní kancelář a  dokumentace v listinné i v elektronické podobě  je uložena v domácnosti některého člena statutárního orgánu. V takovém případě by pak měly být listiny určitě uloženy „pod zámkem“ a jsou-li v počítači, pak  počítač by měl být chráněn heslem, pinem apod. známým jen pověřeným osobám, tj. zpravidla členům statutárního orgánu.

 

 

ad 4)

Tam, kde je provozován kamerový systém bude mít SV,BD řadu povinností, z nichž ale většina nebude novinkou, i dosud v tomto směru platila velmi přísná pravidla – platí i nadále (informace o instalaci kamerového systému, souhlas dotčených osob či existence  důvodného oprávněného zájmu provozovatele systému, pravidla pro přístup k záznamům, doba uchovávání záznamů, jejich likvidace). Tak jak  jsem obecně shora ad 1) doporučila zpracování vnitřní směrnice všem SV a BD, pak tam, kde je provozován kamerový systém to platí dvojnásob. Pokud tomu tak dosud nebylo, pak pro provozování kamerového systému v domě by měla být vytvořena zvláštní směrnice, která by měla upravovat, jak je s kamerovým systémem nakládáno a tato směrnice by měla být prokazatelně dodržována. 

 

 

ad 5)

 SV/BD  by mělo v souladu s čl. 13 až 14  subjekty, jejichž osobní údaje zpracovává,  vhodným způsobem  vyrozumět o tom, že jejich údaje zpracovává, za jakým účelem, na základě jakého právního předpisu. Pokud jde o způsob doručení této informace jednotlivým subjektům (členům, nájemcům, podnájemcům bytů), vyjděte z vlastních vnitřních předpisů (stanov) a zvyklostí, není předepsaná písemná forma.  Má-li SV, BD zřízeny webové stránky, bude stačit zveřejnění na těchto stránkách, tam, kde se doručuje prostřednictvím domovní vývěsky, bude stačit vyvěšení příslušného oznámení na vývěsce.  Každý člen, nájemce, podnájemce apod. by měl vědět, jaké údaje jsou k jeho osobě zpracovávány, kdo k nim má přístup, jak dlouho budou uchovávány a kdo další má  možnost je získat.

 

 

 

ad 6)

Nařízení stanoví povinnost správců vést tzv. záznamy o činnostech zpracování (čl. 30 nařízení). Povinnost vést záznamy o činnostech zpracování se nevtahuje na všechny správce, nicméně s ohledem na skutečnost, že SV, BD nezpracovává osobní údaje pouze příležitostně, by se tato povinnost měla nejspíše vztahovat i na společenství vlastníků a bytová družstva.  Doporučuji splnění této povinnost spojit se zpracováním pravidel  (směrnice) ad 1).

 

 

V Trutnově, dne 8.5.2018 

zpracovala

JUDr. Blanka Mourová

advokátka

U Nemocnice 83, Trutnov

www.advokat-trutnov.cz

b.mourova@advokat-trutnov.cz

 

Zpět

Webové stránky vytvořil Acceler