Článek
Regulace v nakládání s osobními údaji se v ČR dotkne i činnosti výborů společenství vlastníků bytových jednotek (SVJ) a členů představenstev bytových družstev (BD), což je více než 250 tisíc členů statutárních orgánů.
Nařízení přináší celou řadu práv fyzickým osobám a zároveň povinností těm, kteří jejich osobní údaje uchovávají. V případě SVJ a BD jsou hlavním strašákem již vytvořené seznamy kontaktů – seznam členů a nájemníků, evidence dlužníků apod.
„Nabyté seznamy mohou SVJ za konkrétních podmínek využívat i nadále, je ale třeba je řádně zabezpečit, v opačném případě hrozí vysoké pokuty,“ upozorňuje Martin Pešek z Klusák Advokátní kancelář.
Podle stávajícího zákona o ochraně osobních údajů platí, že pokud SVJ zpracovává osobní údaje členů společenství v nezbytně nutném rozsahu pro naplnění účelu správy domu a souvisejících činností, může v souladu s ustanovením § 5 odst. 2 písm. a) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, provádět zpracování osobních údajů členů bez jejich souhlasu. Tato úprava podle Peška platí i v novém GDPR.
Nabyté seznamy mohou SVJ za konkrétních podmínek využívat i nadále, je ale třeba je řádně zabezpečit
SVJ je oprávněno například v rámci vyúčtování uvádět osobní údaje získané pouze za účelem správy domu. Současně zůstává platné taktéž to, že v případě správy společných částí domu se jedná o hospodaření se společným majetkem členů SVJ a všichni členové jsou oprávněni znát údaje, které se tohoto hospodaření týkají.
Každé SVJ musí znát osobní údaje svých členů, tj. jejich jména, adresu, bankovní spojení, telefon nebo e-mail, ale i například rodinný stav apod.
„Všechny tyto údaje považujeme za osobní, a současně je tedy nutné s nimi nakládat tak, aby nebyly využívány k jinému účelu než k řádné správě domu. Nelze je například poskytnout bez uzavření smlouvy o jejich zpracování externí firmě, kupříkladu správní firmě,“ upozorňuje Pešek.
Pro využití telefonního čísla nebo e-mailu potřebuje SVJ získat výslovný konkrétní písemný souhlas toho, koho se tyto údaje týkají. Důležité je také mít všechny spravované osobní údaje řádně zabezpečené proti zneužití, tj. uložené ideálně na zaheslovaném počítači, ke kterému má přístup pouze výbor SVJ.
„Je nepřípustné, aby taková data byla uložena třeba i na počítači, ke kterému budou mít přístup třeba rodinní příslušníci předsedy výboru SVJ. Totéž platí pro jakékoliv dokumenty v papírové podobě,“ dodává Pešek.
Pokud je v bytovém domě nainstalovaný kamerový systém, měla by se podle Peška posoudit každá prováděná operace s daty, která kamerový systém sbírá. Jde i o to, kde je sbírá, jde-li o živý záznam bez ukládání, nebo naopak o záznam, který si lze prohlédnout i později.
„Je nutno zvážit úroveň zabezpečení systému a všechna další kritéria. Máte-li kamerový systém, bez zásahu odborníka to rozhodně nepůjde, nechcete-li riskovat šetření inspektorů ÚOOÚ (Úřadu pro ochranu osobních údajů) a tučnou pokutu,“ radí Pešek.
Základním pravidlem mezi SVJ (správce osobních údajů) a zpracovatelem osobních údajů (např. správní firma) by vždy měla být smlouva o jejich zpracování, která by měla obsahovat, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá, navíc musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany dat.
Aplikace GDPR vyžaduje schopnost určitého stupně nejen právní, ale i technické analýzy. „Ačkoliv není nutné okamžitě jmenovat DPO (pověřence pro ochranu osobních údajů), je vhodné, ne-li rovnou nutné, přizvat k řešení implementátora, který má patřičné evropské certifikace a aplikaci v SVJ bezchybně nastavit,“ říká Pešek.
Plošné kontroly zatím zřejmě nehrozí
Více informací k GDPR mohou zástupci SVJ a BD nalézt na internetových stránkách ÚOOÚ či Svazu českých a moravských bytových družstev.
Odborníci nepředpokládají, že by se inspektoři ÚOOÚ v dohledné době zaměřili na plošné kontroly dodržování GDPR v SVJ a BD. „Budou mít co dělat, aby odbavili kontroly tzv. na ‚ohlášku‘. V každém domě je někdo, kdo s názory výborů a představenstev z principu nesouhlasí. S GDPR takový rebel získal poměrně účinný nástroj pro svůj vliv a úřední obstrukce,“ obává se Pešek.
Pokuty mohou podle evropského nařízení v extrému dosáhnout až 20 miliónů eur. GDPR ale v tomto ohledu směřuje hlavně na nadnárodní korporace, které shromažďují informace o tisících až miliónech lidí.
„Inspektoři ÚOOÚ budou hodnotit intenzitu zásahu do práva na ochranu osobních údajů a přitom vždy posuzovat povahu, závažnost a délku trvání porušení,“ dodává Pešek.