Hlavní obsah

GDPR zasáhne i společenství vlastníků

Právo, Jindřich Ginter, Tomáš Reiner

Nařízení o ochraně osobních dat GDPR dělá těžkou hlavu úřadům i firmám. Nejenže musí zrevidovat veškeré dokumenty a smlouvy, ale také musí prověřit a často složitěji zorganizovat své IT systémy. Uzpůsobit se musejí i společenství vlastníků, bytová družstva či poskytovatelé wi-fi sítí.

Foto: Profimedia.cz

Ilustrační foto.

Článek

Na veřejnosti dokonce koluje informace, že GDPR postaví mimo zákon například v kavárnách volně dostupné sítě wi-fi. Tak horké to ale není.

„Rozhodně není pravdou, že samotná existence volně dostupné wi-fi bude protizákonná. Pokud budou provozovatelé veřejně dostupné wi-fi, například provozovatelé kaváren, knihoven či hotelů, při jejím poskytování získávat, shromažďovat a jinak zpracovávat osobní údaje uživatelů sítě, pak se na ně samozřejmě budou vztahovat práva, a především povinnosti jako na jiné správce osobních údajů,“ vysvětlila Právu advokátka Libuše Kellnerová Jandová z AK Urbášek & Partners.

Budou-li tedy provozovatelé wi-fi sbírat data o chování uživatelů na internetu, je nezbytné, aby pro to měli výslovný a informovaný souhlas uživatele nebo jiný zákonný důvod pro zpracování. „V případě, že by provozovatelé osobní údaje uživatelů wi-fi neshromažďovali a dále nezpracovávali, pak není získání souhlasu uživatelů nutné,“ uklidňuje advokátka.

Předsedové SVJ, vymažte stará data

GDPR se týká i společenství vlastníků a bytových družstev. Jejich předsedové či členové výboru nebo představenstva, nikoliv správcovské firmy či externí dodavatelé služeb, jsou totiž jako statutární orgán odpovědní za správu a ochranu osobních údajů obyvatel bytů.

„Doporučujeme předsedům společenství, aby v první řadě udělali revize svých databází, smazali nepotřebné údaje a zkontrolovali smlouvy s externími dodavateli,“ radí ředitelka společnosti ista Jana Machková.

Nejsložitější je to celé zmapovat, co a jak je všechno evidováno
bezpečnostní expert

GDPR začne platit ke konci května. Správcům ukládá také povinnost přijmout vhodná technická a organizační opatření, která zajistí odpovídající zabezpečení osobních údajů a jejich zpracování jako například šifrování či pravidelné změny administrátorského hesla.

Důsledná ochrana může být náročná

Firmy a instituce budou v prvé řadě muset rozlišovat, které údaje nezbytně potřebují podle právního základu vymezujícího jejich působení. Například kvůli kupní smlouvě, kde je potřebné jméno, příjmení, adresa, telefonní číslo či e-mail. U takových osobních údajů není třeba získávat souhlas dotyčného, jestliže zůstává jen u potřeb smlouvy a údaje nejsou dále použity třeba pro marketingové účely. Ve všech ostatních případech je souhlas nutný.

Složitější ale bude, jak lépe zabezpečit registry a systémy s údaji lidí. Ve zkratce jde o to, nakládat s daty s péčí „řádného hospodáře“, tak aby nebyla jednoduše dostupná a nemohli k nim lidé bez oprávnění. „Myslím si, že obecně jde z dvaceti procent o právničinu, čili revize smluv atd., a z osmdesáti procent o systémy, jejich úpravy a zabezpečení,“ řekl Právu člověk z oboru informačních technologií a vývoje, který si nepřál být jmenován.

„Nejsložitější je to celé zmapovat, co a jak je všechno evidováno,“ dodal s tím, že komplikovanější to s ochranou samozřejmě budou mít větší firmy. Zaměstnavatelé pracují s množstvím osobních dat svých zaměstnanců, vždyť podnikové účetní vyřizují kupříkladu slevy na dani, v kancelářích a síti firemních počítačů jsou potřebné seznamy lidí s kontakty na ně, citlivé osobní údaje se mohou vyskytovat v e-mailech. Nejde přitom jen o počítače, ale také o přenosné notebooky a mobily.

Informace jen pro pověřené

Základem je, aby každé zařízení obsahující citlivá data bylo pro přístup chráněno heslem/pinem známým jen pověřeným osobám. Data by pak měla být v zařízení šifrována, aby byl znemožněn přístup neautorizované osoby.

Eliminuje to hrozbu v situacích, kdy je mobil připojen k počítači třeba jen za účelem dobití, anebo kdy je v zařízení SD karta nebo disk, které pak po připojení k jinému zařízení umožní k datům přístup, ačkoliv uživatel u původního zařízení neznal heslo. Ideální také je, aby IT správci měli možnost data v zařízení na dálku smazat, dojde-li k jejich ztrátě nebo odcizení.

Výběr článků

Načítám