Manuál k aplikaci obecného nařízení o ochraně osobních údajů (GDPR) pro společenství vlastníků Garance

13.4.2018, , Zdroj: Verlag Dashöfer
Nepřístupný dokument, nutné přihlášení
Input:

Manuál k aplikaci obecného nařízení o ochraně osobních údajů (GDPR) pro společenství vlastníků

13.4.2018, , Zdroj: Verlag Dashöfer

3.8.1
Manuál k aplikaci obecného nařízení o ochraně osobních údajů (GDPR) pro společenství vlastníků

Mgr. Adriana Kvítková, Mgr. Alexandra Javoreková

Tento manuál představuje praktickou pomůcku určenou zejména pro předsedy společenství a členy výborů společenství vlastníků a jeho účelem je seznámit tyto statutární orgány (či jejich členy) s povinnostmi, které pro společenství vlastníků, a tedy i pro ně, přináší nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), (dále jen „GDPR”).

Tento manuál si neklade za cíl přinést vyčerpávající informaci týkající se implementace GDPR do vnitřních postupů fungování společenství vlastníků, ale spíše má sloužit jako základní přehled jím stanovených povinností, kterým by statutární orgány společenství vlastníků měly při zpracování osobních údajů věnovat větší pozornost.

Co je GDPR a jak se projeví ve vztahu ke společenstvím vlastníků

GDPR je nařízením Evropského parlamentu a Rady (EU), tedy přímo použitelným předpisem Evropské unie, které nabude účinnosti dne 25. 5. 2018 a které spolu se zákonem o zpracování osobních údajů (jehož návrh se v současné době nachází v legislativním procesu) bude tvořit základní právní rámec pro zpracování osobních údajů. Zmíněné právní předpisy tak nahradí dosavadní právní úpravu, kterou v České republice představoval zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů”).

S ohledem na brzké nabytí účinnosti výše popsané právní úpravy je nezbytné, aby subjekty, které zpracovávají osobní údaje, zkontrolovaly své procesy při zpracování osobních údajů a přizpůsobily je novým (nebo spíše podrobnějším) pravidlům v této oblasti.

Společenství vlastníků jakožto právnická osoba založená za účelem zajišťování správy domu a pozemku při své činnosti zpracovává osobní údaje subjektů údajů (tedy zejména svých členů, tedy vlastníků bytových a nebytových jednotek v domě, členů jejich domácností, nájemců, podnájemců, příp. dalších osob, které se v domě zdržují), a vystupuje ve vztahu k těmto subjektům údajů jako správce osobních údajů.

I přes skutečnost, že GDPR vychází především z principu kontinuity právní úpravy ochrany osobních údajů, přináší pro správce některé nové povinnosti, jiné povinnosti upřesňuje, či je doplňuje. Za nedodržení povinností správců a zpracovatelů pak hrozí dle GDPR poměrně citelné sankce. Z těchto důvodu je nezbytné, aby společenství vlastníků provedlo ještě před nabytím účinnosti GDPR a souvisejících předpisů vnitřní audit, tedy posouzení a vyhodnocení stávajících procesů zpracování osobních údajů subjektů údajů, přizpůsobilo tyto procesy nové právní úpravě a zajistilo dodržování zmíněných právních předpisů do budoucna.

Níže tedy uvádíme přehled povinností statutárních orgánů společenství vlastníků ve vztahu k GDPR a souvisejícím předpisům na poli ochrany osobních údajů.

Povinnosti společenství vlastníků před nabytím účinnosti GDPR

Statutární orgán společenství vlastníků by měl před nabytím účinnosti GDPR a souvisejících předpisů provést vnitřní audit, tedy podrobnější analýzu týkající se aktuálního stavu zpracování osobních údajů tímto společenstvím.

Ve vztahu ke zpracovávaným osobním údajům je nutné prověřit zejména:

  1. které osobní údaje subjektů údajů společenství vlastníků zpracovává,
  2. na základě kterého zákonného důvodu společenství tyto osobní údaje zpracovává (nezbytnost pro plnění právní povinnosti, oprávněný zájem, plnění smluvní povinnosti apod.),
  3. zda společenství nezpracovává některé osobní údaje nad rámec zákona (tedy ověření, zda je zpracování některých osobních údajů pro společenství vlastníků nezbytné, např. zpracování rodných čísel),
  4. zda společenství zpracovává některé z osobních údajů ze zákonného důvodu spočívajícího v udělení souhlasu subjektem údajů.

Pokud společenství vlastníků dospěje k závěru, že zpracovává víc osobních údajů subjektů údajů, než je nezbytné pro naplňování účelu správy domu a pozemku, zajistí náležitý výmaz nadbytečných osobních údajů, anebo pokud bude trvat na zpracovávání takových osobních údajů, získá souhlas subjektů údajů.

V případě, že společenství vlastníků zpracovává některé osobní údaje na základě souhlasu subjektu údajů (např. rodná čísla), společenství vlastníků je povinno prozkoumat poskytnuté souhlasy a zjistit, zda mají tyto souhlasy veškeré náležitosti vyžadované GDPR. Souhlasy subjektů údajů by měly být uděleny písemně, a to s ohledem na povinnost správce osobních údajů doložit, že subjekt údajů souhlas udělil, nejlépe tedy ve formě prohlášení, které bude odlišitelné od jiných skutečností (pokud bude souhlas součástí jiného dokumentu), srozumitelné a snadno přístupné (za použití jasných a jednoduchých jazykových prostředků). Statutární orgán společenství musí počítat i s tím, že subjekt údajů může svůj souhlas kdykoliv vzít zpět.

Po zjištění, které osobní údaje a na základě čeho společenství vlastníků jakožto správce osobních údajů, zpracovává, je nezbytné se zaměřit na jejich zabezpečení, příp. i posouzení vlivu na ochranu osobních údajů1, tedy vyhodnocení zamýšlených operací zpracování na ochranu osobních údajů.

Statutární orgán společenství by měl posoudit, zda stávající zabezpečení osobních údajů je v souladu s povinnostmi stanovenými GDPR. Statutární orgán společenství by se měl v této souvislosti zaměřit na tyto oblasti:

  1. které osoby mají přístup ke zpracovávaným osobním údajům,
  2. kde jsou osobní údaje uloženy (jak papírově, tak i elektronicky),
  3. jakým způsobem je zamezeno přístupu třetích osob k těmto osobním údajům (šifrování, zaheslování, anonymizace),
  4. zda a jak společenství vlastníků osobní údaje člena tohoto společenství zpřístupňuje ostatním členům společenství,
  5. zda a jakým způsobem společenství vlastníků poskytuje osobní údaje členů společenství, příp. dalších osob, jiným subjektům, např. správcovské společnosti, externí účetní apod.

Následně by statutární orgán společenství měl zkontrolovat smlouvy uzavřené s osobami, které pro společenství vlastníků vykonávají určitou konkrétní činnost, při které zpracovávají osobní údaje členů společenství, příp. i dalších osob, a to zejména smlouvy se správcovskými společnostmi. Tyto osoby, které zpracovávají osobní údaje z pokynu společenství vlastníků, vystupují ve vztahu k subjektům údajů jako zpracovatelé osobních údajů.

Výběru zpracovatelů osobních údajů (tedy subjektů, s nimiž společenství vlastníků spolupracuje a poskytuje jim osobní údaje svých členů, členů jejich domácností, příp. dalších osob) by měly statutární orgány společenství věnovat zvýšenou pozornost, jelikož v souladu s GDPR je správce osobních údajů povinen využívat pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky GDPR a aby byla zajištěna ochrana práv subjektů údajů.

GDPR rovněž uvádí náležitosti, které musí obsahovat smlouva mezi správcem osobních údajů a zpracovatelem, tedy hlavně následující údaje:

  1. předmět a dobu trvání zpracování,
  2. typ osobních údajů a kategorie subjektů údajů,
  3. povinnosti a práva správce a další.

Výše uvedeným skutečnostem by statutární orgány měly při kontrole smluv se zpracovateli osobních údajů, a dále pak při uzavírání nových smluv s těmito, příp. novými, zpracovateli, věnovat zvýšenou pozornost. Pokud

 
 Nahoru