GDPR pro společenství vlastníků a bytová družstva

autor:

I společenství vlastníků a bytových družstev se týká GDPR. Jak má vypadat GDPR SVJ a jak GDPR BD?

Blíží se účinnost nařízení Evropského parlamentu a rady EU 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), které lze najít pod anglickým názvem General Data Protection Regulation, nebo nejčastěji pod zkratkou „GDPR„, kterou budeme používat i zde. Většina z nás už o tom slyšela a také zná datum, od kterého je třeba mít vše v souladu s tímto nařízením – 25.5.2018.

Většina podnikatelů se tímto úkolem už nějakou dobu zabývá, ale co společenství vlastníků jednotek (dále jako „SVJ„) a bytová družstva (dále jako „BD„)? Platí to i pro ně?  Ano, GDPR platí i pro SVJ a BD. Týká se totiž podnikatelských i nepodnikatelských subjektů, fyzických i právnických osob – důležité je, že pracujete s osobními údaji.

Dobrá rámcová pomůcka, podle které zjistíte, jak moc vás GDPR zatíží, je GDPR kalkulačka, kterých je na internetu k dispozici více – můžete zkusit například O2 GDPR Partner, nebo GDPR kalkulačka. Doporučuji brát tyto nástroje jako první orientaci v tom, co budete potřebovat. Určitě bych nedoporučila brát výstup z kalkulačky jako jediný krok, který kvůli GDPR a společenství vlastníků jednotek uděláte. To samé platí pro GDPR a bytové družstvo.

Co po vás vlastně GDPR chce?

  • abyste pracovali jen s nejmenším potřebným množství osobních údajů,
  • abyste chránili osobní údaje před zneužitím, zveřejněním a ztrátou,
  • abyste měli souhlas s používáním a zpracováním osobních údajů, pokud souhlas potřebujete,
  • abyste měli pořádek v tom, kdo, kdy, jak, proč a jak dlouho s osobními daty pracuje.

Je to samozřejmě zjednodušeně řečeno, ale nezní to jako nic překvapivého, že? Takové zacházení s osobními údaji by se líbilo myslím všem. V této souvislosti vás pak již nepřekvapí, že většinu těch běžných povinností, které nyní vyžaduje SVJ GDPR a BD GDPR, tak vyžadoval i náš původní zákon o ochraně osobních údajů (zákon č. 101/2000 Sb.). Proto tedy ti, kteří dodržovali již současné právní předpisy, nebudou mít tolik práce. Spíše se bude jednat o kontrolu a nějaká vylepšení, případně zvýšení systematičnosti.

Už jsme vícekrát mluvili o osobních údajích – co jsou to osobní údaje?

Jedná se o jakýkoliv typ informací, které souvisí s konkrétní osobou. A buď to bude přímo označená osoba (pan Jiří Novák, RČ 123456/7890), nebo ji lze celkem jednoduše identifikovat (vlastník jednotky č. 123/4567, k.ú. Stránice).  Údaje se pak dělí na na „standardní“ a „citlivé“, které mají vyšší stupeň ochrany. Dejme si příklady osobních údajů:

  • jméno a příjmení, datum narození (věk), rodné číslo, adresa bydliště,
  • telefonní číslo (soukromé i pracovní), email, uživatelské jméno na sociální síti (Facebook, Instagram, Twitter…), IP adresa
  • pohlaví, osobní stav, zdravotní stav (psychický i fyzický), DNA/RNA, krevní skupina, RH faktor,
  • vzdělání, mzda/plat, členství v odborech, trestní delikty a pravomocná odsouzení,
  • fotografie, video, otisk prstu, snímek oka, podpis,
  • IČ, DIČ, číslo OP, číslo ŘP, číslo pasu,
  • osobní údaje spolužijících osob vč. manžela/manželky, dětí, podnájemníků,
  • národnost, náboženské a filozofické zaměření, sexuální orientace…

GDPR neustále hovoří o zpracování osobních údajů – to znamená, že s osobními údaji děláte vlastně úplně cokoliv, případně je i jen máte k dispozici. Jedná se například o shromažďování, třídění, ukládání, výmaz, aktualizace, použití, vyhledání, zpřístupnění, šíření.  V souvislosti se zpracováním osobních údajů se často používá slovo „správce“ – nejedná se o vašeho komerčního správce nemovitostí, takto GDPR v bytovém družstvu i GDPR ve společenství vlastníků označuje toho, kdo zpracovává osobní údaje.

Co můžete s osobními údaji dělat? Jak smíte osobní údaje zpracovávat (přesně v čl. 6 GDPR a v jeho odůvodnění):

  • pokud máte souhlas se zpracováním, tak s nimi můžete dělat vše, na co se souhlas vztahuje, pokud to není v rozporu se zákonem (např. když budete mít souhlas všech dotčených osob, můžete veřejně vyvěsit vyúčtování služeb na nástěnku, i když byste to jinak nemohli udělat),
  • zpracovávat je tehdy, když je potřebujete k tomu, abyste mohli splnit smlouvu (např. internetový obchod nepotřebuje souhlas se zpracováním, pokud od vás bude chtít jen údaje potřebné k doručení zboží),
  • zpracovávat je tehdy, když je to nezbytné k splnění právní povinnosti, kterou máte (např. nepotřebujete souhlas na zpracování jména, příjmení bydliště osoby bydlící v bytě, protože § 1177 NOZ přikazuje SVJ takový postup),
  • zpracovávat je tehdy, když je to nezbytné pro ochranu životně důležitých zájmů (např. pokud vím, že má někdo cukrovku a volám k němu akutně sanitku, lékařům to sdělím),
  • zpracovávat je tehdy, když je to nezbytné pro oprávněné zájmy nějaké osoby, což ale nelze nadřadit nad základní lidská práva a svobody,
  • zpracování ve veřejném zájmu, nebo při výkonu veřejné moci se SVJ a BD týkat nebude.

Potřebujeme souhlas se zpracováním osobních údajů vždy? 

Ne, rozhodně nikoliv. Nejdříve je potřeba zjistit, jestli se nejedná o nějakou kategorii, ke které souhlas není potřeba např. je to nutné k plnění smlouvy, nebo je to právní povinnost ze zákona. Teprve když to není žádná z těchto situací popsaných výše, tak žádáte o souhlas. Je totiž chybou i to, že žádáte souhlas tam, kde není ze zákona potřeba. Nezaměňujte ale potřebu souhlasu s povinností informovat – vždy musíte subjekt informovat o tom, že data zpracováváte, i když souhlas nepotřebujete. Sdělíte tedy subjektu obdobné informace, jako jsou v souhlasu, ale samotný souhlas nežádáte (označení a kontakt správce osobních údajů, účel zpracování, označení zpracovávaných údajů, doba, po kterou budou údaje zpracovávány, informace o předávání údajů do cizích zemí, pokud se to děje, jestli budou údaje zpracovávány automaticky). Toto platí pro GDPR a bytová družstva, stejně jako pro GDPR a společenství vlastníků.

Co obsahuje správný souhlas se zpracováním osobních údajů?

  • označení a kontakt správce osobních údajů (je to SVJ či BD, není to váš komerční správce nemovitosti),
  • účel zpracování (proč se zpracovávají / k čemu se budou používat),
  • označení zpracovávaných údajů (kterých údajů se souhlas týká),
  • informace o možnosti odvolat souhlas,
  • doba, po kterou budou údaje zpracovávány,
  • informace o předávání údajů do cizích zemí, pokud se to děje,
  • jestli budou údaje zpracovávány automaticky (počítačem versus lidmi).

Souhlas je potřeba mít zvlášť, aby bylo zřejmé, že se jedná o vědomý souhlas tzn.

  • pokud se podepisuje smlouva, může se udělat zvlášť kolonka/odstavec, kde se zaškrtne, zda souhlasí se zpracováním,
  • ke smlouvě/dokumentu se přiloží zvlášť list se souhlasem,
  • podepíše se zvlášť dokument (potvrdí se souhlas emailem),
  • v elektronické verzi se přidá „zatržítko“ pro označení zvlášť, nelze to zahrnout pod jedno již předzatržené tlačítko…

Jak vyřešit GDPR pro bytové družstvo a GDPR pro společenství vlastníků bytových jednotek?
Návod obsahuje několik kroků, které nejsou složité. Je pouze důležité na nic nezapomenout.

  1. Uděláte si seznam/přehled/tabulku osobních údajů. Musíte si udělat jasno v tom, jaké osobní údaje zpracováváte, z jakých důvodů, kdo k nim má přístup, jak jsou chráněna, jak dlouho je zpracováváte, kde se nachází, zda k nim máte souhlasy. Pokud máte komerčního správce nemovitosti, tak vás to nijak nezbavuje povinností – tento správce je pouze jako prodloužená ruka SVJ či BD, je třeba řešit i toto.
  2. Prověříme, ke kterým datům potřebujete souhlas a která smíte zpracovávat ze zákona.
  3. Na základě provedené analýzy se doplní souhlasy se zpracováním tam, kde jsou potřeba, a smažete data, která nemáte právo zpracovávat ze zákona a není k nim souhlas. Zároveň je vhodné si udělat skartační řád a přehled v archivovaných dokumentech. Pokud se zjistí nedostatky v zabezpečení, bude třeba je napravit (hesla, uzamykatelné prostory s dokumenty…).

Jak vidíte, nejedná se o nic složitého. Oficiálně by se to dalo nazvat jako GDPR audit. Existují společnosti, které provádějí tuto službu „na klíč“, ale SVJ a BD patrně nebudou chtít vynaložit vyšší částky na splnění těchto úkolů. Tím spíše, když se většinou GDPR u SVJ i GDPR pro bytová družstva vejdou do zákonných důvodů zpracování osobních údajů. Výjimkou by mohla být např. stavební bytová družstva, která zpracovávají velké množství osobních údajů. V každém případě ale k řešení GDPR nemáte povinnost využít ani notáře, ani právníka, ani speciálního auditora…

Časté chyby při implementaci GDPR pro SVJ a BD

  • osobní údaje, které má vaše účetní (komerční správce nemovitostí), jsou stále údaje, za které je odpovědné SVJ,
  • zapomenete na zaměstnance,
  • souhlas „pro jistotu“ budete žádat u každého údaje,
  • nezamyslíte se nad nutností evidence emailu/telefonu,
  • GDPR vůbec neřešíte.

Jak vám mohu pomoci s GDPR?
Pomohu vám najít, co jsou ve vašem případě osobní údaje a provedu vás přípravou přehledu tam, kde nebudete vědět. Je časté, že klienty vždy nenapadne, co všechno ještě spadá do osobních údajů, které je potřeba řešit (manipulace s účetnictvím, vyvěšování na nástěnku, kamerové systémy, stránky SVJ či BD, běžná komunikace mezi členy přes email, formuláře pro nahlašování údajů u nových vlastníků/nájemníků atp….), na to vás budu co nejvíce upozorňovat. Prověřím s vámi nutnost souhlasu a připravím formuláře souhlasu, kde bude třeba. Dokončíme přípravu, abyste splnili podmínky GDPR.

Co bych ráda zdůraznila – GDPR v SVJ a BD je trochu jako nový občanský zákoník (případně doplněno o zákon o obchodních korporacích pro BD). Jsou to nějaké nové úkoly, ale není třeba se jich obávat. Stačí se připravit předem a snížíte riziko nějaké sankce na naprosté minimum. GDPR samozřejmě má i složitější části, ty se ale GDPR a SVJ a BD v naprosté většině netýkají.

Řešíte problémy, o kterých zde čtete? Potřebujete s něčím poradit? Poskytuji placené právní služby, pro jejich objednání volejte +420 774 411 933, nebo pište na strakova@advokatnisluzba.cz.

Upozornění : Tento příspěvek je osobním názorem autorky na výklad právních předpisů. Nejedná se o odborný text, čemuž jsou co nejvíce přizpůsobovány formulace. Zohledněte také datum, kdy byl článek napsán, právní úprava se mohla od té doby změnit. Nejedná se o právní poradenství – vaše situace může vykazovat specifika, které obecnost tohoto článku nemůže pojmout. Pokud potřebujete právní služby a poradenství, obraťte se na advokáta popř. notáře. Nezapomeňte také, že i tento článek je chráněn autorským právem a nikde jej necitujte bez uvedení zdroje a autorky.