AdminReal.cz

Rychlá volba
+420 604 374 456

AdminReal.cz
Přihlášení
Menu
Hlášení poruch
AdminReal.cz

Ochrana osobních údajů a SVJ podle GDPR (praktické návody)

Co po Vás vlastně požaduje GDPR?

  • abyste pracovali jen s nejmenším potřebným množství osobních údajů,
  • abyste chránili osobní údaje před zneužitím, zveřejněním a ztrátou,
  • abyste měli souhlas s používáním a zpracováním osobních údajů, pokud souhlas potřebujete,
  • abyste měli pořádek v tom, kdo, kdy, jak, proč a jak dlouho s osobními daty pracuje.

Vysvětlení základních pojmů:

SUBJEKT ÚDAJŮ – určitá nebo určitelná fyzická  osoba.  Ve  vztahu  k SVJ  jsou  subjekty údajů všechny fyzické osoby, o nichž jsou zpracovávány osobní údaje – tj. vlastníci jednotek, funkcionáři a zaměstnanci SVJ, případně i další fyzické osoby (např. osoby žijící v bytě nebo smluvní partneři SVJ – fyzické osoby).

OSOBNÍ ÚDAJ – jakákoli  informace  o  subjektu  údajů  –  například  jméno,  adresa, datum narození, e-mail, telefon, údaje o platbách, spotřebě služeb, osobní stav, občanství, fotografie, IP adresa, informace o zdravotním stavu, trestních deliktech a další. SVJ nejčastěji zpracovávají osobní údaje, které jsou identifikačními údaji uživatelů bytů a údaje, které souvisí se správou domu a pozemku a vším, co k tomu patří. Jedná se zejména o údaje o užívání bytů (číslo bytu, osoby v domácnosti, údaje potřebné pro rozúčtování služeb, náměry a odečty spotřeby apod.). Dalšími zpracovávanými údaji jsou údaje potřebné pro fungování SVJ (údaje o vlastnících jakožto členech SVJ, údaje o funkcionářích nebo zaměstnancích).

ZPRACOVÁNÍ – je  v podstatě  jakákoli  operace,  kterou  s osobním  údajem  provádíte v elektronické nebo listinné podobě: např. získání, zaznamenání, uspořádání, strukturování, uložení, pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění, omezení, výmaz, zničení.

SPRÁVCE – fyzická nebo právnická osoba, která sama určuje účely a prostředky zpracování osobních údajů. SVJ je správcem osobních údajů ve vztahu ke  svým členům (vlastníkům jednotek), funkcionářům, zaměstnancům, případně dalším osobám.  Správce  je  odpovědný za jakékoliv zpracování osobních  údajů a je povinen zavést vhodná, účinná a přiměřená opatření k jejich ochraně. Správce musí  být schopen doložit, že činnosti zpracování jsou v souladu    s GDPR.

ZPRACOVATEL – fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce. Pro SVJ bude nejdůležitějším zpracovatelem osoba, která pro SVJ vykonává smluvní správu domu a pozemku (např. bytové družstvo), neboť správa domu zahrnuje největší objem údajů. Zpracovateli údajů pro SVJ budou však také např. rozúčtovatelé tepla, advokáti, účetní, dodavatelé software a další (budou-li ve smluvním vztahu s SVJ).

Zásady zpracování osobních údajů podle GDPR:

ZÁKONNOST – zpracovávám jen údaje potřebné pro plnění zákonné povinnosti (kterou je v případě SVJ správa domu), pro plnění smlouvy se subjektem údajů (například pracovní smlouvy), mám oprávněný zájem (například k evidenci data narození pro přesnou identifikaci vlastníka), nebo mám ke zpracování souhlas (k výjimečnému zpracování údajů).

KOREKTNOST A TRANSPARENTNOST – zpracovávám údaje právě tak, jak deklaruji a o zpracování subjekty údajů srozumitelně informuji. Například osobní údaje, které mi vlastníci předají v souvislosti se správou domu,    nemohu     bez     jejich     výslovného     souhlasu     použít k marketingovým účelům.

ÚČELOVÉ OMEZENÍ – zpracovávám údaje jen pro jasně definované účely a ne pro účely jiné. Vždy musím být schopen odpovědět, proč ten který údaj zpracovávám (k čemu jej potřebuji).

MINIMALIZACE – zpracovávám údaje jen v nezbytně nutném  rozsahu  a  bráním tomu, aby byly údaje zpracovávány nadbytečně.

PŘESNOST – zpracovávám  přesné  a  aktuální  údaje,  nesprávné  údaje  opravím nebo smažu.

OMEZENÍ DOBY – zpracovávám údaje jen po nezbytně nutnou dobu, kterou předem vymezím. Pokud pomine účel zpracování a žádný další účel zpracování nemám, údaje zlikviduji nebo je nadále uložím jen takovým způsobem, který neumožní identifikaci subjektu údajů.

INTEGRITA A DŮVĚRNOST – chráním data před protiprávním zneužitím, ztrátou, zničením nebo poškozením.

Zásady zpracování osobních údajů podle GDPR:

Založte si SLOŽKU, do které zaznamenáte vše, co pro ochranu osobních údajů činíte. Těmito záznamy mohou být zápisy z jednání  výboru,  rozhodnutí  o  rozdělení  úkolů  spojených s GDPR mezi členy výboru, projednání na shromáždění (pokud tyto otázky na shromáždění řešíte – neboť právní předpis Vám takovou povinnost neukládá), podepsání povinnosti mlčenlivosti za strany orgánů (případně zaměstnanců), záznam o provedení analýzy dat v SVJ,  záznam  o  vyhodnocení  stavu  ochrany  dat  v SVJ, záznam o likvidaci dat nebo o jejich předání zpracovateli (profesionálnímu správci), záznam o zavedení zvláštních opatření k ochraně dat, smlouvy o zpracování údajů. Později do této složky budete přidávat dokumenty o vyřizování žádostí nebo námitky subjektů údajů a dokumenty o hlášení narušení bezbečnosti (pokud k nim dojde).

Vztah se správcem domu (jakožto nejdůležitějším zpracovatelem): S profesionálním správcem domu máte uzavřenu smlouvu o zajištění správy. Obvykle taková smlouva obsahuje i ujednání o povinnostech při zpracování osobních údajů. GDPR vyžaduje určitá konkrétní ujednání. Pokud se nemění rozsah  činnosti  ani  cena  služeb,  nemusí  být  taková  úprava  vztahu  mezi  BD  a  SVJ schvalována shromážděním vlastníků.  Může  být  uzavřena  samostatná  smlouva o zpracování osobních údajů. Profesionální správce Vám především musí garantovat určité (konkrétní) záruky ochrany osobních údajů. Podpis smlouvy o zpracování osobních údajů je potřebný i z toho důvodu, že bez písemného souhlasu ze strany SVJ nemůže správce osobní údaje potřebné pro plnění smlouvy s SVJ předávat dalším zpracovatelům (např.  advokátní kanceláří, rozúčtovateli  služeb, externí  účetní, dodavateli  software  apod.).  Časem  možná  zjistíte,  že úkoly, které na SVJ klade GDPR přesahují Vaše možnosti a dohodnete se správcem na rozšíření úkolů správy domu. Bude-li se měnit rozsah   činností  správce nebo výše odměny, je taková dohoda považována za dodatek příkazní smlouvy o zajištění správy domu a vyžaduje souhlas shromáždění SVJ.

Vztah s ostatními zpracovateli: Sepište si seznam dalších zpracovatelů, kteří pro vás zpracovávají osobní data – může jít o rozúčtovatele tepla, advokáta, který vám poskytuje právní zastoupení a další osoby, s nimiž má smlouvu přímo Vaše SVJ. Zpracovatelé Vám musí písemně garantovat určitou úroveň (záruky) pro ochranu údajů. Pokud Vaše staré smlouvy se zpracovateli takové konkrétní záruky neobsahují, je třeba s nimi uzavřít nové smlouvy o zpracování osobních údajů, případně dodatky ke stávajícím smlouvám.

Některé doklady je však nutné archivovat, jiné se po vyčerpání původního účelu uchovávají pro  účely navazující. Např. podle zákona o účetnictví se účetní závěrky a výroční zprávy archivují 10 let a ostatní účetní dokumenty (účetní doklady, knihy, přehledy, záznamy apod.) 5 let počínajících koncem účetního období, kterého se týkají. Dokumenty týkající se jednotlivých vlastníků a předpisů plateb se i po odstěhování vlastníka nebo po přijetí nového pravidla pro platby uchovávají pro případné pozdější spory s vlastníky po dobu, do kdy mohou být uplatněny u soudu (promlčeny).

Pokud evidenci dat přenesete k profesionálnímu správci, měli byste s ním dohodnout podmínky, za kterých Vám bude  poskytovat  součinnost  k plnění  Vašich  povinností  ve vztahu k subjektům údajů (poskytování informací, vyřizování žádostí o podání informací a přístup dat a vyřizování námitek proti zpracování). Taková  dohoda  může  být  součástí smlouvy o zpracování osobních údajů nebo (v případě navýšení odměny správci)  bude uzavřena formou dodatku ke smlouvě o správě domu.

Pokud potřebujete zpracovávat i údaje, pro jejichž zpracovávání nenaleznete jiný zákonný důvod (zákonná nebo smluvní povinnost a oprávněný zájem převyšující zájem subjektu údajů), potřebujete souhlas. Souhlas musí být svobodný, srozumitelný a nesmí se jím podmiňovat poskytnutí jakékoli výhody. Pokud takový souhlas nemáte, od subjektů údajů si ho vyžádejte a založte. Souhlas musíte být schopni doložit po celou dobu zpracovávání dat. Při   správě  domu  je  údajem,  který  Úřad  pro  ochranu osobních údajů považuje za zpracovatelný pouze se souhlasem dané osoby, rodné číslo subjektu údajů. Souhlas lze udělit   v písemné I elektronické podobě. Ověření podpisu není vyžadováno. 

Přijměte opatření k zabezpečení listin. Pokud máte v domě kancelář nebo jinou místnost určenou pro uchování písemností SVJ,  ujistěte  se,  že  se do  ní  nedostanou  nepovolané osoby, tj. klíče mají pouze členové výboru, dveře nejsou poškozené, do kanceláře není přístup oknem, skříně jsou uzamykatelné. Pokud jsou listiny v bytě předsedy nebo člena výboru, je nutné, aby je zabezpečil před osobami, které se v bytě zdržují (uzamykatelná skříňka). Přijatá opatření zaznamenejte.

Informujte vlastníky o zpracování osobních  údajů  i  o  přijatých  opatřeních.  Opatření  je možné popsat ve směrnici, která podléhá schválení shromáždění vlastníků.

Subjekty údajů mohou vůči SVJ jakožto správci vykonávat celou řadu práv – podávat žádosti o  sdělení informací o zpracování údajů, žádat o přístup k údajům, jejich opravu, výmaz, mohou uplatnit právo na výmaz nebo právo být zapomenut, mohou podávat námitky proti zpracování apod. Žádosti subjektů dat a způsob jejich vyřízení evidujte. Na každou žádost je třeba odpovědět nejpozději do 1 měsíce nebo je v této lhůtě nutné alespoň subjekt údajů informovat o tom, že bude žádost vyřízena ve lhůtě delší (maximálně dalších 2 měsíců) – pouze   však   v případě   potřeby   nebo   s ohledem   na složitost a počet žádostí. Ne každé žádosti musí být vyhověno. Nebudou například vymazány údaje bývalého vlastníka, pokud ještě neuplyne promlčecí lhůta k úplatnění práv nebo k obraně SVJ v případném soudním sporu.

Na co si dát pozor:

Nástěnka – Na nástěnku nevyvěšujte žádné informace s osobními údaji, zejména ne údaje o dlužnících, nedoplatcích, kontaktní údaje na vlastníky apod. Vlastníci mají právo na informace, nástěnka je ale přístupná i dalším osobám (poštovní doručovatel, návštěvy, podnájemníci, pracovníci údržby apod.).

Internetové stránky SVJ – Pokud je přístup zajištěný vstupním jménem/heslem a stránky jsou zabezpečeny přístupovým certifikátem, lze na tyto stránky umístit i osobní údaje, na které mají vlastníci nárok (zápisy ze schůzí, doklady hospodaření apod.).

Hromadné emaily – Používejte  funkci  „skrytá  kopie“,  aby  adresáti  neviděli  e-mailové adresy ostatních adresátů. Pokud hromadné zprávy s viditelnými adresami využíváte, požádejte členy SVJ o souhlas s použitím e- mailové adresy do hromadných zpráv a souhlas si založte.

Odečty měřidel –  Osobu, která provádí odečty, poučte o povinnosti  mlčenlivosti, je vhodné použít písemné prohlášení o mlčenlivosti. Naměřené hodnoty v jednotlivých bytech nezveřejňujte.

Vyúčtování – Při předávání vyúčtování dbejte na to, aby se vlastníci nedozvěděli o výsledcích vyúčtování ostatních vlastníků. Osobu, která předání vyúčtování provádí, poučte o povinnosti mlčenlivosti, je vhodné použít písemné prohlášení o mlčenlivosti. Data na vyúčtování lze chránit také předáním vlastníkům v zalepené obálce. Vyúčtování lze také zaslat na email, který vlastník.

Informování vlastníků – Pokud  některý  z vlastníků  využije  svého  práva  na  informace  o ostatních vlastnících, dlužnících nebo nájemcích bytů, poučte ho o ochraně osobních údajů. Na chůzi vlastníků SVJ nesdělujte informace o dlužnících, pokud by se schůze účastnili I další osoby, např. nájemníci.

Žádost vlastníka o kontakt na uživatele jednotky – Vlastník může  podle  občanského  zákoníku požadovat pouze jméno a adresu jiného vlastníka nebo jiné osoby, která byt užívá. Jiné informace nesdělujte.

Sdělování  informací  po telefonu  – Vyvarujte se předávání  osobních  údajů po telefonu. Pokud si nejste jisti, že skutečně mluvíte s vlastníkem, který právo na informace   má,   požádejte   o   zaslání   dotazu   e-mailem.   Adresu odesílatele můžete porovnat s e-mailovou adresou, kterou vám vlastník sdělil.

Kontrola hospodaření   – Pokud  vlastník  využije  svého  práva  seznámit  se  s hospodařením domu, zaznamenejte takové nahlédnutí a poučte ho o ochraně osobních údajů. Ve smlouvách, účetních knihách a dokladech se osobní údaje  vyskytují  běžně.  Vyskytují se  však  i  názory,  že  lze z důvodu ochrany osobních údajů nahlédnutí omezit – např. tak, že se některé údaje pseudonymizují (nebudou přiřaditelné ke konkrétnímu bytu nebo vlastníkovi). Možnost kontroly hospodaření však vlastníkovi musí být zachována.

Informace realitní kanceláře nebo zájemce o koupi bytu – Realitní kanceláře nebo zájemci o koupi bytu se na SVJ často obrací s žádostí o vystavení potvrzení o bezdlužnosti, o stavu dlouhodobé zálohy, o provedených opravách a podobně. Pokud se realitní kancelář nebo zájemce neprokáže plnou mocí od vlastníka, žádné informace takovým osobám nepředávejte.

Kamerový systém – Záznamy z kamerového systému používejte výhradně za účelem, za jakým jste kameru instalovali, tj. k ochraně majetku, při dodržení maximální míry soukromí (kamery nesmí mířit na dveře bytů ani na veřejná prostranství). Záznamy uchovávejte jen po dobu nezbytně nutnou (v řádu maximálně dnů). Záznamy můžete předat např. Policii ČR na základě písemné odůvodněné žádosti, která bude obsahovat také příslušné číslo jednací.

Čipy dveří – Informujte se u dodavatele technologie, zda systém uchovává data a jaká (přiřazení čipu konkrétní osobě, údaje o čase použití čipu ke vstupu a podobně), kde jsou data uložena a vyžádejte si záruky o jejich ochraně.

Pověřenec – SVJ  nemusí  jmenovat  pověřence. Na počtu členů SVJ přitom nezáleží.