Co přinesl Adaptační zákon ke GDPR?

Veřejné subjekty bez postihu, SVJ pod hrozbou pokut. Pokud jste s implementací GDPR ve vašem společenství čekali na tento moment, můžete vyrazit ze startovní čáry. Ke dni 24. 4. 2019  vstoupila v účinnost nová platná pravidla pro oblast ochrany soukromí, tzv. Adaptační zákon, který pozměňuje některé zákony řídící zpracování osobních údajů.

Většina ustanovení Adaptačního zákona upřesňuje či rozvádí již zavedená ustanovení GDPR. Zákonodárce ale využili možnosti odchýlit se od úpravy GDPR a stanovuje určité výjimky. 

GDPR rozdělilo společenství na tři skupiny. Do první patří ta, která mají implementaci vyřešenou odborně už teď, jelikož bylo zřejmé, že k žádné revoluci Adaptačním zákonem nedojde. Do druhé skupiny můžeme zařadit ta, která hltala každou zmínku o změně a čekala, zda nebudou SVJ z povinností vyňata. Třetí skupina na předpisy a zákony spojené s GDPR jednoduše kašle i s rizikem, že by případná pokuta s výší zákonem nastavených limitů mohla všechny členy SV prakticky připravit o byty a členy statutárního orgánu hnát k osobní odpovědnosti. 

Zákon o zpracování osobních údajů navazuje na obecné nařízení o ochraně osobních údajů (GDPR), které platí automaticky. Na jednotlivých členských státech EU pak bylo, aby si některé oblasti upravily a zpřesnily formou vlastního zákona – Adaptačním zákonem. Adaptační legislativa nakládání s osobními údaji zpřesnila a do určité míry také zjednodušila. Zároveň popisuje některé výjimky. Nacházíme tu například, že orgánům veřejné moci a veřejným subjektům nebude při porušení některé z povinností GDPR udělena pokuta, soukromoprávním subjektům nadále ano.

Veřejné subjekty bez pokut za porušení GDPR

Adaptační legislativa nezavádí převratné změny oproti GDPR, jednu naprosto zásadní však ano. Čeští zákonodárci se rozhodli stanovit nulové sankce za porušení GDPR pro orgány veřejné moci a veřejné subjekty. Tímto diskriminačním přístupem vůči soukromoprávním subjektům, které investovaly nemalé prostředky do implementace požadavků GDPR, dali jasně najevo, že o ochranu osobních údajů tu jde ve skutečnosti až na druhém místě. Jestli vůbec na nějakém. Pokud byla vyňata skupina privilegovaných zpracovatelů ze subjektů, kteří mohou být za porušení sankcionováni, pak je zřejmé, že je tím oslabená motivace státního sektoru se o osobní data starat podle zákona. Člověku by se chtělo zvolat „dejme tomu“ nebo dokonce „díky bohu“, ale to by nesměla existovat druhá skupina – soukromý sektor. Ta má na vážnosti zpracování dat stejný podíl, který ale  je pod hrozbou pokut stále. Matematicky vzato se vlastně snížil počet subjektů, které má smysl kontrolovat, a tím pádem ÚOOÚ (Úřad pro ochranu osobních údajů) má více času na dohled nad soukromým sektorem.

Původně měly být sníženy maximální pokuty pro malé obce na 15 000 korun. Senát nicméně zdůvodňoval zrušení pokut pro obce a kraje tím, že by to bylo jen přesouvání peněz v rámci veřejných rozpočtů. Ano, to by bylo za předpokladu, že jde v GDPR jen o pokuty a peníze. Ale co natolik proklamovaná a stokrát opakovaná ochrana osobních údajů! Kam ta se tedy Senátu ztratila?
Nově přijatý zákon o zpracování osobních údajů mimo jiné ruší zákon č. 101/2000 Sb., o ochraně osobních údajů ve vybraných případech. Úprava postavení, obsazení a úkolů Úřadu pro ochranu osobních údajů je nově obsažena v hlavě páté zákona o zpracování osobních údajů. Dále byly stanoveny určité možné odchylky od obecného nařízení o ochraně osobních údajů – například z povinnosti posuzování slučitelnosti účelů a vlivu na ochranu osobních údajů, u informační a poučovací povinnosti nebo u specifické úpravy zpracování osobních údajů pro vědecké, statistické, novinářské nebo umělecké účely. Pro širokou veřejnost je zajímavé především stanovení věkové hranice 15 let pro udělení souhlasu se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti.

SANKCE ZA PŘESTUPKY

Nad rámec ustanovení GDPR zavádí zákon o zpracování osobních údajů nové skutkové podstaty přestupků, spočívající v porušení povinností stanovených samotným zákonem o zpracování osobních údajů a stanovuje za ně samostatné sankce. Pamatuje rovněž na případy, kdy by došlo k porušení zákazu zveřejnění osobních údajů, stanoveného jiným právním předpisem.

Vedle pokut však zákon o zpracování osobních údajů umožňuje uložit subjektům, u nichž bylo zjištěno porušení právních předpisů na úseku ochrany osobních údajů, rovněž opatření k odstranění nedostatků. Samozřejmě, vyjma výše zmíněné skupiny orgánů veřejné moci a veřejných subjektů. 

Povinnost mlčenlivosti pro partnery správce již není automatická

Další důležitou změnou, která sice ze samotného textu adaptačního zákona výslovně nevyplývá, přesto je však zcela zásadní, je vypuštění zákonné povinnosti mlčenlivosti všech zaměstnanců či smluvních partnerů správce, která byla v předchozím (dnes již zrušeném) zákoně o ochraně osobních údajů zakotvena. Podle předchozí právní úpravy platilo, že kdokoliv, kdo přišel při své činnosti do styku s osobními údaji nebo s bezpečnostními opatřeními správců či zpracovatelů, byl ze zákona povinen o těchto skutečnostech zachovávat mlčenlivost. Dnes je nutné takovou mlčenlivost sjednat smluvně, tedy nejlépe zvláštní písemnou dohodou nebo prohlášením. A zde je nutné se ptát: Má vaše SV nebo BD takovou dohodu sjednanou? 

Nebojte se implementace GDPR pro váš dům

Když 25. května 2018 vstupoval v účinnost zákon o GDPR, nabádali jsme vás ke klidu, ale zároveň k pečlivé přípravě na jeho změny. Správná a jasná implementace je pro bytové domy na místě i dnes, protože ani Adaptační zákon je jejich povinností nezbavil, i když jsme si to všichni přáli. Můžeme polemizovat o jeho férovosti, probírat, proč státní orgány pokutám nepodléhají, zatímco ostatním subjektům tím přibyly starosti a náklady, ale to je tak bohužel vše. 

Mgr. Vojtěch Marcín, zástupce tiskového mluvčího ÚOOÚ:
„Společenství vlastníků patří nejen mezi kontrolované subjekty, ale také mezi subjekty, kterým lze ze zákona uložit sankci. Od počátku účinnosti GDPR probíhají i kontroly SV.“

Staturární orgán SV musí k problematice GDPR přistoupit s péčí řádného hospodáře, a tedy erudovaně nastavit všechny systémové procesy týkající se ochrany osobních údajů. V této souvislosti považujeme za vhodné bez okolků zopakovat, že právní úprava GDPR, resp. její aplikace, vyžaduje schopnost určitého stupně nejen právní, ale i technické analýzy. Ačkoliv není nutné jmenovat DPO (pověřenec pro ochranu osobních údajů, DPO = Data Protection Officer), je vhodné, ne-li rovnou nutné, přizvat k řešení implementace subjekt, který se odborně nazývá implementátor a má patřičné evropské certifikace. Je dobré vždy vyžadovat zejména úroveň odborné kvalifikace doloženou evropskými certifikáty a odbornou znalost práva.

Je nutné si uvědomit, že osoba, zpracovávající tato data, bude mít přístup k vašim citlivým údajům, a není ve vašem zájmu, způsobit si sami sobě v budoucnu jakékoliv problémy. Odpovědnost za výsledek implementace zůstává stále na SV, proto je nasnadě, vybírat dobře a s veškerou vážností.

---

ODPOVÍDÁME NA VAŠE DOTAZY

UZAVŘENÍ DODATKU KE STÁVAJÍCÍ SMLOUVĚ PODLE GDPR

V souvislosti s GDPR se chci zeptat, zda musí naše SVJ v návaznosti na článek 28 nařízení EU 2016/679 a zákona 101/2000 Sb., uzavřít novou smlouvu či dodatek ke stávající Smlouvě o poskytování odborných služeb v oblasti účetnictví a správy bytového domu, ve které se poskytovatel bude zavazovat, že bude pro SVJ zpracovávat osobní údaje, k nimž získá poskytovatel přístup s cílem dostát všem povinnostem plynoucích z nařízení EU? Dotaz: Miloň Měkota

Odpovídá Mgr. Martin Pešek, specialista GDPR, Klusák Advokátní Kancelář
Povinnost mít uzavřenou zpracovatelskou smlouvu mezi správcem (SVJ) a zpracovatelem (např. účetní) vycházel již z § 6 zákona č. 101/2000 Sb., o ochraně osobních údajů, tedy se nejedná o žádnou novinku. Rozdíl mezi úpravou obsaženou v dosud platném zákoně a v GDPR spočívá zejména v obsáhlosti definice zpracovatelské smlouvy a jejich náležitostí. Zatímco zákon pouze obecně hovořil o písemné formě a rozsahu, účelu a době zpracování, GDPR přináší exaktní výčet jednotlivých náležitostí (čl. 28 GDPR). Za sjednání zpracovatelské smlouvy odpovídá správce (tj. SVJ). Z Nařízení nevyplývá povinnost zpracovatele předkládat návrh zpracovatelské smlouvy nebo dodatku. Správce nemůže předávat osobní údaje zpracovateli, se kterým nemá smluvní vztah reflektující všechny požadavky čl. 28 Nařízení. Správce by měl sám iniciovat uzavření zpracovatelské smlouvy, v případě předložení návrhu zpracovatelem je na místě zvýšená obezřetnost. V praxi je možné se setkat se zpracovateli, kteří iniciativně předložili správci jakožto svému klientovi návrh zpracovatelského dodatku zcela neodpovídající požadavkům Nařízení (obsahující například nepřesné formulace povinností zpracovatele nebo neúplný výčet jeho povinností) a spokojený správce, který chtěl mít GDPR „vyřešené“, takový dodatek bez dalšího posuzování akceptoval. Takto chybně sjednaný dodatek pak jde k tíži správce, který dostatečně nezajistil splnění povinnosti ke sjednání zpracovatelské smlouvy obsahující všechny povinné náležitosti.

JAKÉ MÁ SVJ POVINNOSTI VYPLÝVAJÍCÍ Z GDPR?

Dle mého názoru je celá agenda SVJ přenesena na správní firmu a ta se tímto musí řídit. Výbor SVJ nic nezpracovává, nearchivuje. Chápu to správně? Dotaz: Vrastislav Kraus

Odpovídá Mgr. Martin Pešek, specialista GDPR, Klusák Advokátní Kancelář
SVJ bude vždy primárně správcem osobních údajů, tedy se na něj vztahuje GDPR. Pokud SVJ outsourcuje jakoukoliv činnost na další subjekt (např. typicky správcovská firma, kontrola rejstříků atd.), pak tento bude zpracovatelem osobních údajů. Tím se však SV nezbavuje jakékoliv povinnosti vyplývající z GDPR, právě naopak. Úkoly spojené s GDPR plní statutární orgán. Zpracováním osobních údajů a úkoly spojenými s GDPR může statuární orgán pověřit i jinou osobu, která lépe splňuje předpoklady technické a organizační – odpovědnost za ochranu údajů však zůstává i nadále na správci osobních údajů (nezaměňovat se správní firmou). Odpovědností správce osobních údajů je správný výběr zpracovatele.

Čtěte dále na téma GDPR pro společenství vlastníků jednotek.