Pravda o GDPR pro SVJ

Pavel Richter 5 min. čtení

Nové nařízení na ochranu osobních údajů (GDPR) vstoupí v účinnost 25. května 2018. Není potřeba panikařit, ale rozhodně nepodceňte přípravu.

Regulace v nakládání s osobními údaji se dotkne všech, tedy i činnosti výborů SVJ a členů představenstev bytových družstev. Nařízení přináší celou řadu práv fyzickým osobám, jejichž osobní údaje jsou sbírány a uchovávány, na straně druhé řadu nutných kroků, které musí ti, kteří s takovými údaji pracují, zavést. Klíčem ke GDPR je celou věc nepodcenit, pochopit ji a věnovat se všem zákonným náležitostem, a chovat se zodpovědně.

Hlavním strašákem jsou již vytvořené seznamy kontaktů. SVJ povinnost vytvářet seznamy  ukládá zákon, jde o vedení seznamu členů a nájemníků, evidenci dlužníků apod. Nabyté seznamy a databáze mohou SVJ využívat i nadále, je ale třeba je řádně zabezpečit. Při nedodržení zákonných kroků hrozí vysoké pokuty. Hlavní otázka pro výbor SVJ tedy nezní, zda se vás GDPR týká, ale jak moc a co pro to musíte udělat.  

GDPR pro SVJ v praxi

Již podle stávajícího zákona o ochraně osobních údajů platí, že pokud SVJ zpracovává osobní údaje společníků v nezbytně nutném rozsahu pro naplnění účelu správy domu a souvisejících činností, může v souladu s ustanovením § 5 odst. 2 písm. a) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, provádět zpracování osobních údajů členů bez jejich souhlasu. Tato úprava platí i v novém GDPR.

SVJ je oprávněno např. v rámci vyúčtování uvádět osobní údaje získané však pouze za účelem správy domu. Současně zůstává platné taktéž to, že v případě správy společných částí domu se jedná o hospodaření se společným majetkem členů SVJ, a všichni členové jsou oprávněni znát údaje, které se tohoto hospodaření týkají.

Jak naložit s osobními údaji vlastníků (členů společenství)

Nyní se zkusme podívat na tuto problematiku z praktického pohledu. Každé SVJ musí znát osobní údaje svých členů, tj. jejich jména, adresu, bankovní spojení, telefonní nebo emailový kontakt nebo  např. rodinný stav apod. Všechny tyto údaje považujeme za osobní a současně je tedy nutné s nimi nakládat tak, aby nebyly využívány k jinému účelu než k řádné správě domu. Nelze je tak např. poskytnout bez uzavření smlouvy o zpracování externí firmě, kupříkladu správní firmě (lidově ´správci´).
Je důležité vědět, že pro využití telefonního čísla nebo emailu potřebuje SVJ získat výslovný konkrétní písemný souhlas toho, koho se tyto údaje týkají.

Velmi důležité je mít všechny spravované osobní údaje řádně zabezpečené proti zneužití, resp. proti přístupu neoprávněné osoby, tj. uložené např. na počítači, ke kterému má přístup pouze výbor SVJ, a to např. pod heslem. Je nepřípustné, aby taková data byla uložena např. na počítači, ke kterému budou mít přístup např. rodinní příslušníci předsedy výboru SVJ. To stejné platí pro jakékoliv dokumenty v papírové podobě.

Jak GDPR ovlivní kamerový systém v domě

Samostatnou kapitolou tvoří kamerový systém v domě. Stávající právní úprava vyžaduje mj. povinnost zaregistrovat se pro zpracování osobních údajů v souladu s § 16 zákona č. 101/2000 Sb. Tato povinnost nově odpadá, nicméně tím to vše začíná. Celá problematika provozu kamerových systémů by byla nad rámec tohoto příspěvku, proto se jeví jako vhodnější doporučit revizi stávajícího provozování, tedy posoudit každou prováděnou operaci s daty, které kamerový systém sbírá, kde je sbírá, jde-li o živý záznam bez ukládání nebo naopak o záznam, který si lze prohlédnout i později. To vše hraje v GDPR roli. Je nutno zvážit úroveň zabezpečení systému a všechna další kritéria. Máte-li kamerový systém, bez zásahu odborníka to rozhodně nepůjde. Pokud tedy nechce výbor riskovat šetření inspektorů ÚOOÚ a tučnou pokutu.

Kdy se GDPR neuplatňuje

Při určení rozsahu a odpovědnosti za zpracování osobních údajů v případě společenství vlastníků jednotek, resp. bytových družstev, je třeba bez ohledu na obecné nařízení vycházet z ustanovení občanského zákoníku (např. § 1177) a zákona č. 67/2013 Sb., kterým se upravují některé otázky související s poskytováním plnění spojených s užíváním bytů a nebytových prostorů, ve znění zákona 104/2015 Sb.

Pokud bychom chtěli položit filozofickou otázku, kdy se nebude GDPR uplatňovat, pak základní odpověď najdeme v čl. 2 odst. 2 písm. c) GDPR, kde je stanoveno, že toto nařízení se nevztahuje na zpracování osobních údajů prováděné fyzickou osobou v průběhu výlučně osobních či domácích činností.
Abyste tento odstavec lépe pochopili, GDPR se nevztahuje na případ, kdy fyzická osoba (manželka) pošle jiné fyzické osobě (manželovi) email s nákupním seznamem, který má po cestě z práce nakoupit. Manželka vůči manželovi nepotřebuje souhlas se zasíláním emailů. Z výše uvedeného vyplývá, že jakákoliv jiná činnost, vyjma činností osobních či domácích, podléhá režimu GDPR.

Co vše si musí SVJ ohlídat

Základním pravidlem mezi SVJ (ze zákona správcem osobních údajů) a zpracovatelem osobních údajů (může být najatá správní firma) by vždy měla být smlouva o jejich zpracování (dnes je tato povinnost upravena v ustanovení § 6 zákona č. 101/2000 Sb. o ochraně osobních údajů), která by měla obsahovat v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá, navíc musí obsahovat záruky zpracovatele (správní firmy) o technickém a organizačním zabezpečení ochrany osobních údajů.
I GDPR přejímá tento předpoklad ve velmi podobném duchu ve svém článku 28 odst. 3. Nicméně stanoví další podmínky, např. zpracování osobních údajů pouze na základě doložených pokynů správce (SVJ – příkazce), zajištění, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti, poskytnutí správci (SVJ) veškerých informací potřebných k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné správcem (SVJ) nebo jiným auditorem, kterého správce (SVJ) pověřil, a k těmto auditům přispěje, a další.

Zvládne si pravidla GDPR nastavit SVJ samo?

Výbor musí k problematice GDPR přistoupil s péčí řádného hospodáře, a tedy erudovaně nastavit všechny systémové procesy týkající se ochrany osobních údajů. V této souvislosti považuji za vhodné bez okolků zopakovat, že právní úprava GDPR, resp. její aplikace, vyžaduje schopnost určitého stupně nejen právní, ale i technické analýzy. Ačkoliv není nutné okamžitě jmenovat DPO (pověřenec pro ochranu osobních údajů, z anglického DPO = Data Protection Officer), je vhodné, ne-li rovnou nutné, přizvat k řešení subjekt, který se odborně nazývá implementátor a má patřičné evropské certifikace.

Vzhledem k tomu, že se zejména v poslední době vyrojilo mnoho různých nabídek k ošetření GDPR a situace je krajně nepřehledná, je dobré vždy vyžadovat zejména úroveň odborné kvalifikace doloženou evropskými certifikáty, odbornou znalost práva, nejlépe tedy advokáti, praxi v oblasti ochrany osobních údajů a schopnosti plnit úkoly stanovené nařízením.

Je nutné si uvědomit, že osoba, zpracovávající tato data, bude mít přístup k vašim citlivým údajům, a není ve vašem zájmu, způsobit si sami sobě v budoucnu jakékoliv problémy. Odpovědnost za výsledek implementace zůstává stále na SVJ, proto je nasnadě, vybírat dobře a s veškerou vážností. V této souvislosti se nabízí i okřídlené: „Nejsme tak bohatí, abychom si mohli kupovat levné věci“, což platí i ve vztahu k implementátorům a zpracovatelům (správní firmy, účetní), kteří poskytují pro SVJ různé pravidelné služby.

Kdo je kdo – vyznejte se v odborných výrazech   

Následující odstavec může být trochu matoucí, především proto, že některé názvy činností již zlidověly a aktuálně je používáte pro jiné významy. Kupříkladu výraz ´správce´. Zapomeňte na to, co si pod tímto označením představujete nyní. V logice GDPR je tento výraz využíván zcela odlišně, a je proto dobré se zorientovat.

SVJ a BDsprávce osobních údajů  (dle nařízení GDPR), pokud si SVJ nebo BD provádí činnosti při správě domů a pozemků svépomocí, bez dodavatele, tak samozřejmě také zpracovává * osobní údaje.
*Pozn.: Edit 4. 5. 2018, upraveno: „zpracovatel“ na „zpracovává“

Správní firma/Účetní firmazpracovatelé  osobních údajů (dle nařízení se jedná ve většině případů zpracovatele osobních údajů, a to na základě smlouvy mezi SVJ a Správní firma/Účetní firma). 
Není samozřejmě vyloučeno, aby vaši dodavatelé byli zárovneň správci o.ú. u stejných osob, které bydlí u vás v domě. Ale tento druh zpracování se vašich povinností vůbec netýká, jedná se o odpovědnost, které si nesou sami vaši dodavatelé bez jakékoli vazby na SVJ.

Klusák Advokátní Kancelář s.r.o. – Implementátor GDPR (evropsky certifikovaná osoba, která provede GDRP audit, tj. zkontroluje interní dokumenty a procesy, navrhne opatření a tyto zavede, případně proškolí personál) Pozn.: Implementátor GDPR nemůže vykonávat následně funkci DPO.

DPO/Pověřenec pro ochranu osobních údajů: (monitoruje soulad zpracováním osobních údajů s povinnostmi vyplývajícími z nařízení, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat (neimplementuje ani nezavádí GDPR), nesmí být ve střetu zájmů, SVJ nepatří mezi subjekty, které jej musí mít povinně.

Jak probíhá implementace gdpr

SVJ může provádět veškeré zpracování osobních údajů samo, a nebo prostřednictvím zpracovatele osobních údajů, kterého si pro tento účel najme. Úvodní právní analýza zodpoví, jak si dům stojí, co se ho týká a naopak netýká.

Následovat bude hloubková analýza, na základě které implementátor, certifikovaný advokát, vystaví zprávu, ve které doporučí, jaké kroky aplikovat, aby zpracování osobních údajů bylo dáno do souladu s GDPR.

Advokát dále vyhodnotí specifika tohoto zpracování a stanoví případná rizika
takového zpracování pro subjekty údajů. Teprve poté by mělo být přistoupeno k rozhodnutí, jaká právní, technická, organizační a personální opatření je nutné aplikovat, tedy přijmout. Nezbytným stavebním kamenem budou jasná a srozumitelná pravidla pro zpracování osobních údajů pro splnění informační povinnosti ve vztahu k vlastníkům, bude v nich uvedeno, které jejich údaje a k jakým účelům bude společenství shromažďovat, a jakým způsobem lze SVJ kontaktovat k uplatnění svých práv.

Důležité: Dokumentace, která bude tímto procesem hloubkové analýzy získána, může v budoucnu sloužit jako důkazní prostředek při jakémkoliv řízení např. před Úřadem pro ochranu osobních údajů nebo při soudním řízení a samozřejmě pro prokázání péče řádného hospodáře v případě členů výboru SVJ.

Potřebuje SVJ pověřence – DPO?

Velmi nepřehlednou se stala otázka vztahující se k povinnosti jmenovat tzv. pověřence pro ochranu osobních údajů (DPO). Zde stále musíme spekulovat a dát na váhy proti sobě nařízení GDPR a odpovědnost výborů. Pokud se budeme držet striktně zákona, není zde pro SVJ uložena podmínka mít DPO. Ovšem vzhledem k tomu, že problematika GDPR je poměrně složitá i pro právně vzdělané jedince, a pokuty nastavené evropským parlamentem doslova astronomické, nelze než doporučit, aby se výbor kryl. Tedy pověřence si najmout.

Pověřenec (DPO) procesy zpracování zkontroluje a pravidelně vydává příslušnou revizní správu, že jsou osobní údaje zpracovávané v souladu se zákony a nařízením GDPR. Toto rozhodnutí je na výboru a jejich zvážení, jak moc chtějí strčit svou hlavu do oprátky a jak moc ´věří´ lidem v domě dnes a budoucnu. Analogie s revizní zprávou na měřiče a výtahy je na místě. DPO vydá 1x ročně revizní zprávu, že je vše v souladu se zákonem a nařízením GDPR, a výbor se v případě problémů může o tuto zprávu před úřady nebo soudy opřít. Běžně tento proces výbory aplikují, pokud si nejsou nějakou jinou právní otázkou jisti a nechají si na ni vypracovat advokátní radu. Na této odborné a písemné radě následně postaví své ´výborové´ rozhodnutí. Je to nejbezpečnější proces, který lze aplikovat na ochranu výboru a jeho rozhodnutí.

Kdo by měl být DPO a kdo rozhodně ne?
Pověřencem (DPO) nemůže být ten samý subjekt, který vám GDPR implementoval. Pokud to bude advokátní kancelář, což lze jen doporučit, nemůže být implementátor zároveň pověřencem. Opět lze aplikovat logiku, pokud něco implementuji, nemohu následně vydávat revizi, že to, co jsem implementoval, je správně. DPO musí být druhý subjekt.

Pojďme na příklad z praxe: Klusák Advokátní Kancelář, coby specializovaný tým právníků advokátů na SVJ a BD, provádí implementaci GDPR na úrovni evropské certifikace. Pověřence (DPO) pak poskytuje správní firma Paragrafs – správa SVJ a BD od advokátů. V obou případech jsou pod oběma úkony (implementací GDPR a budoucí zprávou DPO) podepsaní advokáti, kteří jsou kromě specializace na SVJ a BD také zapsaní v České advokátní komoře. S tímto se pojí jednak záruky odbornosti, druhak zákonné pojištění advokátů. Takto je proces nejbezpečnější a rovněž v souladu s nařízením GDPR.

Co hrozí SVJ, které nařízení GDPR nesplní

V dnešním chaosu okolo GDPR nelze objektivně předpokládat, že by se inspektoři ÚOOÚ zaměřili na plošné kontroly SVJ a BD. Domníváme se, že budou mít po 25. 5. 2018 co dělat, aby odbavili kontroly tzv. na ´ohlášku´. To ale může být zároveň i problém SVJ.
Pokud máte v SVJ někoho, kdo chce výboru zatopit, dostal ideální nástroj. Takovému ´mstiteli´ stačí, aby poslal na ÚOOÚ hlášení, že jsou jeho údaje zpracovány v rozporu s GDPR a je na problém zaděláno.  

Pokuty mohou v extrému dosáhnout až 20 000 000 EUR (nebo až do 4 % celkového ročního obratu, jde-li o podnik). Inspektoři ÚOOÚ budou hodnotit intenzitu zásahu do práva na ochranu osobních údajů, a dále budou vždy posuzovat povahu, závažnost a délku trvání porušení.

Závěrem je nutno říct, že pokuty a jejich výška v GDPR nejsou primárně namířeny proti SVJ a BD. Ale jakmile se jednou úřední mašinerie rozjede, nikdo dnes objektivně neví, kde se zastaví.  

Kryjte se. Nastavené procesy nechte pravidelně kontrolovat!

Pokud máte správní firmu, je vaším dodavatelem a je výboru podřízena v rámci příkazní smlouvy. Pokud by např. nedbalostním jednáním zpracovatele údajů (správní firmy) vznikla k tíži správce údajů (SVJ) škoda, pak se lze samozřejmě obrátit žalobou na náhradu škody na takového zpracovatele (správní firmu). Je zřejmé, že právě této patologii je třeba odpovědným přístupem výboru předejít. I poté, co SVJ projde procesem analýzy a následné implementace GDPR, je nutné pravidelně, např. jedenkrát ročně, prověřit, zda jsou veškeré procesy práce s osobními údaji aktuální a platné, tj. zejména vyhovující zákonným normám. Což nás zpět vrací ke jmenování pověřence, tedy DPO, o odstavec výše.

Přinese GDPR pro SVJ něco pozitivního nebo jen nervozitu do výboru?

V rámci náhledu na smysl a účel GDPR existuje několik různých názorů. Zlí jazykové tvrdí, že se jedná jen o další výmysl Evropské unie, který zavání „kšeftem“ pro ty, kteří se budou živit pořádáním školení, vydáváním certifikátů či drahých příruček, k čemuž se chtě nechtě přiklání i redakce Magazínu Výbor.
Jiní mluví o GDPR jako o revoluci v rámci nakládání s osobními údaji. Zde se opravdu hodí legendární prohlášení Járy Cimrmana: „Můžeme o tom vést spory, můžeme s tím nesouhlasit, ale to je tak všechno, co se proti tomu dá dělat“.

Nařízení bude za několik týdnů účinné, a tím pádem máme jen dvě možnosi. Být s nařízením v souladu nebo riskovat. Stejným tempem, jakým se vyvíjí technika a zejména IT odvětví (např. automatizace zpracování osobních údajů apod.), posunují se naše nároky na uchování vlastního soukromí, kterým současná právní úprava zcela neodpovídá. Svět se mění a my s ním. Podobný, ne-li stejný chaos, vyvolává každá změna, z vlastní zkušenosti mohu vzpomenout např. datum 1. 1. 2014, což byla účinnost tzv. Nového občanského zákoníku, který nahradil předchozí Občanský zákoník z roku 1964!

Co udělat jako první?

Klusák Advokátní Kancelář v rámci povinnosti SVJ přizpůsobit stanovy NOZ obsloužila více jak 500 SVJ, které se dnes řídí na míru zpracovanými stanovami z této dílny.
Můžete se na ně obrátit i v otázce GDPR. Více najdete na adrese: www.akklusak.cz/gdpr, na emailu gdpr@akklusak.cz nebo na telefonu 228 226 311.

Čtěte také: Jak se bojuje proti SBD Krušnohor?

Další článek: Předchozí článek:
VRÁTIT SE KE VŠEM AKTUALITÁM