Základní poučka pro GDPR zní: "Jakákoliv činnost spojená s osobními údaji, vyjma činností osobních a domácích, podléhá režimu GDPR," říká Martin Pešek z Klusák Advokátní Kancelář, která má za sebou více jak 150 GDPR implementací v bytových domech, SVJ a BD. Nařízení přináší celou řadu práv fyzickým osobám a zároveň povinnosti těm, kteří jejich osobní údaje uchovávají. Klíčem ke GDPR je celou věc nepodcenit, pochopit ji a věnovat se všem zákonným náležitostem zodpovědně.
Hlavním strašákem jsou již vytvořené seznamy kontaktů – seznam členů a nájemníků, evidence dlužníků apod. Nabyté seznamy mohou SVJ za konkrétních podmínek využívat i nadále, je ale třeba je řádně zabezpečit, v opačném případě hrozí vysoké pokuty. Jaké jsou nutné kroky?
GDPR pro SVJ v praxi
Podle stávajícího zákona o ochraně osobních údajů platí, že pokud SVJ zpracovává osobní údaje členů společenství v nezbytně nutném rozsahu pro naplnění účelu správy domu a souvisejících činností, může v souladu s ustanovením § 5 odst. 2 písm. a) zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, provádět zpracování osobních údajů členů bez jejich souhlasu. Tato úprava platí i v novém GDPR.
SVJ je oprávněno například v rámci vyúčtování uvádět osobní údaje získané však pouze za účelem správy domu. Současně zůstává platné taktéž to, že v případě správy společných částí domu se jedná o hospodaření se společným majetkem členů SVJ a všichni členové jsou oprávněni znát údaje, které se tohoto hospodaření týkají.
Jak naložit s osobními údaji vlastníků
Nyní se zkusme podívat na tuto problematiku z praktického pohledu. Každé SVJ musí znát osobní údaje svých členů, tj. jejich jména, adresu, bankovní spojení, telefon nebo e-mail, ale i např. rodinný stav apod. Všechny tyto údaje považujeme za osobní a současně je tedy nutné s nimi nakládat tak, aby nebyly využívány k jinému účelu než k řádné správě domu. Nelze je například poskytnout bez uzavření smlouvy o jejich zpracování externí firmě, kupříkladu správní firmě (lidově ´správci´).
Velmi důležité je mít všechny spravované osobní údaje řádně zabezpečené proti zneužití, tzn. proti přístupu neoprávněné osoby, tj. uložené např. na počítači, ke kterému má přístup pouze výbor SVJ, a to např. pod heslem. Je nepřípustné, aby taková data byla uložena např. na počítači, ke kterému budou mít přístup např. rodinní příslušníci předsedy výboru SVJ. To stejné platí pro jakékoliv dokumenty v papírové podobě.
Jak GDPR ovlivní kamerový systém v domě
Samostatnou kapitolu tvoří kamerový systém v domě. Stávající právní úprava vyžaduje mj. povinnost zaregistrovat se pro zpracování osobních údajů v souladu s § 16 zákona č. 101/2000 Sb. Tato povinnost nově odpadá, nicméně tím to vše začíná.
Celá problematika provozu kamerových systémů by byla nad rámec tohoto příspěvku, proto se jeví jako vhodnější doporučit revizi stávajícího provozování, tedy posoudit každou prováděnou operaci s daty, které kamerový systém sbírá, kde je sbírá, jde-li o živý záznam bez ukládání nebo naopak o záznam, který si lze prohlédnout i později. To vše hraje v GDPR roli. Je nutno zvážit úroveň zabezpečení systému a všechna další kritéria. Máte-li kamerový systém, bez zásahu odborníka to rozhodně nepůjde, nechcete-li riskovat šetření inspektorů ÚOOÚ a tučnou pokutu.
Co vše si musí SVJ ohlídat
Základním pravidlem mezi SVJ (ze zákona správcem osobních údajů) a zpracovatelem osobních údajů (může být najatá správní firma) by vždy měla být smlouva o jejich zpracování (dnes je tato povinnost upravena v ustanovení § 6 zákona č. 101/2000 Sb. o ochraně osobních údajů), která by měla obsahovat v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá, navíc musí obsahovat záruky zpracovatele (správní firmy) o technickém a organizačním zabezpečení ochrany osobních údajů.
I GDPR přejímá tento předpoklad ve velmi podobném duchu ve svém článku 28 odst. 3. Nicméně stanoví další podmínky, např. zpracování osobních údajů pouze na základě doložených pokynů správce (SVJ – příkazce), zajištění, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti, poskytnutí správci (SVJ) veškerých informací potřebných k doložení toho, že byly splněny všechny povinnosti.
Zvládne si pravidla nastavit SVJ samo?
Výbor musí k problematice GDPR přistoupit s péčí řádného hospodáře a nastavit všechny systémové procesy týkající se ochrany osobních údajů. V této souvislosti považuji za vhodné bez okolků zopakovat, že aplikace GDPR vyžaduje schopnost určitého stupně nejen právní, ale i technické analýzy. Ačkoliv není nutné okamžitě jmenovat DPO (pověřenec pro ochranu osobních údajů, z anglického DPO = Data Protection Officer), je vhodné, ne-li rovnou nutné, přizvat k řešení implementátora, který má patřičné evropské certifikace a aplikaci v SVJ bezchybně nastaví.
Jak poznat dobrého implementátora? Vyžadujte odbornou kvalifikaci doloženou evropskými certifikáty, odbornou znalost práva, nejlépe tedy advokáty s praxí v bytových domech, SVJ a BD a schopnosti plnit úkoly stanovené nařízením GDPR.
Co hrozí SVJ, které nařízení GDPR nesplní
V dnešním chaosu okolo GDPR nelze objektivně předpokládat, že by se inspektoři ÚOOÚ zaměřili na plošné kontroly SVJ a BD. Domníváme se, že budou mít po 25. 5. 2018 co dělat, aby odbavili kontroly tzv. na "ohlášku". To ale může být zároveň i problém SVJ, jelikož v každém domě je někdo, kdo s názory výborů a představenstev z principu nesouhlasí. S GDPR takový rebel získal poměrně účinný nástroj pro svůj vliv a úřední obstrukce.
Závěrem je nutno říct, že pokuty a jejich výška v GDPR nejsou primárně namířeny proti SVJ a BD. Ale jakmile se jednou úřední mašinerie rozjede, nikdo dnes objektivně neví, kde se zastaví.
Přinese GDPR pro SVJ něco pozitivního?
Zlí jazykové tvrdí, že se jedná jen o další výmysl Evropské unie. Jiní mluví o GDPR jako o revoluci v rámci nakládání s osobními údaji. Stejným tempem, jakým se vyvíjí technika a zejména IT odvětví, posunují se naše nároky na uchování vlastního soukromí, kterým současná právní úprava zcela neodpovídá. Podobný, ne-li stejný chaos, vyvolává každá změna, vzpomeňme na Nový občanský zákoník, který nahradil předchozí Občanský zákoník z roku 1964!
