Nepřístupný dokument, nutné přihlášení
Input:

Manuál k aplikaci obecného nařízení o ochraně osobních údajů (GDPR) pro společenství vlastníků

13.5.2019, , Zdroj: Verlag Dashöfer

3.8.1
Manuál k aplikaci obecného nařízení o ochraně osobních údajů (GDPR) pro společenství vlastníků

Mgr. Adriana Kvítková, Mgr. Alexandra Kalandarišvili

Tento manuál představuje praktickou pomůcku určenou zejména pro předsedy společenství a členy výborů společenství vlastníků a jeho účelem je seznámit tyto statutární orgány (či jejich členy) s povinnostmi, které pro společenství vlastníků, a tedy i pro ně, přineslo nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), (dále jen „GDPR”).

Tento manuál si neklade za cíl přinést vyčerpávající informaci týkající se implementace GDPR do vnitřních postupů fungování společenství vlastníků, ale spíše má sloužit jako základní přehled jím stanovených povinností, kterým by statutární orgány společenství vlastníků měly při zpracování osobních údajů věnovat větší pozornost.

Co je GDPR a jak se projeví ve vztahu ke společenstvím vlastníků

GDPR je nařízením Evropského parlamentu a Rady (EU), tedy přímo použitelným předpisem Evropské unie, které nabylo účinnosti dne 25. 5. 2018 a které spolu se zákonem č. 110/2019 Sb., o zpracování osobních údajů, v platném znění (schválené znění tohoto zákona bylo podepsáno prezidentem republiky dne 10. 4. 2019 a nabylo účinnosti dnem vyhlášení ve Sbírce zákonů, tj. dne 24. 4. 2019), (dále jen „zákon o zpracování osobních údajů”), tvoří základní právní rámec pro zpracování osobních údajů. Zmíněné právní předpisy tak nahrazují dosavadní právní úpravu, kterou v České republice představoval zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů” nebo „ZOOÚ”). S ohledem na účinnost GDPR a nedávné nabytí účinnosti zákona o zpracování osobních údajů je nezbytné, aby subjekty, které zpracovávají osobní údaje, zkontrolovaly své procesy při zpracování osobních údajů a přizpůsobily je novým (nebo spíše podrobnějším) pravidlům v této oblasti.

Novinky zákona č. 110/2019 Sb., o zpracování osobních údajů

Zákon o zpracování osobních údajů navazuje na GDPR a upravuje některé otázky, které GDPR ponechává členským státům k dořešení, resp. k samostatné úpravě, a také implementuje pravidla obsažená v nové směrnici Evropského parlamentu a Rady (EU) 2016/680 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, o volném pohybu těchto údajů a o zrušení rámcového rozhodnutí Rady 2008/977/SVV. Tento zákon přináší několik výjimek z GDPR, a to zejména v oblasti vědeckého, historického výzkumu a pro statistické účely a dále v oblasti zpracování osobních údajů prováděného pro novinářské účely. Ulehčení od některých povinností dle GDPR přináší zákon o zpracování osobních údajů i ve vztahu k činnosti subjektů vymáhajících pohledávky, resp. svůj nárok, vůči dlužníkům. Zákon o zpracování osobních údajů oproti GDPR snižuje peněžité sankce pro některé subjekty, a to až na hranici 15 tisíc, či dokonce 5 tisíc korun českých, pokud se porušení vymezených pravidel stanovených GDPR dopustí malé obce, které nevykonávají přenesenou působnost v rozsahu obecního úřadu obce s rozšířenou působností, jejich dobrovolné svazky, příspěvkové organizace a školská zařízení zřizovaná takovou obcí.

Na rozdíl od některých jiných členských států Evropské unie pak zákon o zpracování osobních údajů zakotvuje pro způsobilost dítěte udělit souhlas se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti přímo jemu věk patnácti let (GDPR operuje s věkem nejméně 13 let). Zákon o zpracování osobních údajů rovněž rozšiřuje působnost Úřadu pro ochranu osobních údajů, a to tak, že mu přibývá agenda tzv. práva na informace a jeho uplatňování. Uvedená změna v této oblasti si slibuje odlehčení soudů a zároveň zlepšení přístupu občanů k informacím požadovaným od veřejných orgánů. Jelikož tento aplikační zákon přináší úpravu mírně odlišnou od GDPR pouze v oblastech, kde to GDPR předpokládá, zůstává GDPR hlavním předpisem v oblasti ochrany osobních údajů, se kterým je nezbytné při zpracování osobních údajů bezpodmínečně pracovat, a v zákoně o zpracování osobních údajů hledat spíše případné výjimky.

Společenství jako správce osobních údajů

Společenství vlastníků jakožto právnická osoba založená za účelem zajišťování správy domu a pozemku při své činnosti zpracovává osobní údaje subjektů údajů (tedy zejména svých členů, tedy vlastníků bytových a nebytových jednotek v domě, členů jejich domácností, nájemců, podnájemců, příp. dalších osob, které se v domě zdržují) a vystupuje ve vztahu k těmto subjektům údajů jako správce osobních údajů. Společenství vlastníků by mělo posoudit, na základě kterých zákonných důvodů jednotlivé kategorie osobních údajů zpracovává, a pouze v případě, že se ve vztahu k některým z nich (např. rodná čísla členů společenství) neuplatní jiné zákonné důvody zpracování, postupovat tak, že si společenství vyžádá souhlas subjektu údajů (jinými slovy souhlas subjektů údajů se zpracováním osobních údajů by mělo společenství vyžadovat až jako poslední možnost, tj. jen pokud se neuplatní jiné zákonné důvody zpracování). Jedním z důvodů uvedeného postupu je skutečnost, že subjekt údajů může svůj souhlas se zpracováním osobních údajů kdykoliv vzít zpět. Vyžadování souhlasů subjektů údajů tam, kde jsou nadbytečné, považuje navíc Úřad pro ochranu osobních údajů za porušení GDPR.

Navzdory skutečnosti, že GDPR vychází především z principu kontinuity právní úpravy ochrany osobních údajů, přináší pro správce některé nové povinnosti, jiné povinnosti upřesňuje, či je doplňuje. Za nedodržení povinností správců a zpracovatelů pak hrozí dle GDPR poměrně citelné sankce. Z těchto důvodu je nezbytné, aby společenství vlastníků provedlo v souvislosti s nabytím účinnosti GDPR a souvisejících předpisů vnitřní audit, tedy posouzení a vyhodnocení stávajících procesů zpracování osobních údajů subjektů údajů, přizpůsobilo tyto procesy nové právní úpravě a zajistilo dodržování zmíněných právních předpisů do budoucna.

Níže tedy uvádíme přehled povinností statutárních orgánů společenství vlastníků ve vztahu k GDPR a souvisejícím předpisům na poli ochrany osobních údajů.

Povinnosti společenství vlastníků v souvislosti s GDPR – první krok

Statutární orgán společenství vlastníků by měl v souvislosti s GDPR a souvisejícími předpisy předně, tedy předtím než se pustí do přijímání konkrétních opatření, před nabytím účinnosti GDPR a souvisejících předpisů provést vnitřní audit, tedy podrobnější analýzu týkající se aktuálního stavu zpracování osobních údajů tímto společenstvím.

Ve vztahu ke zpracovávaným osobním údajům je nutné prověřit zejména:

  1. které osobní údaje subjektů údajů společenství vlastníků zpracovává,
  2. na základě kterého zákonného důvodu společenství tyto osobní údaje zpracovává (nezbytnost pro plnění právní povinnosti, oprávněný zájem, plnění smluvní povinnosti apod.),
  3. zda společenství nezpracovává některé osobní údaje nad rámec GDPR (tedy ověření, zda je zpracování některých osobních údajů pro společenství vlastníků nezbytné, např. zpracování rodných čísel),
  4. zda společenství zpracovává některé z osobních údajů ze zákonného důvodu spočívajícího v udělení souhlasu subjektem údajů.

Pokud společenství vlastníků dospěje k závěru, že zpracovává víc osobních údajů subjektů údajů, než je nezbytné pro naplňování účelu správy domu a pozemku, zajistí náležitý výmaz nadbytečných osobních údajů, anebo pokud bude trvat na zpracovávání takových osobních údajů, získá souhlas subjektů údajů.

V případě, že společenství vlastníků zpracovává některé osobní údaje na základě souhlasu subjektu údajů (např. rodná čísla), společenství vlastníků je povinno prozkoumat poskytnuté souhlasy a zjistit, zda mají tyto souhlasy veškeré náležitosti vyžadované GDPR. Souhlasy subjektů údajů by měly být uděleny písemně, a to s ohledem na povinnost správce osobních údajů doložit, že subjekt údajů souhlas udělil, nejlépe tedy ve formě prohlášení, které bude odlišitelné od jiných skutečností (pokud bude souhlas součástí jiného dokumentu), srozumitelné a snadno přístupné (za použití jasných a jednoduchých jazykových prostředků). Statutární orgán společenství musí počítat i s tím, že subjekt údajů může svůj souhlas kdykoliv vzít zpět.

Po zjištění, které osobní údaje a na základě čeho společenství vlastníků jakožto správce osobních údajů, zpracovává, je nezbytné se zaměřit na jejich zabezpečení, příp. i posouzení vlivu na ochranu osobních údajů1, tedy vyhodnocení zamýšlených operací zpracování na ochranu osobních údajů.

Statutární orgán společenství by měl posoudit, zda stávající zabezpečení osobních údajů je v souladu s povinnostmi stanovenými GDPR. Statutární orgán společenství by se měl v této souvislosti zaměřit na tyto oblasti:

  1. které osoby mají přístup ke zpracovávaným osobním údajům,
  2. kde jsou osobní údaje uloženy (jak papírově, tak i elektronicky),
  3. jakým způsobem je zamezeno přístupu třetích osob k těmto osobním údajům (šifrování, zaheslování, anonymizace),
  4. zda a jak