Nepřístupný dokument, nutné přihlášení
Input:

Vnitřní směrnice SVJ k ochraně osobních údajů dle GDPR

16.2.2018, , Zdroj: Verlag Dashöfer

3.8.4
Vnitřní směrnice SVJ k ochraně osobních údajů dle GDPR

Mgr. Adriana Kvítková, Mgr. Alexandra Javoreková

Vzor byl zpracován pro potřeby většího společenství vlastníků, které má několik desítek členů a které pravidelně zpracovává v rámci své činnosti osobní údaje, zejména provozuje kamerové systémy, vede evidenci členů společenství vlastníků a členů jejich domácností, nájemců, podnájemců a dalších osob, které se v bytovém domě pohybují a zdržují, dále také eviduje databázi dlužníků pro vymáhání pohledávek a pro účely kontroly možného vstupu do insolvence, využívá služeb zpracovatelů osobních údajů a poskytuje osobní údaje těmto zpracovatelům, příp. příjemcům údajů a třetím osobám.

VNITŘNÍ SMĚRNICE SVJ K OCHRANĚ OSOBNÍCH ÚDAJŮ

Společenství vlastníků ……………………, se sídlem ……………………, IČ: ……………………, zapsané v rejstříku společenství vlastníků vedeném Krajským soudem v …………, oddíl …, vložka ….. (dále jen „Společenství vlastníků”),

s ohledem na nezbytnost plnění úkolů Společenství vlastníků v oblasti ochrany osobních údajů, zejména pak s přihlédnutím k potřebě dodržování a náležité realizace práv a povinností upravených v nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), (dále jen „Nařízení”),

vydává tuto:

vnitřní směrnici k ochraně osobních údajů

(dále jen „směrnice”)

Čl. I.
Základní pojmy

  1. Společenství vlastníků je správcem osobních údajů, který zpracovává osobní údaje sám, anebo k tomuto účelu využívá služeb zpracovatelů osobních údajů.
  2. Osobní údaje představují veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů”); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
  3. Subjektem údajů jsou ve vztahu ke Společenství vlastníků vždy členové Společenství vlastníků, příp. členové jejich domácností, jinak jimi mohou být i nájemci, podnájemci, či další osoby, které se v bytovém domě pohybují a zdržují, pokud Společenství vlastníků zpracovává jejich osobní údaje.
  4. Zpracováním osobních údajů je jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
  5. Zpracovatelem osobních údajů je v kontextu této směrnice jakákoliv fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro Společenství vlastníků jakožto správce osobních údajů.
  6. Příjemcem osobních údajů je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem České republiky, se za příjemce nepovažují.
  7. Třetí stranou je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů.

Čl. II.
Základní zásady zpracování osobních údajů a jejich dodržování

  1. Při zpracování osobních údajů postupuje Společenství vlastníků v souladu se základními zásadami zpracování osobních údajů. Společenství vlastníků tedy:
    1. zpracovává osobní údaje ve vztahu k subjektům údajů korektně, zákonně a transparentně;
    2. shromažďuje osobní údaje pouze pro určité, výslovně vyjádřené a legitimní účely a dále je nezpracovává způsobem, který je s těmito účely neslučitelný (za neslučitelné s původními účely se přitom nepovažuje další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely);
    3. zpracovává pouze takové osobní údaje, které jsou přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány;
    4. zpracovává pouze takové osobní údaje, které jsou přesné a v případě potřeby aktualizované; Společenství vlastníků k tomuto účelu přijme veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny;
    5. uloží osobní údaje ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány;
    6. zpracovává osobní údaje způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.
  2. Společenství vlastníků odpovídá za dodržení všech výše uvedených zásad a v souladu s Nařízením musí být schopno dodržování těchto zásad doložit.

Čl. III.
Činnost společenství vlastníků před započetím (dalšího) zpracování osobních údajů

  1. Společenství vlastníků předně provede analýzu dosavadního zpracování údajů, a to zejména:
    1. posoudí, které osobní údaje zpracovává a k jakým účelům;
    2. zkontroluje, zda pořád trvá právní důvod zpracování osobních údajů tak, aby toto zpracování bylo zákonné;
    3. v případě, že již netrvá původní zákonný důvod zpracování, zjistí, zda nelze příslušné zpracování osobních údajů podřadit pod některý z dalších zákonných důvodů zpracování a pokud se žádný neuplatní, pak získá souhlas subjektu údajů se zpracováním, příp. zpracování daných osobních údajů ukončí a tyto osobní údaje vymaže; Společenství vlastníků informuje subjekt údajů o každé změně zákonného důvodu zpracování osobních údajů, o změně účelu zpracování, o výmazu osobních údajů apod.;
    4. posoudí stávající technické zabezpečení zpracování osobních údajů a přijme opatření dle čl. VII. této směrnice;
    5. proškolí své zaměstnance a další osoby, které osobní údaje zpracovávají na základě pokynů Společenství vlastníků, a zajistí jejich mlčenlivost;
    6. posoudí stávající rizika zpracování osobních údajů;
    7. posoudí zavedené postupy při poskytování informací subjektům údajů, příjemcům údajů a třetím osobám (např. externím správcům);
    8. posoudí, zda uzavřené smlouvy se zpracovateli osobních údajů splňují podmínky stanovené Nařízením (pokud nesplňují, postupuje dle čl. V. této směrnice).
  2. Společenství vlastníků zavede s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob vhodná technická a organizační opatření, aby zajistilo a bylo schopné doložit, že zpracování je prováděno v souladu s Nařízením. Tato opatření je Společenství vlastníků povinno pravidelně aktualizovat.

Čl. IV.
Zákonné důvody zpracování a podmínky získání souhlasu subjektu údajů

  1. Společenství vlastníků je oprávněno zpracovávat osobní údaje pouze na základě jednoho ze zákonných důvodu zpracování, ve vztahu ke Společenství vlastníků pak půjde nejčastěji o zpracování nezbytné pro splnění právních povinností, které se na Společenství vlastníků vztahují, nebo zpracování nezbytné pro splnění smlouvy, jejíž stranou je subjekt údajů, příp. půjde o zpracování nezbytné pro účely oprávněných zájmů Společenství vlastníků či třetí strany (za podmínky, že tyto oprávněné zájmy nepředčí základní práva a svobody subjektů údajů).
  2. V případě, že se neuplatní žádný jiný zákonný důvod zpracování a Společenství vlastníků bude chtít určité osobní údaje i přesto zpracovávat (např. rodná čísla subjektů údajů), bude si muset opatřit k příslušnému zpracování souhlas subjektu údajů pro jeden či více konkrétních účelů takového zpracování.
  3. Souhlas subjektu údajů dle předchozího odstavce tohoto článku směrnice musí být svobodným, konkrétním, informovaným a jednoznačným projevem vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
  4. Žádost Společenství vlastníků o vyjádření souhlasu se zpracováním osobních údajů musí být Společenstvím vlastníků předložena takovým způsobem, který je od jiných skutečností, ke kterým se případně subjekt údajů vyjadřuje, jasně odlišitelný, a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků.
  5. Společenství vlastníků musí být schopné udělení souhlasu subjektem údajů v případě potřeby doložit.
  6. Společenství vlastníků musí subjekt údajů informovat o právu subjektu údajů kdykoliv souhlas se zpracováním svých osobních údajů odvolat, přičemž Společenství vlastníků musí zajistit, aby odvolání souhlasu subjektu údajů bylo stejně snadné, jako jeho poskytnutí.

Čl. V.
Výběr zpracovatele osobních údajů a uzavírání smluv s tímto zpracovatelem

  1. Společenství vlastníků využije ke zpracování osobních údajů pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky Nařízení a aby byla zajištěna ochrana práv subjektů údajů. Dostatečné záruky zavedení vhodných technických a organizačních opatření může zpracovatel doložit i tím, že dodržuje kodex chování schválený Úřadem pro ochranu osobních údajů anebo schválený mechanismus pro vydávání osvědčení dle čl. 42 Nařízení.
  2. Společenství vlastníků uděluje zpracovateli písemné povolení k zapojení dalšího zpracovatele do zpracování osobních údajů. Toto povolení může být konkrétní nebo obecné. V případě obecného povolení může společenství vlastníků vyslovit vůči jakýmkoliv změnám týkajícím se přijetí dalších zpracovatelů nebo jejich nahrazení námitky.
  3. Společenství vlastníků uzavře se zpracovatelem písemnou smlouvu, ve které budou uvedeny alespoň následující informace:
    1. předmět zpracování, tj. které osobní údaje bude zpracovatel zpracovávat (např. identifikační údaje subjektů údajů);
    2. doba trvání zpracování osobních údajů (smlouvu se zpracovatelem lze uzavřít i na dobu neurčitou);
    3. povaha a účel zpracování osobních údajů;
    4. typ osobních údajů (zda jsou předmětem zpracování i zvláštní kategorie osobních údajů, tedy tzv. citlivé osobní údaje) a kategorie subjektů údajů (např. zaměstnanci Společenství vlastníků, vlastníci bytových jednotek, nájemci, podnájemci apod.);
    5. práva a povinnosti Společenství vlastníků jakožto správce.
  4. Společenství vlastníků ve smlouvě se zpracovatelem dále stanoví, že zpracovatel:
    1. zpracovává osobní údaje pouze na základě doložených pokynů Společenství vlastníků a informuje Společenství vlastníků o příp. požadavcích na předání osobních údajů do třetí země nebo mezinárodní organizaci (ledaže by právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu);
    2. zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;
    3. přijme všechna technická a organizační opatření k zabezpečení osobních údajů, blíže upravená v čl. VII. této směrnice (v souladu s čl. 32 Nařízení);
    4. dodržuje podmínky pro zapojení dalšího zpracovatele, tedy disponuje písemným povolením Společenství vlastníků a plní stejné povinnosti jako prvotní zpracovatel tak, aby zpracování osobních údajů splňovalo podmínky Nařízení;
    5. zohledňuje povahu zpracování, je Společenství vlastníků nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění povinnosti Společenství vlastníků reagovat na žádosti o výkon práv subjektu údajů (blíže popsaných v čl. IX. této směrnice);
    6. je Společenství vlastníků nápomocen při zajišťování souladu s povinnostmi týkajícími se zabezpečení osobních údajů, ohlašování porušení tohoto zabezpečení, posouzení vlivu na ochranu osobních údajů a příp. předchozí konzultace s Úřadem pro ochranu osobních údajů, to vše při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici;
    7. v souladu s rozhodnutím Společenství vlastníků všechny osobní údaje buď vymaže, nebo je vrátí Společenství vlastníků po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Evropské unie nebo členského státu nepožaduje uložení daných osobních údajů;
    8. poskytne Společenství vlastníků veškeré informace potřebné k doložení toho, že byly splněny povinnosti při zpracování osobních údajů zpracovatelem, a umožní audity, včetně inspekcí, prováděné Společenstvím vlastníků nebo jiným auditorem, kterého Společenství vlastníků pověřilo, a k těmto auditům přispěje;
    9. v případě, že má za to, že určitý pokyn Společenství vlastníků je v rozporu s Nařízením nebo jinými předpisy Evropské unie, či České republiky, týkajícími se ochrany osobních údajů, neprodleně o tom informuje Společenství vlastníků.

Čl. VI.
Záznamy o činnostech zpracování osobních údajů

  1. Společenství vlastníků vede záznamy o činnostech zpracování osobních údajů, za které odpovídá. Tyto záznamy o činnostech vede Společenství vlastníků písemně, přičemž za písemnou formu se považuje i forma elektronická.
  2. Společenství vlastníků na požádání poskytne tyto záznamy o činnostech Úřadu pro ochranu osobních údajů.
  3. Společenství vlastníků eviduje v rámci záznamů o činnostech tyto informace:
    1. identifikační a kontaktní údaje Společenství vlastníků (případného společného správce, či zástupce správce);
    2. účely zpracování;
    3. popis kategorií subjektů údajů a kategorií osobních údajů;
    4. kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;
    5. informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a příp. doložení vhodných záruk;
    6. je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů;
    7. je-li to možné, obecný popis technických a organizačních bezpečnostních opatření k zabezpečení osobních údajů, dále uvedených v čl. VII. této směrnice (čl. 32 odst. 1 Nařízení).

Čl. VII.
Zabezpečení osobních údajů a porušení tohoto zabezpečení

  1. Společenství vlastníků přijme vhodná technická a organizační opatření k zabezpečení zpracování osobních údajů. Při výběru vhodných technických a organizačních opatření Společenství vlastníků přihlédne ke stavu techniky, nákladům na provedení opatření, povaze, rozsahu, kontextu a účelům zpracování osobních údajů, a také k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob.
  2. Při posuzování rizik dle předchozího odstavce Společenství vlastníků postupuje v obdobně s čl.