dnes je 15.10.2024

Input:

Manuál k aplikaci GDPR pro společenství vlastníků - 1. část

2.5.2018, , Zdroj: Verlag Dashöfer

1.73
Manuál k aplikaci GDPR pro společenství vlastníků – 1. část

Mgr. Adriana Kvítková, Mgr. Alexandra Javoreková

K čemu slouží tento manuál a pro koho je určen?

Tento manuál představuje praktickou pomůcku určenou zejména pro předsedy společenství a členy výborů společenství vlastníků a jeho účelem je seznámit tyto statutární orgány (či jejich členy) s povinnostmi, které pro společenství vlastníků, a tedy i pro ně, přináší nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), (dále jen "GDPR").

Tento manuál si neklade za cíl přinést vyčerpávající informaci týkající se implementace GDPR do vnitřních postupů fungování společenství vlastníků, ale spíše má sloužit jako základní přehled jím stanovených povinností, kterým by statutární orgány společenství vlastníků měly při zpracování osobních údajů věnovat větší pozornost.

Co je GDPR a jak se projeví ve vztahu ke společenstvím vlastníků?

GDPR je nařízením Evropského parlamentu a Rady (EU), tedy přímo použitelným předpisem Evropské unie, které nabude účinnosti dne 25. 5. 2018, a které spolu se zákonem o zpracování osobních údajů (jehož návrh se v současné době nachází v legislativním procesu) bude tvořit základní právní rámec pro zpracování osobních údajů. Zmíněné právní předpisy tak nahradí dosavadní právní úpravu, kterou v České republice představoval zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen "zákon o ochraně osobních údajů" nebo "ZOOÚ").

S ohledem na brzké nabytí účinnosti výše popsané právní úpravy je nezbytné, aby subjekty, které zpracovávají osobní údaje, zkontrolovaly své procesy při zpracování osobních údajů a přizpůsobily je novým (nebo spíše podrobnějším) pravidlům v této oblasti.

Společenství vlastníků, jakožto právnická osoba založená za účelem zajišťování správy domu a pozemku, při své činnosti zpracovává osobní údaje subjektů údajů (zejména svých členů, tedy vlastníků bytových a nebytových jednotek v domě, členů jejich domácností, nájemců, podnájemců, příp. dalších osob, které se v domě zdržují), a vystupuje ve vztahu k těmto subjektům údajů jako správce osobních údajů.

I přes skutečnost, že GDPR vychází především z principu kontinuity právní úpravy ochrany osobních údajů, přináší pro správce některé nové povinnosti, jiné povinnosti upřesňuje, či je doplňuje. Za nedodržení povinností správců a zpracovatelů pak hrozí dle GDPR poměrně citelné sankce. Z těchto důvodu je nezbytné, aby společenství vlastníků provedlo ještě před nabytím účinnosti GDPR a souvisejících předpisů vnitřní audit, tedy posouzení a vyhodnocení stávajících procesů zpracování osobních údajů subjektů údajů, přizpůsobilo tyto procesy nové právní úpravě a zajistilo dodržování zmíněných právních předpisů do budoucna.

Níže tedy uvádíme přehled povinností statutárních orgánů společenství vlastníků ve vztahu k GDPR a souvisejícím předpisům na poli ochrany osobních údajů.

Povinnosti společenství vlastníků před nabytím účinnosti GDPR

Statutární orgán společenství vlastníků by měl před nabytím účinnosti GDPR a souvisejících předpisů provést vnitřní audit, tedy podrobnější analýzu, týkající se aktuálního stavu zpracování osobních údajů tímto společenstvím.

Ve vztahu ke zpracovávaným osobním údajům je nutné prověřit zejména:

a) které osobní údaje subjektů údajů společenství vlastníků zpracovává,

b) na základě kterého zákonného důvodu společenství tyto osobní údaje zpracovává (nezbytnost pro plnění právní povinnosti, oprávněný zájem, plnění smluvní povinnosti apod.),

c) zda společenství nezpracovává některé osobní údaje nad rámec zákona (tedy ověření, zda je zpracování některých osobních údajů pro společenství vlastníků nezbytné, např. zpracování rodných čísel),

d) zda společenství zpracovává některé z osobních údajů ze zákonného důvodu spočívajícího v udělení souhlasu subjektem údajů.

Nadbytečné osobní údaje

Pokud společenství vlastníků dospěje k závěru, že zpracovává víc osobních údajů než je nezbytné pro naplňování účelu správy domu a pozemku, zajistí náležitý výmaz nadbytečných osobních údajů, anebo pokud bude trvat na zpracovávání takových osobních údajů, získá souhlas subjektů údajů.

Souhlas subjektu údajů

V případě, že společenství vlastníků zpracovává některé osobní údaje na základě souhlasu subjektu údajů (např. rodná čísla), společenství vlastníků je povinno prozkoumat poskytnuté souhlasy a zjistit, zda mají tyto souhlasy veškeré náležitosti vyžadované GDPR. Souhlasy subjektů údajů by měly být uděleny písemně, a to s ohledem na povinnost správce osobních údajů doložit, že subjekt údajů souhlas udělil, nejlépe tedy ve formě prohlášení, které bude odlišitelné od jiných skutečností (pokud bude souhlas součástí jiného dokumentu), srozumitelné a snadno přístupné (za použití jasných a jednoduchých jazykových prostředků). Statutární orgán společenství musí počítat i s tím, že subjekt údajů může svůj souhlas kdykoliv vzít zpět.

Zabezpečení osobních údajů

Po zjištění, které osobní údaje a na základě čeho společenství vlastníků, jakožto správce osobních údajů, tyto údaje zpracovává, je nezbytné se zaměřit na jejich zabezpečení, příp. i posouzení vlivu na ochranu osobních údajů1, tedy vyhodnocení zamýšlených operací zpracování na ochranu osobních údajů.

Statutární orgán společenství by měl posoudit, zda stávající zabezpečení osobních údajů je v souladu s povinnostmi stanovenými GDPR. Statutární orgán společenství by se měl v této souvislosti zaměřit na tyto oblasti:

a) které osoby mají přístup ke zpracovávaným osobním údajům,

b) kde jsou osobní údaje uloženy (jak papírově, tak i elektronicky),

c) jakým způsobem je zamezeno přístupu třetích osob k těmto osobním údajům (šifrování, zaheslování, anonymizace),

d) zda a jak společenství vlastníků osobní údaje člena tohoto

Nahrávám...
Nahrávám...