Od 25.5.2018 je v České republice účinné nařízení EU o ochraně osobních údajů, tzv. GDPR. I když hlavní cíl tohoto nařízení je chránit osobní údaje občanů členských zemí EU před systematickým, automatizovaným a rozsáhlým sledováním, vztahuje se toto nařízení i na nepodnikatelské subjekty a mimo jiné i na společenství vlastníků jednotek (SVJ).
Každé SVJ nakládá s osobními údaji, a proto jsou členové výboru či předseda SVJ povinni zajistit implementaci GDPR, aby se tak vyhnuli případné odpovědnosti za škodu způsobenou SVJ při výkonu své funkce. Za takovou škodu by přitom mohlo být považováno i uložené sankce ze strany Úřadu pro ochranu osobních údajů.
SVJ zpracovává převážně osobní údaje vlastníků bytů a nebytových prostor v domě, tedy hlavně údaje o svých členech. Vlastníkem bytové nebo nebytové jednotky však může být i právnická osoba. Na ni se ovšem ochrana osobních údajů nevztahuje. GDPR totiž chrání pouze osobní údaje identifikovaných nebo identifikovatelných fyzických osob. Mimo těchto osob však SVJ zpravidla nakládá i s osobními údaji uživatelů bytů, liší-li se od vlastníků (např. nájemci), a externích dodavatelů z řad fyzických osob. Nejčastěji jsou proto předmětem zpracování ze strany společenství vlastníků jméno, příjmení, adresa trvalého pobytu, doručovací adresa, číslo bytu a číslo bankovního účtu. Je povinností statutárního orgánu SVJ zmapovat, s jakými osobními údaji SVJ nakládá.
Takto bohužel postupovat nelze. Pro každý konkrétní účel zpracování osobních údajů je třeba identifkovat příslušný právní důvod. Mimo souhlasu se zpracováním mezi tyto právní důvody dále zejména patří plnění smlouvy, plnění zákonné povinnosti a ochrana oprávněných zájmů SVJ nebo třetí strany kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody osob, jejichž údaje SVJ zpracovává.
Hlavní nevýhodou souhlasu je, že jej může subjekt údajů kdykoli odvolat. Odvolání souhlasu musí proto vést k výmazu osobních údajů. Pokud by SVJ zpracovávalo veškeré osobní údaje pouze na základě souhlasu a ten by byl odvolán, muselo dotčené údaje zlikvidovat. Nemohlo by tak provést vůči danému vlastníkovi rozúčtování příspěvků ani vyúčtování záloh, evidovat jeho platby do fondu oprav ani mu zasílat pozvánky na shromáždění vlastníků. Souhlas se zpracováním osobních údajů se proto v případě SVJ uplatní výjimečně. Důvodem pro zpracování osobních údajů bude u společenství vlastníků převážně plnění zákonných povinností. Bude se jednat o povinnost vést účetnictví, vést seznam členů SVJ - vlastníků bytů, evidovat uhrazené a neuhrazené příspěvky a zálohy, jakož i provádět každoroční vyúčtování a rozúčtování, vykonávat správu společných částí domu a správu pozemku pod domem, organizovat zasedání orgánů SVJ, včetně zasílání pozvánek na shromáždění vlastníků ad.V případě fyzických osob, které SVJ dodávají výrobky nebo služby, pak bude zpracování jejich osobních údajů probíhat primárně z důvodu plnění smlouvy, kterou s nimi SVJ uzavřelo, popř. k plnění povinností dle zákona o účetnictví.Zjednodušeně řečeno by si každé SVJ mělo vyhodnotit, proč daný osobní údaj zpracovává, přičemž není vyloučeno, aby jeden údaj SVJ zpracovávalo pro více konkrétních účelů.
GDPR je založeno na principu zpracování osobních údajů pouze v nezbytné rozsahu. Každý statutární orgán si proto musí posoudit, proč konkrétní osobní údaj potřebuje využívat pro činnost společenství vlastníků jednotek.Rodná čísla vlastníků bytů SVJ zpravidla ke své činnosti nepotřebují a ani jejich využití SVJ neukládá žádný právní předpis, třebaže lze rodná čísla získat z veřejně dostupného katastru nemovitostí. Praktickou výjimkou pro mnoho početných SVJ by mohlo být automatické hlídání insolvenčního rejstříku. Překážkou zde je ovšem zákon o evidenci obyvatel, který k využití rodného čísla vyžaduje souhlas.Podobná je situace ohledně využívání emailových adres a telefonních čísel vlastníků bytů. SVJ nemůže vlastníky nutit, aby mu tyto údaje poskytly. Na druhé straně zjevně existuje potřeba vlastníky v případě mimořádných událostí operativně kontaktovat, např. prasklé potrubí, únik plynu, vloupání ad. Tyto údaje proto SVJ může zpracovávat buď na základě souhlasu od každého vlastníka, anebo na základě oprávněného zájmu za předpokladu, že vlastníci SVJ emailový kontakt nebo telefonní číslo dobrovolně poskytnou. Za takový oprávněný zájem na straně SVJ lze považovat právě předcházení riziku vzniku škody a operativní řešení mimořádných událostí s vlastníky. Existenci oprávněného zájmu je ovšem nutné posuzovat pro každý případ individuálně a poměřovat jej oproti zájmu vlastníků na ochranu jejich soukromí.
Pokud jste zmapovali základní nakládání s osobními údaji ve Vašem SVJ, je třeba zaměřit se dále na to, komu osobní údaje SVJ zpřístupňuje, jak dlouho je uchovává a jak je má zabezpečené proti úniku nebo přístupu neoprávněných osob.Většina SVJ sdílí osobní údaje s různými fyzickými a právnickým osobami. Nejčastěji pak v souvislosti s vedením účetnictví u externí účetní firmy, přípravou ročního vyúčtování a rozúčtování příspěvků a záloh, přípravou vyúčtování dodávek energií, správou domu, kterou pro SVJ vykonává externí správce ad. Tyto osoby s osobními údaji poskytnutými SVJ nakládají pro potřeby SVJ a podle pokynů SVJ, a proto na ně musí SVJ pohlížet jako na zpracovatele. SVJ proto musí mít s každým takovým zpracovatelem uzavřenu smlouvu o zpracování osobních údajů v rozsahu požadovaném GDPR. Uchovává-li SVJ dokumenty v elektronické podobě na serveru provozovaném třetí osobou anebo v cloudu (např. Onedrive, Google Drive, Dropbox ad.), je i takový poskytovatel z pohledu GDPR považován za zpracovatele osobních údajů a SVJ s ním musí uzavřít smlouvu o zpracování osobních údajů. Toto se vztahuje i na používání emailu, neboť i jeho prostřednictvím dochází k přenosu dokumentů s osobními údaji.
GDPR zavádí pravidlo, že osobní údaje mohou být zpracovávány pouze po dobu, po kterou je SVJ potřebuje pro daný účel. Bohužel, neexistuje jedna universální lhůta pro likvidaci osobních údajů. Jinak bude SVJ přistupovat k účetním záznamům a jinak k zápisům ze shromáždění.
Skříň certifikovaná pro GDPR je nesmysl a ani GDPR s žádnou takovou certifikací nepočítá. K aplikaci GDPR stačí přistupovat selským rozumem a přiměřeně zabezpečit osobní údaje, které SVJ spravuje. Jsou-li tyto osobní údaje obsaženy v listinné podobě, obvykle postačí zamezit neoprávněným osobám k přístupu k nim. Např. umístit je do jakékoli uzamykatelné skříně, od které budou mít klíče pouze členové výboru. V případě elektronických dokumentů uchovávaných v cloudu je situace obtížnější. SVJ by mělo v takovém případě v prvé řadě zhodnotit, zda lze poskytovatele webhostingu považovat za důvěryhodného a následně zavést přiměřená opatření k ochraně osobních údajů. Bude se jednat především o šifrování dokumentů, přístup chráněný heslem, odlišná přístupová práva pro různé uživatelské účty (jiný přístup by měl mít člen výboru, jiný přístup externí účetní firma) apod.
To Vás zklameme. GDPR sice odstranilo povinnost registrace u Úřadu pro ochranu osobních údajů, ale zavedlo povinnost vést záznamy o zpracování osobních údajů. Nemusíte se ale děsit. V záznamech o zpracování by mělo být v zásadě transparentně popsáno, s jakými osobními údaji SVJ nakládá, jakým způsobem s nimi nakládá, včetně toho, komu je zpřístupňuje, proč s nimi nakládá a jak jsou osobní údaje zabezpečeny. Záznamy o zpracování jsou interní dokument SVJ, který nemusí být vyvěšen na domovní nástěnce.Dále by SVJ jako správce osobních údajů mělo osobám, jejichž údaje zpracovává, poskytnout základní údaje o takovém zpracování. Jedná se o identifikační a kontaktní údaje SVJ, rozsah zpracovávaných údajů, účel a důvod zpracování, lhůtu pro skartaci a poučení o právech a o možnosti podat stížnost k Úřadu pro ochranu osobních údajů. S informačním memorandem je vhodné členy SVJ seznámit na nejbližším shromáždění. Následně by mělo být informační memorandum vyvěšeno na domovní nástěnce, příp. na internetových stránkách SVJ.
V případě změn je nezbytné jak záznamy o zpracování, tak informační memorandum pravidelně aktualizovat.
Náležitá dokumentace je z pohledu GDPR základ. Tím to ovšem nekončí. Dokumentaci je třeba implementovat do vnitřního chodu SVJ a postupovat podle ní. To znamená pravidelně vyhodnocovat, zda nedošlo ke změně ohledně zpracování osobních údajů a dokumenty pravidelně aktualizovat. Dodržování předpisů na ochranu osobních údajů je kontinuální proces, který se nedá odbýt tím, že si předseda společenství vlastníků stáhne z internetu balíček vzorových dokumentu. SVJ se nevyhne sledování novinek v oblasti ochrany osobních údajů a přizpůsobování interních procesů nové právní úpravě nebo budoucí rozhodovací praxi Úřadu pro ochranu osobních údajů.
Nezoufejte. Na trhu dnes existuje mnoho produktů, které Vám s implementací GDPR pomohou, budou za Vás hlídat novinky v oblasti ochrany osobních údajů a v případě změn právních předpisů automaticky aktualizují dokumentaci, kterou si pak můžete stáhnout. Není to opravdu jen o stažení vzorové dokumentace na internetu.
Máme pro Vás dobrou zprávu. Pokud jste dodržovali dosavadní povinnosti vyplývající ze zákona na ochranu osobních údajů, GDPR by pro Vás nemělo v oblasti provozování kamerového systému přinášet zásadní změny. Naopak, již není nutné registrovat se před spuštěním kamerového systému do registru u Úřadu na ochranu osobních údajů. Nadále pak platí, že ochraně osobních údajů podléhá pouze kamerový systém se záznamem určený k identifikaci osob. Jiné kamerové systémy GDPR nepodléhají (kamerový systém bez záznamu, kamerový systém bez možnosti identifikace konkrétní osoby ze záznamu). Záznam z kamerového systému by neměl být uchováván déle než po několik málo dnů od jeho pořízení.
Článek se zabývá povinnostmi příspěvkových organizací v oblasti whistleblowingu s ohledem na nedávno uplynuvší lhůtu k transpozici směrnice o ochraně oznamovatelů a metodiku o přímém účinku této směrnice vydanou Ministerstvem spravedlnosti ČR. Analyzujeme rovněž okruh adresátů povinností, jak jej navrhuje zatím nepřijatý návrh zákona o ochraně oznamovatelů, a v krátkosti také povinnosti ze zákona a směrnice vyplývající.
Zobrazit víceAčkoli elektronické dokumenty nejsou v podnikatelské praxi něčím novým, nadále se setkáváme s tím, že některé podnikatelské subjekty elektronické dokumenty neuznávají jako originály, a to zejména z důvodu, že k nim nemají důvěru anebo proto, že neví, jak si jejich platnost jednoduše ověřit. Cílem tohoto článku je proto informovat podnikatele o tom, jakou formu má mít elektronický dokument, aby mohl být uznán jako originál, jak si ověřit jeho platnost a zda je možné využívat elektronické dokumenty i v zahraničním obchodním styku.
Zobrazit víceV současném globalizovaném světě se nejen celá Evropa potýká s problémem přílivu padělků z Asie. V tomto článku se tak pokoušíme zmapovat, jaké poskytuje možnosti české a evropské právo v oblasti ochrany práv duševního či průmyslového vlastnictví. Právní možnosti v této oblasti se odvíjí od toho, na jakém území je držitel práva oprávněn uplatňovat své nároky v oblasti porušení práva duševního (průmyslového) vlastnictví.
Zobrazit více