Družba

stavební bytové družstvo

· správa objektů · vedení účetnictví
· zajištění provozu bytového fondu
· poradenství

Otázky a odpovědi GDPR

Povinnosti orgánu SVJ jako správce domu?

Orgán SVJ je správcem domu a zákon jim přímo ukládá povinnost vést seznam členů. Zde tedy platí předpoklad, pokud někdo nový koupí v SVJ byt, automaticky je dovozeno, že přistupuje na schválená pravidla v rámci stanov, případně zápisů ze shromáždění společenství vlastníků a tedy i s odsouhlaseným rozsahem zpracování svých osobních údajů.

Jaké osobní údaje může tedy SVJ v rámci své zákonné povinnosti zpracovávat?

Vlastník bytu má povinnost oznámit počet osob, které budou mít v bytě domácnost, stejně tak informovat o změnách těchto počtů. Dále zpracovává nezbytné údaje pro práci výboru SVJ jako - jméno, adresu, plné moci (na které jsou evidovány i osobní údaje i cizích osob mimo společenství), věci týkající se účtu - platební morálku a rozúčtování. Stanovy také mohou upravovat rozsah poskytování osobních údajů rozšířený o telefonní číslo, e-mailovou adresu a bankovní spojení. Vlastníci, kteří stanovy odhlasovali a je to v rámci usnesení ze shromáždění společenství vlastníků, s tím vyslovili souhlas.

Vytvořili jste formulář – Souhlas se zpracováním osobních údajů, ale někteří z vlastníků ji nechtějí podepsat.

Společenství souhlas jednotlivých členů nepotřebuje. Zpracování osobních údajů se opírá o jiný zákonný důvod zpracování osobních údajů, nejčastěji, které je nezbytné pro plnění právní povinnosti správce, dále může jít o zpracování, které je nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů (dle čl. 6 odst. 1 písm. b) GDPR), či takové zpracování je nezbytné pro účely oprávněných zájmů příslušného správce (dle čl. 6 odst. 1 písm. f) GDPR), případně kombinaci těchto zákonných důvodů zpracování (jedná se např. o: jméno, příjmení, číslo bytové jednotky, doručovací adresa, apod.).

Šanony plné dokumentů s osobními údaji jako vyúčtování služeb, plných mocí, seznamy členů s kontakty, je třeba je nějak speciálně zabezpečit, případně určit osoby, které k nim budou mít přístup?
Přijetí technických a organizačních opatření k uložení osobních údajů a přístupu k nim

Nařízení neupravuje fyzické nakládání se šanony či dokumenty, ale spíše s jejich informacemi, které jsou v nich obsaženy. Druhou věcí však jsou osoby, které k nim mají přístup a jejich počet. Mel by být vytvořen tzv. interní předpis pro nakládání s osobními údaji - nový dokument, který by měly SVJ dle nařízení (směrnici) vydat.
Povinnost přijmout taková  technická a organizační opatření, která zajistí zabezpečení  osobních údajů v souladu s GDPR znamená, že osobní údaje je potřeba zabezpečit tak, aby k nim nemohl mít přístup nikdo „nepovolaný“.  V optimálním případě má SV, BD k dispozici kancelář, od níž mají klíče pouze členové statutárního orgánu.  Tím je vše vyřešeno, do takové kanceláře už nemusíte pořizovat žádné speciální uzamykatelné skříně ani trezory, nic takového nařízení GDPR neukládá.  Častější jsou ale situace, kdy SV, BD nemá vlastní kancelář a  dokumentace v listinné i v elektronické podobě  je uložena v domácnosti některého člena statutárního orgánu. V takovém případě by pak měly být listiny určitě uloženy „pod zámkem“ a jsou-li v počítači, pak  počítač by měl být chráněn heslem, pinem apod. známým jen pověřeným osobám, tj. zpravidla členům statutárního orgánu.

A co e-mailová pošta?

GDPR neřeší samostatně komunikaci přes internet, platí zde obecná pravidla, proto doporučujeme členům výboru komunikaci z jednoho e-mailu, popřípadě oficiálních stránek SVJ.
Pokud si zřídíte pro chod svého SV jako správce společenství – výbor společenství jednu emailovou adresu, prosíme o její sdělení, budeme komunikovat výhradně přes tento email, který jako jediný také poskytneme vlastníkům ve vašem domě.

Členové SVJ a jejich práva?

Vlastníci bytů, jejichž údaje jsou zpracovávány, mají právo na doložení, jak jsou jejich osobní údaje ošetřeny. Dále mají právo být zapomenuti (vymazáni) - při prodeji bytu (odchod z SVJ). Vždy však záleží v jakém vztahu k SVJ zůstanou, zda nedluží, vše je vypořádáno atd. V praxi to však bude pouze přesunutí do jiné složky - zákonná archivace (tvořená pro daňové účely a podobně).
GDPR vyžaduje, abyste věděli, do kdy máte právo osobní údaje schraňovat (ostatní musí být skartováno).
SVJ nesmí poskytovat informace členům nad rámec definovaný NOZ.

Kamerový systém a GDPR.

Jde o velmi důležitou oblast u SVJ, která mají kamerový systém, budou zřejmě pro splnění podmínek GDPR potřebovat nové souhlasy s jeho provozováním, které by měly být konkrétně formulované. Tedy nikoliv pouze souhlas s provozem, ale musí zde být specifikováno, jaké prostory jsou zabírány, jak jsou záznamy ukládány, kdo k nim má přístup a podobně.
Nařízení stanoví povinnost správců vést tzv. záznamy o činnostech zpracování (čl. 30 nařízení). Povinnost vést záznamy o činnostech zpracování se nevtahuje na všechny správce, nicméně s ohledem na skutečnost, že SV nezpracovává osobní údaje pouze příležitostně, by se tato povinnost měla nejspíše vztahovat i na společenství vlastníků.  Doporučujeme splnění této povinnost spojit se zpracováním pravidel  (směrnice).
Ve směrnici přesně uvést, co, z jakého důvodu a po jak dlouhou dobu evidujete, jakož i kdo  má k jednotlivým údajům přístup, jak bude zajištěna aktualizace údajů, jak bude řešeno právo  na výmaz údajů, k jejichž vedení už není důvod, úprava postupu při vznesení námitky proti zpracování osobních údajů atd.  Zpracování takové směrnice je poté vhodné i ke kontrole, které budete mít co předložit.

V rámci GDPR existuje právo na výmaz/právo být zapomenut. Co to znamená, když toto právo budete chtít uplatnit?

Bude to znamenat, že veškeré údaje, které správce nebo zpracovatel zpracovává a pro které už pominuly všechny důvody pro to, aby byly zpracovávané, musí být vymazány. V této souvislosti rozeznáváme:
Právo na přístup – fyzická osoba může vyžadovat od kterékoliv instituce přístup k informacím, jaké osobní údaje o něm zpracovává, s kým jsou sdíleny, kde jsou zpracované, jak dlouho se zpracovávají, kdo k nim má přístup apod.
Právo na výmaz – nastává až tehdy, když pominuly zákonné důvody zpracování údajů (např. v pracovněprávní agendě).

Pokud jsou osobní údaje zpracovávané na základě souhlasu a fyzická osoba jej odvolá, tak není důvod, aby se tyto údaje dále zpracovávaly a nevymazaly.