​Šanony, seznamy členů, přeposílání informací. Jak bude vypadat GDPR v praxi SVJ?

Nová pravidla pro uchovávání a práci s osobními údaji, známá pod zkratkou GDPR, jsou zmiňována a rozebírána v řadě článků. Jak to ale bude fungovat v běžné praxi výboru a členů SVJ? Okolobytu.cz se společně s právníkem Janem Eisenreichem zaměřilo na některé typické situace.

Pojďme se nejprve podívat na povinnosti, které v nové situaci bude muset plnit výbor SVJ. Jakou změnu to v jeho práci bude znamenat?

Nařízení především přináší celou řadu práv fyzickým osobám, jejichž osobní údaje jsou sbírány a uchovávány. SVJ zde stojí na protější straně jako subjekt, který osobní údaje zpracovává.

U SVJ je velmi dobré to, že pro spoustu údajů, které dnes běžně zpracovávají, mají zákonnou licenci. Čili přímo NOZ jim ukládá povinnost vést seznam členů. Na zpracování těchto údajů nemusí mít žádný souhlas, je to naopak jejich zákonná povinnost.

Zde platí předpoklad, pokud někdo nový koupí v SVJ byt, automaticky je dovozeno, že přistupuje na schválená pravidla v rámci stanov, případně zápisů ze shromáždění a tedy i s odsouhlaseným rozsahem zpracovávání svých osobních údajů.

 

Jaké informace tedy může SVJ v rámci své zákonné povinnosti zpracovávat? Jedná se pouze o adresu? Například na telefonní číslo nebo bankovní spojení by už měl být písemný souhlas?

Jak jsem se již zmínil, na základní údaje má SVJ zákonnou licenci. Dále může zpracovávat i některé jiné údaje, které jsou nezbytné pro práci výboru SVJ. Týkající se účtů, platební morálky, rozúčtování, plných mocí, kde jsou navíc uváděny osobní údaje někoho jiného. V těchto případech není nutné mít k těmto údajů zvláště vyslovený souhlas.

 

Mnoho SVJ eviduje i údaje o dalších osobách – členech domácnosti, případně nájemnících. Má i na toto právo?

Vlastník bytu má povinnost oznámit počet osob, které budou mít v bytě domácnost, stejně tak informovat o změnách těchto počtů. Dále je potřeba se podívat do stanov, které v rámci zvláštních kapitol velmi často upravují právě rozsah informací pro seznamy členů. Pokud rozsah poskytovaných údajů je ve stanovách konkrétně definován (jméno, adresa, telefonní číslo, bankovní spojení…), domnívám se, že už tím, že vlastníci, kteří stanovy odhlasovali a je o tom v rámci usnesení ze shromáždění vystaven řádný zápis, s tím vyslovili souhlas. Tam už není nic dalšího potřeba znovu potvrzovat.

 

Představme si konkrétní situaci, kdy mají v kanceláři kolem sebe řadu šanonů s vyúčtováním služeb, plnými mocemi, seznamy členů s plným kontaktem a číslem účtu. Musí být tyto písemnosti v místnosti nějak speciálně zabezpečené? Případně musí být určena osoby, které k nim budou mít přístup?

To není potřeba. Nařízení neupravuje fyzické nakládání se šanony a dokumenty, ale spíše nakládání s informacemi, které jsou v nich obsažené. Pokud jde ale o druhou věc, tedy osoby, které mají k údajům přístup, tak jejich počet a určení by mělo být vymezeno v interním předpisu pro nakládání s osobními údaji, což je nový dokument, který by měly SVJ podle nařízení vydat.

Čtěte také:  Jakými triky vás takzvaní energetičtí šmejdi mohou lákat k podpisu nevýhodné smlouvy?

 

Jak se GDPR dotkne mailové pošty?

Ani internetovou komunikaci GDPR samostatně neřeší, a i zde platí obecná pravidla pro nakládání s osobními údaji, jak jsem o nich již hovořil. Ideální ale je, aby členové výboru komunikovali z jednoho e-mailu, popřípadě z oficiálních e-mailů SVJ a ne ze svých soukromých e-mailů. Poté nebudou mít přehled, na jakých všech e-mailech osobní údaje schraňují.

 

S ochranou osobních údajů souvisí také kamerový systém, který je v mnoha domech instalován. Vyžaduje i zde GDPR nějakou změnu?

To je jedna z důležitých oblastí. SVJ, která mají kamerový systém, budou zřejmě pro splnění podmínek GDPR potřebovat nové souhlasy s jeho provozováním, které by měly být konkrétně formulované. Tedy nikoliv pouze souhlas s provozem, ale musí zde být specifikováno, jaké prostory jsou zabírány, jak jsou záznamy ukládány, kdo k nim má přístup a podobně. Pozor, udělení souhlasů musí být SVJ schopno kdykoliv doložit.

 

Množí se případy, kdy jsou SVJ oslovována s nabídkou zajišťování funkce pověřenec pro GDPR. Je to pro SVJ povinnost?

Ze zákona to není nutné a u SVJ pro to není ani zásadní důvod. Na druhou stranu, pokud by na tom některé SVJ trvalo, mohou tuto funkci zřídit, případně si někoho najmout. Stále s otazníkem ale zůstává náplň jeho práce, za kterou by jistě pobíral odměnu. Zpracování osobních údajů probíhá stále podle stejných šablon. Pověřenec nepřebírá ani odpovědnost, takže ani to není důvod, proč by si jej měla SVJ najímat. Pověřenec je nutný tam, kde to přímo nařízení vyžaduje, případně tam, kde je pro velký objem osobních údajů a měnící se situace potřeba posuzování relevantnosti. To jsou například velké společnosti typu Facebook nebo Google. SVJ mohou pro jednorázové konzultace využít právní servis nebo se obrátit na svého správce a jeho právní oddělení.

 

Podívejme se ještě na situaci s GDPR z pohledu osoby, jejíž osobní údaje jsou v SVJ zpracovávány. Má právo chtít doložit, případně vidět, jak jsou její osobní údaje ošetřeny?

Ano. A ze strany výboru SVJ je povinnost mu vyhovět.

 

GDPR také hovoří o možnosti výmazu osobních údajů – právo být zapomenut. Kdy a jak lze požadovat výmaz osobních údajů? Typickou situací asi bude prodej bytu a odchod z SVJ.

Čtěte také:  Odpovědnost statutárního orgánu

Bude záležet na tom, v jakém vztahu k SVJ zůstáváte. Nedlužíte? Máte vše vypořádáno? Pokud je vše v pořádku, můžete o vymazání svých osobních údajů požádat. V praxi to však bude znamenat pouze vaše přesunutí do jiné složky. SVJ musí plnit podmínky zákonné archivace, má povinnost uchovávat pro daňové účely a podobně. Po uplynutí této lhůty by veškeré písemnosti a záznamy s vašimi údaji měly být skartovány.

 

Přijde-li kontrola na dodržování GDPR. Jak to bude probíhat?

To by spíše byla otázka pro kontrolující. Podstatou kontroly bude doložení, jak je s osobními údaji nakládáno.

Například v tomto šanonu jsou tyto osobní údaje, v tamtom šanonu jsou neplatiči, zápisy ze shromáždění a podobně. Pro tento účel by měl výbor SVJ mít vypracovaný vnitřní předpis SVJ o nakládání s osobními údaji. Pro účely SVJ není potřeba sepisovat román na dvacet stránek. Stačí jednoduchý dokument, jakýsi manuál s popisem činností, jak je s osobními údaji nakládáno. Když do něho nahlédnete, musí být z něho jasné – vedu o členech ty a ty údaje, poskytuju je těm a těm subjektům, správcům, účetním, advokátům, mám je v těchto složkách. Tyto informace musíte být schopni doložit jak členu SVJ, který se přijde na ochranu svých osobních údajů dotázat, tak i pro případ kontroly.

 

Pojďme si na závěr tedy shrnout, co by nyní měl v rámci GDPR výbor SVJ udělat?

Pro výkon funkce členů výboru SVJ nepřináší GDPR prakticky žádné převratné změny. Je nutné pouze vědět, s jakými osobními informacemi pracujete a kde jsou obsažené, případně uložené.

Nový souhlas se zpracováním osobních údajů je nyní zbytečné nechávat podepisovat.

Myslete ale i na podmínky skartace, GDPR vyžaduje, abyste také věděli, do kdy máte právo osobní údaje schraňovat. Do svého manuálu GDPR proto uveďte i informace o termínech a formách skartace, případně výmazu.

Velký pozor je potřeba dát na to, když někdo ze členů bude požadovat výpis ze seznamu členů, na což má právo. Dbejte, aby poskytnuté informace nebyly nad rozsah, definovaný v NOZ – poskytnout můžete pouze jméno, příjmení, bydliště. Dejte pozor, aby nedostal od SVJ žádné údaje nad rámec.

V souvislosti s GDPR může být potřeba upravit i některé smlouvy s dodavateli služeb, aby jednoznačně deklarovala soulad s novými podmínkami ochrany osobních údajů. V praxi se většinou nic nemění a pak se jedná jen o formální doplnění. Pokud to podmínky GDPR vyžadují, je nutné smlouvy upravit.

Poznámka redakce: Nová pravidla pro uchovávání a práci s osobními údaji, známá pod zkratkou GDPR, vstoupí v platnost již 25. 5. 2018.

0 reakcí

Reagovat

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

*

Přihlásit s uživatelskými údaji

Zapomněli jste heslo?