Jaké existují typy zpracovávaných údajů?
Podle teorie existují dva typy zpracovávaných údajů:
- ty, k jejichž zpracování je potřeba souhlas subjektu osobních údajů,
- a ty, k jejichž zpracování tohoto souhlasu třeba není.
SVJ by se obecně mělo snažit nezpracovávat takové údaje, k nimž souhlas subjektu potřebuje. Tato procedura je administrativně náročná (subjekt ochrany osobních údajů se musí poučit a vyjádřit souhlas), ale hlavně, subjekt má právo souhlas kdykoli odvolat, což může způsobit dodatečné nepříjemnosti. Existují navíc i případy, kdy je souhlas subjektu zpracování osobních údajů zcela irelevantní a SVJ legálně údaje zpracovávat nemůže, přestože si vyžádalo souhlas – pozor např. při instalaci kamerových systémů.
Za jakých okolností není třeba souhlas?
Ke zpracování většiny osobních údajů nutných k běžnému provozu SVJ souhlas subjektu nepotřebuje. Oporu pro to má přímo v čl.6 odst. 1 GDPR. Nejčastěji je to proto, že zpracování osobních údajů je nutné pro splnění právní povinnosti, která se na SVJ vztahuje (čl.6, odst.1 písm. c GDPR). Právní povinnosti přiděluje SVJ zejména občanský zákoník. Základní je hned v §1179 odst.1, kdy po osobě odpovědné za správu domu požaduje vedení seznamu vlastníků jednotek a osob, kterým vlastník přenechal byt k užívání. Rozsah potřebných údajů zákon také stanovuje, je to zejména: jméno, bydliště a datum narození, u podnikajících fyzických osob také IČO. Bez dalšího může SVJ také zpracovávat tyto údaje o společném zástupci manželů či spoluvlastníků.
Na tomto místě je nutné upozornit, že SVJ sice může tyto údaje zpracovávat, v žádném případě je ale nemůže zveřejňovat na nástěnce. Tabulka „kontakty na sousedy“ se sice může zdát praktická, ale na nástěnce k ní mají přístup neoprávněné osoby jako například pošťák nebo opraváři. Zveřejnění takové tabulky na internetových stránkách SVJ také není dobrým nápadem, i když na nich za určitých okolností (přístup omezený heslem) určité osobní údaje zveřejnit lze. Nástěnka by měla být určena pouze pro zveřejňování obecných informací typu odstávka teplé vody, zveřejňování jakýchkoli osobních údajů by na ní mělo být tabu.
Na jaké další údaje se tato úprava vztahuje?
Stejné údaje, a navíc ještě navíc údaje o bankovním spojení může SVJ zpracovávat v rámci vyhotovování vyúčtování (protože vyhotovit vyúčtování je také jeho zákonná povinnost). Při předávání je třeba dbát na to, aby každý z vlastníků jednotek dostal pouze své vyúčtování a také, aby byly náležitě upraveny právní vztahy týkající se ochrany osobních údajů s osobou, která vyúčtování provádí (více v článku Ochrana dat vlastníků jednotek při využívání externích dodavatelů). Stejně by měla být ošetřena ochrana údajů i s osobou, která obstarává podklady pro toto vyúčtování (např. osoba provádějící odečet měřidel).
Ze zákona má SVJ právo zpracovávat i další osobní údaje. Například ty o statutárních a volených orgánech – svéprávnost a bezúhonnost člena voleného orgánu, místo a okres jeho narození, rodné příjmení a číslo občanského průkazu. Číslo občanského průkazu bude SVJ legálně zpracovávat vždy, když bude k nějakému jeho úkonu třeba listina s úředně ověřeným podpisem (v tomto případě čestné prohlášení při zápisu změny do rejstříku).
Nezapomeňte, že osobní údaje se nachází i na zápisech (a přílohách) ze shromáždění – například údaje o přítomnosti či nepřítomnosti jednotlivých členů nebo podpisy na prezenční listině. I na jejich zpracování má SVJ zákonný nárok, i s nimi ale musí náležitě zacházet a chránit je.
Občanský zákoník umožňuje, aby si SVJ zakotvilo do stanov i jiné osobní údaje, které bude evidovat. To důrazně doporučujeme v případě telefonního čísla a e-mailu. I pak je ale nutné tyto údaje náležitě chránit. Není tedy vhodné například posílat informace členům SVJ jako hromadný e-mail (použijte skrytou kopii).
Může SVJ předávat osobní údaje někomu dalšímu?
SVJ může bez souhlasu subjektu ochrany osobních údajů data předávat pouze třem subjektům:
policejním orgánům, soudu (resp. soudnímu exekutorovi) a členům SVJ.
Povinnost sdělit členovi SVJ informace o jiném členovi je přímo zakotvená v občanském zákoníku. I tak by ale člen SVJ požadující informace měl být poučen o ochraně osobních údajů jiného člena a pokud osobní údaje předáváte telefonicky, je dobré ověřit totožnost volajícího – např. díky internímu heslu.
V kterých dalších situacích SVJ nepotřebuje souhlas se zpracováním osobních údajů?
Bez souhlasu subjektu ochrany osobních údajů může SVJ zpracovávat údaje i v dalších dvou případech:
- pokud jsou údaje nezbytné pro splnění smlouvy nebo za účelem přijetí opatření před uzavřením smlouvy,
- a pokud je zpracování nezbytné pro účely oprávněných zájmů SVJ nebo třetích stran.
Prvním případě je subjekt ochrany osobních údajů velmi často fyzická osoba, která zastupuje právnickou osobu. To může být například odpovědný technický pracovník, na něhož bude účelné mít telefonní číslo. Stále zde ale platí zásada minimalizace – u takové osoby zpravidla nepotřebujete znát ani její bydliště ani datum narození.
Oprávněné zájmy SVJ je třeba posuzovat velmi pečlivě a je třeba dbát na to, aby nebyly v rozporu se základními lidskými právy a svobodami. To se může zdát velmi abstraktní, ale v praxi SVJ se s tím často setkáme např. u vstupních čipových systémů nebo kamerových systémů, kde je třeba právě toto posuzovat. Více se dočtete v samostatném článku o kamerových systémech.
Zdroj foto: Pixabay