Ochrana dat vlastníků jednotek při využívání externích dodavatelů

Ochrana osobních údajů je často interpretována jako zbytečná a otravná administrativa, kterou po nás vyžaduje Evropská unie a SVJ zbytečně zatěžuje. To je ale zbytečně negativní pohled. Ochrana soukromí je jednou z hodnot, kterou česká ústava chránila dávno před naším vstupem do Evropské unie. A administrativní zátěž pro SVJ lze chytře minimalizovat.

Ochrana dat vlastníků jednotek při využívání externích dodavatelů

SVJ jako správce osobních údajů

V právních vztazích týkajících se ochrany osobních údajů vystupuje SVJ jako správce osobních údajů. To zjednodušeně znamená, že je na něj přenesena veškerá odpovědnost za zpracování osobních údajů, zatímco vlastník jednotky je tzv. subjektem zpracování osobních údajů. Tedy, opět velmi zjednodušeně, tím, kdo má práva, jež je třeba chránit.

Zatímco dříve bylo třeba, aby se SVJ registrovalo u Úřadu pro ochranu osobních údajů a mělo i povinnost předem oznamovat některé údaje, nyní je třeba „být v pohotovosti“. To znamená, že SVJ s Úřadem nemusí nijak aktivně kooperovat, ale musí být v každém okamžiku své existence připraveno doložit jaká opatření ve vztahu k ochraně osobních údajů přijalo. A nejen to: je třeba, aby přijatá opatření byla aktuální, stejně jako důvody, proč vlastně ke zpracování osobních údajů dochází. Proto důrazně doporučujeme zařadit pravidelně na program SVJ jednání týkající zpracování osobních údajů.

SVJ a externí dodavatelé

Jako správce osobních údajů má SVJ řadu povinností. Většině SVJ se v praxi daří dodržovat tzv. zásadu minimalizace údajů, podle které by zpracování osobních údajů mělo být přiměřené, relevantní a omezené jen na nezbytný rozsah ve vztahu k účelu, pro který jsou data zpracovávána. Ale život si ulehčují například i tím, že se snaží vyvarovat zpracování osobních údajů, u kterého je vysoké riziko poškození práv a svobod fyzických osob nebo se snaží zpracovávat pouze takové údaje, k jejichž zpracování nepotřebuje souhlas subjektu zpracování (konkrétně v čl.6 odst.1 GDPR).
¨ Velmi často ale SVJ zapomínají na své povinnosti, když předávají osobní údaje dalším subjektům. Do této situace se paradoxně dostávají často – kdykoli najmou nějakého externího dodavatele, jež k výkonu své činnosti potřebuje osobní údaje (např. externí účetní, externí správce domu aj.). V těchto případech SVJ zůstává nadále správcem osobních údajů a tento externí dodavatel se stává tzv. zpracovatelem osobních údajů.

Za výběr zpracovatele nese odpovědnost SVJ. A musí tedy dbát na to, aby externí dodavatel byl schopen zaručit, že má technické a organizační možnosti k tomu, aby zabezpečil dodržování nařízení GDPR a chránil tak data (a s nimi samozřejmě i práva dotčených subjektů), která mu jsou poskytnuta. Nároky na zpracovatele jsou podle GDPR vysoké, platí, že se musí držet účelu zpracování, všemi zásadami platícími pro zpracování, je povinen vést záznamy o zpracování i přijmout opatření k zabezpečení zpracování osobních údajů. Podstatným rozdílem mezi správcem a zpracovatelem je, že na rozdíl od správce (tedy SVJ) nezpracovává zpracovatel osobní údaje pro sebe.

Řetězení zpracovatelů osobních údajů

Vzhledem k výše uvedené odpovědnosti SVJ za výběr zpracovatele je nutné zajistit, aby zpracovatel nenechával zpracovávat osobní údaje další zpracovatele bez souhlasu SVJ, a tedy nedocházelo k tzv. řetězení zpracovatelů bez vědomí SVJ. SVJ nemusí ale vyslovovat souhlas s každým konkrétním subdodavatelem, pokud si to výslovně nepřeje, stačí, když dá obecný písemný souhlas s řetězením zpracovatelů. Přesto ale vždy musí být informováno o tom, kdo data zpracovává jako subdodavatel a musí být možnost k tomuto vyslovit námitku. I přes to ale vždy zůstává odpovědnost za dodržování povinností dle GDPR na prvotním zpracovateli.

Písemná smlouva se zpracovatelem osobních údajů

Mezi SVJ a zpracovatelem osobních údajů musí být vždy uzavřena smlouva. Ta může být buď samostatná nebo může být daná problematika upravena v rámci smlouvy, kterou SVJ a externí dodavatel uzavírají. Důležité ale je, aby znění upravovalo minimálně ujednání navržená v článku 28 odst.3 GDPR. To jsou:

  • zpracovatel zpracovává údaje na základě pokynů od správce,
  • osoby, které u zpracovatele údaje zpracovávají, musí být zavázány povinností mlčenlivosti,
  • zpracovatel přijme opatření podle čl. 32 (týká se zabezpečení zpracovávání, zpracovatel přijímá minimálně v rozsahu, jaký mělo SVJ),
  • zpracovatel se zavazuje dodržet podmínky pro řetězení zpracovatelů (upraveno v čl.28 odst. 2 a 4),
  • zpracovatel se zavazuje zohledňovat povahu zpracování (týká se organizačních a technických opatření),
  • zpracovatel napomáhá správci při zajišťování povinností podle čl.32 až čl.36 (týká se zabezpečení zpracování),
  • po ukončení spolupráce zpracovatel podle pokynů správce údaje buď vymaže nebo je vrátí a vymaže existující kopie (pokud to není proti jinému právnímu předpisu),
  • zpracovatel poskytne správci součinnost při inspekcích, auditech a podobných kontrolách prováděných v souvislosti s kontrolou povinností souvisejících s ochranou osobních údajů,
  • zpracovatel upozorní správce, když si myslí, že jeho pokyn porušuje právní předpisy.

Zdroj foto: Pixabay


Mohlo by vás zajímat