Nejnavštěvovanější odborný web
pro stavebnictví a technická zařízení budov
estav.tvnový videoportál

GDPR a správa bytů – zásady zákonnosti

Podle legislativy je za zapracování osobních údajů nájemce bytu, nebo vlastníka jednotky odpovědný vlastník nemovitosti, příp. vlastník jednotky v domě rozděleném na jednotky v případě, že je byt užíván na základě nájemní smlouvy, nebo společenství vlastníků jednotek.

V návaznosti na úvodní část komentáře, která obsahovala pouze základní informace o dopadu nového Nařízení Evropského parlamentu a rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), které nabývá účinnosti dne 25. května 2018, se v v dalších částech již budeme zabývat dopadem tohoto nového právního předpisu na konkrétní postupy odpovědných subjektů.

Nejprve tedy několik základních pojmů

  1. osobními údaji jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě; zde se oproti současnému stavu nic nemění s tím, že již není přímo definován subjekt údajů – tedy fyzická osoba; podstatné je, že se Nařízení přímo vyslovuje v tom směru, co lze za osobní údaj - určitý identifikátor cápat. Například se uvádí: jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
  2. zpracováním je v kontextu Nařízení jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů;
  3. profilováním – což je nová definice, je jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu;
  4. pseudonymizací je operace = zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě;
  5. evidencí je jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska;
  6. správcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;
  7. zpracovatelem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;
  8. příjemcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli.
  9. třetí stranou je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů;
  10. souhlasem subjektu údajů je jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;
  11. porušením zabezpečení osobních údajů je porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.



Fotografie: Michal Randa, redakce TZB-info

Všechny tyto pojmy jsou uvedeny v souvislosti s popisem činnosti odpovědných subjektů, kteří se na zpracování osobních údajů fyzických v souvislosti s výkonem správy bytů a poskytováním souvisejících služeb budou podílet.

Určení odpovědnosti za zpracování osobních údajů

Pro určení odpovědnosti za zpracování osobních údajů je třeba vycházet z následujících skutečností a faktů, vyplývajících ze zvláštních právních předpisů, kterými jsou občanský zákoník a zákon č. 67/2013 Sb., kterým se upravují některé otázky související s poskytováním plnění spojených s užíváním bytů a nebytových prostorů, ve znění zákona 104/2015 Sb.

Podle těchto právních předpisů je v postavení správce odpovědného za zapracování osobních údajů nájemce bytu, nebo vlastníka jednotky (dále jen „příjemce služeb“) vlastník nemovitosti nebo vlastník jednotky v domě rozděleném na jednotky v případě, že je byt užíván na základě nájemní smlouvy, nebo společenství vlastníků jednotek (dále jen "poskytovatel služeb"). Poskytovatel služeb může provádět veškeré zpracování sám, ale také se může rozhodnout, což v této praxi převažuje, že očekávané zpracování bude provádět subjekt, kterého si pro tento účel najal. Tento subjekt pak vystupuje v celém řetězci jako zpracovatel osobních údajů. Poskytování komplexních služeb při správě nemovitostí se dnes již stalo běžnou agendou řady subjektů, které často nabízejí celé portfolio služeb obsahujících technickou, ekonomickou i správní činnost včetně souvisejících administrativních činností. Součástí těchto činností je i zpracování osobních údajů, za něž tyto subjekty nesou svou míru odpovědnosti.

Smlouva mezi správcem a zpracovatelem

Proto, aby vše probíhalo jak má, a subjekt údajů se nemusel obávat o ztrátu svého soukromí v místě, kde bydlí, je nezbytné a by existovala kvalitní a dobře zpracovaná smlouva mezi správcem a zpracovatelem. Podle dosavadního § 6 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, byl tento speciální smluvní typ upraven tak, že „Pokud zmocnění nevyplývá z právního předpisu, musí správce se zpracovatelem uzavřít smlouvu o zpracování osobních údajů. Smlouva musí mít písemnou formu. Musí v ní být zejména výslovně uvedeno, v jakém rozsahu, za jakým účelem a na jakou dobu se uzavírá a musí obsahovat záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů.“

Podobné očekávání lze najít i v obsahu Nařízení, konkrétně v článku 28 odst. 3, podle kterého „Zpracování zpracovatelem se řídí smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které zavazují zpracovatele vůči správci a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce.“

Součástí tohoto právně závazného textu jsou však ještě tyto další podmínky: „Tato smlouva nebo jiný právní akt zejména stanoví, že zpracovatel:
  • zpracovává osobní údaje pouze na základě doložených pokynů správce, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládají právo Unie nebo členského státu, které se na správce vztahuje; v takovém případě zpracovatel správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu;
  • zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;
  • přijme všechna opatření požadovaná podle článku 32;
  • dodržuje podmínky pro zapojení dalšího zpracovatele uvedené v odstavcích 2 a 4;
  • zohledňuje povahu zpracování, je správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v kapitole III;
  • je správci nápomocen při zajišťování souladu s povinnostmi podle článků 32 až 36, a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici;
  • v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Unie nebo členského státu nepožaduje uložení daných osobních údajů;
  • poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.“

Jen z tohoto přehledu je zřejmé, že v rámci adaptace Nařízení bude nezbytné řadu smluvních ujednání novelizovat tak, aby jak správce, tak zpracovatel obstáli v případném sporu o určení míry odpovědnosti za porušení povinností při zpracování osobních údajů od května příštího roku.

V případě, že se na zpracování osobních údajů nájemce bytu, nebo vlastníka jednotky podílí kromě správce a zpracovatele další subjekt, je třeba vzít v úvahu ještě toto: podle článku 28 odst. 4 Nařízení bude platit následující: „Pokud zpracovatel zapojí dalšího zpracovatele, aby jménem správce provedl určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy nebo jiného právního aktu podle práva Unie nebo členského státu stejné povinnosti na ochranu údajů, jaké jsou uvedeny ve smlouvě nebo jiném právním aktu mezi správcem a zpracovatelem podle odstavce 3, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky tohoto nařízení. Neplní-li uvedený další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá správci za plnění povinností dotčeného dalšího zpracovatele i nadále plně prvotní zpracovatel.“

Zde je třeba uvést, že v případě zpracovatele připouští sice Nařízení tzv. řetězení, ale jen za přesně a předem určených smluvních podmínek. Tyto podmínky by v žádném případě neměly vybočovat ze základního smluvního vztahu mezi správcem a zpracovatelem. Jinými slovy řečeno. Správce by měl mít vždy a za všech okolností kontrolu nad zpracováním, za které vůči subjektu údajů odpovídá. Pokud svěří celé zpracování nebo jen jeho část do rukou jiného subjektu, měl by mít vše smluvně ošetřeno.

 
 
Reklama