GDPR a fake news

Pane Dvořáku,

recitály jsem sice četl, ale nevyčetl jsem z nich, že se na SVJ, BD a malé společnosti nevztahují povinnosti dle čl. např. 12, 13, 15, 17. A tak bude třeba zpracovat nějakou dokumentaci, kterou nyní nemáme.

Nemyslím si, že to vidím moc černě, spíše to vidím do většího detailu.

Samotný GDPR je nejasný a pracovníci ÚOOÚ na přednáškách často dávají odpověď, že to WP29 ještě nezpracovala, že se to musí usadit a že se musí počkat na judikaturu.

Třeba o výjimce dle čl. 30/5 tvrdí, že se asi nebude vztahovat na někoho, kdo má zaměstnance, protože zpracovávání není příležitostné. Recitály 13, 39, 82, které se k čl. 30 vztahují, na to přímou odpověď nedávají.

Místo toho recitál 13 uvádí, že GDPR obsahuje odchylku pro organizace s méně než 250 zaměstnanci týkající se uchovávání údajů. Já jsem takovou odchylku v GDPR nenašel. Ale nejsem odborník na GDPR, třeba tu odchylku v GDPR najdete. Rád se poučím, jak GDPR zkracuje lhůty pro archivaci v ČR, které jsou 3, 5, 10 i 30 let.

Já se spíše domnívám, že floskule o úlevě malým podnikům se v EU píší, aby směrnice či nařízení prošlo. Realita je jiná. Klasické fake news.

Hezký den!

Pavel

Nemohl byste poněkud srozumitelněji (zemitěji) vysvětlit, zda a v čem GDPR ohrožuje (pokud opravdu nějak ohrožuje) vlastníky v domech, kde vlastníci mají pouze jednoho předsedu SVJ (ne výbor) a tento předseda ani není členem SVJ?

Vidím alespoň 2 důvody.

1)pokud se nesplní požadavky Nařízení EU, tak ÚOOÚ může udělit pokutu. Sice asi nebude v horní výši 20 mil. EUR podle GDPR, ale pokutu v jakékoliv výši musí uhradit primárně SVJ, které ji následně může vymáhat po statutárním orgánu.

2)přednášející a publikace tvrdí, že GDPR přinese fyzickým osobám vyšší ochranu jejich osobních údajů. To nekomentuji.

Hezký den!

Pavel

Pane Pavle, a prozradíte tedy jaké „požadavky Nařízení EU“ to jsou? Když o tom píšete, tak se jako předseda přeci něčeho musíte obávat i Vy osobně. Jaká rizika jsou tedy podle Vás ty evidentní?

Je snad nějaký problém ve sdělování informací vlastníkům, je nějaký důvod tajit více data z účetnictví více než to zatím jistě 99% většina stat.orgánů dělají, je tedy nějaká nutnost nějak ověřovat komu co vykládáme mezi sebou v SVJ navzájem, nebo mám se snad nějak marně angažovat v tom, kam náš kamerový systém posílá záznamy do internetu … nebo čeho se tedy má nečlen výboru bát, že by člen výboru nebo kdo jiný mohl zanedbat?

Čmuchale,

nějaké požadavky z GDPR jsem napsal dole pro pana Kruppa.

GDPR se neobávám, jen to bude práce navíc. Osobně nechci být v pozici člena výboru či „řadového“ člena SVJ oblbován nějakými pomatenci, kteří si budou GDPR ohýbat na svou stranu. To je celé.

Nevidím žádný důvod, aby GDPR ztížilo právo člena SVJ podle § 1179 a § 1179 či podle zákona o službách. Ovšem bez znalosti GDPR to může někdo zkusit.

Jak má vypadat záznam o zpracování u kamerového systému uvádí např. Žůrek Praktický průvodce GDPR na str. 214.

Hezký den!

Pavel

„…Obecně by SVJ mělo zpracovávat OÚ mj. podle § 1177 NOZ a zákona č. 67/2013 Sb.. …“

Takže vidíte třeba nebezpeční zde?

§ 1177 NOZ
Kdo nabyl jednotku do vlastnictví, oznámí to včetně své adresy a počtu osob, které budou mít v bytě domácnost, vlastníkům jednotek prostřednictvím osoby odpovědné za správu domu nejpozději do jednoho měsíce ode dne, kdy se dozvěděl nebo mohl dozvědět, že je vlastníkem. To obdobně platí i v případě změny údajů uvedených v oznámení

…tedy nabyvatel to má oznámit prostřednictvím „osoby odpovědné za správu domu“ (OOzSD) VLASTNÍKŮM nikoli pouze OOzSD → kterou zastupujete v jednom SVJ jak jste uvedl, aktuálně Vy, …a …pokud to tedy OOzSD neoznámí, pak …? (porušila GDPR? ZoU? … a musí se tedy „bát“) ?? Nebo se domníváte, že to není problém, protože to buď GDPR neřeší, nebo §1177 nemá žádnou sankci, nebo jen pomatenci by chtěli někoho tímto způsobem „dostat“?

PS: Jak provádíte u Vás v SVJ to aktivní oznamování, které ukládá §1177 NOZ, tzn. aby byli seznámeni vlastníci ale nikdo jiný?

Pavle,

nejvyšším orgánem SVJ je shromáždění vlastníků a předseda s členy výboru jsou v pozici sluhů vlastníků bytů. Dobrý sluha by měl znát své pány, aby jim mohl kvalitně sloužit. Navíc sluhové mají jen takové informace o svých pánech, které jim páni poskytnou. Takže z toho vyvozuji, že za ochranu osobních údajů v SVJ si odpovídají pánové – tedy vlastníci bytů. Sluha – tedy SVJ – by osobní údaje nemělo zveřejňovat. Otázka je, co je to zveřejňovat. Další otázkou je, že pánové – tedy vlastníci bytů – by se měli navzájem dobře znát, aby mohli spolu komunikovat. K tomu potřebují si poskytnout vzájemně informace o sobě a nikoho mimo SVJ by to nemělo zajímat a jakýsi dohledový úřad se strašákem pokut už vůbec ne, co si navzájem páni sdělili.

Máte pravdu možná v malých SVJ, ale představte si ty molochy spravující tisíce jednotek? Tam už jde o obrovská množství osobních údajů. A pokud zpracovatel (třeba družstvo) nemá smlouvu se SVJ o souladu s GDPR, tak případný průser padá na SVJ. Pokud SVJ smlouvu mít bude a data uniknou z družstva, není to problém SVJ.

tepe,

doporučuji, abyste opustil vyjadřování, že členové výboru jsou sluhové vlastníků. Jednak to není pravda a jednak z toho dovozujete zcela nesmyslné závěry.

Správcem osobních údajů je SVJ, které koná svým statutárním orgánem. Za implementaci GDPR odpovídá SVJ nikoliv členové SVJ.

Člen SVJ je v pozici subjektu osobních údajů a příjemce osobních údajů.

Případné zveřejňování OÚ je jen malinkou podmnožinou zpracování OÚ. A o zpracování OÚ je GDPR, nikoliv jen o zveřejňování.

I Vaše poslední nesmyslné tvrzení, že by se ÚOOÚ neměl zajímat, je značně mimo mísu. Stačí nahlédnout do zákona č. 101/2000 Sb.. ÚOOÚ je k tomu zřízen, aby se zajímal. Může se Vám to nelíbit, můžete s tím nesouhlasit, ale to je asi tak vše, co s tím můžete dělat.

Hezký den!

Pavel

Pavle, členové výboru SVJ se u nás při výkonu funkce řídí jednak stanovami SVJ a dále usneseními shromáždění vlastníků. Výkon funkce chápeme jako službu vlastníkům – někdo to musí dělat. Až já nebudu moci, bude to za mne dělat někdo jiný. Jako člen výboru jsem dostal od některých vlastníků e-mail, č. telefonu a od některých i č. účtu. Kdo mi ho neposkytl – a takových je několik, od těch tyto údaje nemám a tudíž je nemohu třeba varovat, že byl jejich byt vyplavený (když mi nedali na sebe mobil), případně jim nemohu na účet vrátit přeplatek za služby a musím shánět hotovost a vypisovat výdajový doklad. Kdo si požádal, tomu e-mailem posílám pravidelně výpisy z účtů SVJ, veškeré faktury v naskenované nebo pdf formě. Výbor před žádným z členů SVJ nic neutajuje, poskytujeme i náměry na poměrových měřidlech tepla, aby si kdokoliv mohl zkontrolovat správnost rozúčtování nákladů. Když chce někdo utajovat své osobní údaje, ať si pořídí rodinný domek. Když chci mít dobré sousedské vztahy v bytovém domě, měl bych vystoupit z anonymity a lidsky jednat. A ještě jednou tvrdím, že když mi někdo odmítne poskytnout osobní údaj, tak se nic neděje – může to být jen k jeho škodě. Údaje mám jen pro potřebu řádného výkonu funkce a nikomu dalšímu je neposkytuji, tak se GDPR nebojím.

Nechtěl bych bydlet v domě, kde výbor SVJ neslouží, ale kde vládne, utajuje informace o hospodaření SVJ a kde výbor s prostředky od členů SVJ hospodaří netransparentně a kde si od ovčanů nechává schvalovat pravomoce, které k výkonu funkce nejsou potřebné,

Pane Pavle, my o vlastníkovi neshromažďujeme jiné údaje, než ty, které jsou uvedeny v katastru. To je jméno, příjmení majetkový podíl a vlastnictví konkrétního bytu. Dále pak jeho platby. Proč bychom z nějakého GDPR měli mít strach? Jirka

Kuppe, nebude to trvat dlouho a my, co bydlíme v domech s svj (a ne jenom my) budeme muset povinně hlásit, zda jsme ráno vykakali předepsanou délku hovínka předepsané tloušťky a barvy a tato povinná informace bude utajená nejvyšší mírou, jaká vůbec existuje. Že nás požírají nájezdníci, to těm oslům nevadí, ale vymýšlet nebetyčné hovadiny, tak to jim jde. Oni totiž nic jiného nemumí a musí nějak zdůvodnit své přijmy určené nadlidem.

Já se tím rozhodně nebudu stresovat. Jak už jsem uvedl, znám jenom jména a majetkové podíly. Čísla účtů vidím v bankovním výpisu a nijak mě nezajímají. telefonní čísla, pokud mi někdo dá, si zapíšu, ale chovám se k nim stejně, jako k číslům kamarádů, doktorů a všelijakých úřadů. Jestli mi někdo vysvětlí, že i počet osob bydlících v domě, číslo vodoměru a velikost bot, jsou osobní údaje, tak toho nechám a do té doby se budu chovat stejně, jako dosud. Jirka

Jirko,

počet členů domácnosti resp. počet rozhodných osob, stejně jako jejich spotřeba vody, TUV a tepla jsou osobní údaje. Tyto OÚ získávám na základě nějakého předpisu, nepotřebuji souhlas subjektu údajů a podléhají GDPR.

Číslo bankovního účtu, e-mail a telefon také podléhá GDPR.

Velikost bot je také osobní údaj, k jeho získání byste musel mít souhlas subjektu údajů, ale já tento OÚ jako člen výboru nepotřebuji. :-))

Beru to tak, že vznikl zase jeden předpis s kterým se musím vypořádat s co nejmenší námahou a s minimalizací pravděpodobnosti na udělení pokuty. Byl jsem před GDPR, budu i po jeho účinnosti.

Hezký den!

Pavel

Jirko,

strach z GDPR mít nemusíte, ale znát základní práva a povinnosti plynoucí z GDPR je užitečné.

Ať už jste člen SVJ a někdo Vám bude tvrdit, že díky GDPR Vám nic nesmí sdělit. Nebo ať už jste člen výboru s kterým bude chtít cvičit člen SVJ nebo ÚOOÚ. Jak vidíte v tomto vláknu, tak někteří pomatenci považují členy výboru za své sluhy.

1)Dovolím si doporučit na začátek provést „analýzu“, jaké OÚ vlastně sledujete.

Obecně by SVJ mělo zpracovávat OÚ mj. podle § 1177 NOZ a zákona č. 67/2013 Sb..

U nás zpracováváme i telefony a e-maily členů SVJ a jejich nájemníků pro případ havárie či oprav vyžadujících součinnost.

Pokud někoho odměňujete, tak Vám hned naskočí desítky OÚ, které SVJ zpracovává.

Pokud přijímáte jako SVJ nějakou službu nebo zboží od fyzické osoby, tak musíte zpracovávat jeho osobní údaje.

2)Když máte externího správce, externí účetní či osobu zajišťující odečítání a rozpočítávání nákladů na vodu, TUV a teplo, tak by SVJ jako správce OÚ mělo uzavřít zpracovatelskou smlouvu podle čl. 28 GDPR.

3)U každého OÚ by mělo být jasné proč a z jakého zákonného důvodu ho zpracováváte (čl. 6). Mělo by být jasné po jakou dobu ho musíte zpracovávat (čl. 17). Lhůty jsou roztroušené v několika tuzemských předpisech.

4)O problematice záznamů o činnostech zpracování (čl. 30) jsem založil samostatné vlákno. Tam uvádím svůj odlišný názor, než publikující právníci, kteří GDPR přednáší.

5)Doporučuji se seznámit alespoň s čl. 4, 5, 6, 13, 15, 17, 24, 28, 30 GDPR.

6)GDPR rozhodně nechválím, ale jsem v jednom výboru a v několika dalších SVJ a nechci se nechat oblbovat pomatenci. Tak jsem si něco nastudoval. Na konkrétní dotazy se pokusím odpovědět.

Hezký den!

Pavel

Jednak shromažďujete určitě více informací, než v katastru. Třeba máte bankovní účty vlastníků z výpisu (i bankovní účet je osobní údaj). A pak platí, že i když shromaˇžďujete veřejně dostupné údaje (katastr), tak musíte tyto údaje vést v souladu s GDPR.

Zjednodušeně si budete muset vytvořit vnitřní směrnici, ve které pojmenujete jaké osobní údaje máte a kdo a za jakých podmínek k nim má přístup. Klidně mohou být na webu, pokud je přístup pod jménem a heslem. A každý uživatel je poučen, že info nesmí dál šířit. Tím je SVJ v pohodě a případný únik dopadá na pachatele. Pokud to nebudete mít, tak únik dopadá na SVJ.

Ještě k těm pokutám – těmi netřeba strašit. V případě pochybení je to až poslední nápravný prostředek – schválně se podívejte, jaké jiné nápravné prostředky jsou. Pokuty budou udělovány za opakované prohřešky bez snahy o nápravu (dle slov ÚOOÚ).

Dobrý večer, zajímalo by mne, jak se zachová rejstříkový soud, aby skryl osobní údaje, které tam jsou uloženy a volně přístupné všem. Jedná se o rodná čísla, data narození a další údaje, které tam SVJ vkládá při založení, při vložení stanov a dalších povinných vkladech. Nebo tam se to neřeší? Díky za upřesnění. B.

Souhlasím s příspěvkem pana Dvořáka.

Jen zdůrazňuji, že pokud budete z veřejných databází shromažďovat osobní údaje, které použijete např. pro zaslání nějaké nabídky, tak jste porušil GDPR. To že jsou údaje veřejné neznamená, že je můžete zpracovávat.

Úplně jiná věc je, zda je správné, aby si kde kdo na internetu o Vás zjistil kde co. Existuje i web, který u podnikatelů mimo obecně zjistitelných osobních údajů (jméno, příjmení, datum narození, bydliště, telefon, obor podnikání, dobu podnikání atd.) uvádí veřejně, kolik jste nahlásil tržeb na FÚ.

Hezký den!

Pavel

Dobrý den, přečetla jsem si aspoň nějaké části z nařízení – GDPR, ale asi nebudu jediná, kdo se v tom ztrácí. Lze tedy poradit předsedům malých SVJ,co by tedy konkrétně měli zpracovat, aby aspoň ukázali snahu tomuto nařízení vyhovět? Stačí např. zpracovat jako vnitřní směrnici „checklist“ a nechat si podepsat vlastníky, že souhlasí se zpracováním osobních údajů? Že s externím účetním uzavřu zpracovatelskou smlouvu, to chápu, ale jak se ošetří např. faktura za vykonanou práci s dodavatelem z mého pohledu, kdy já s ní budu pracovat? Děkuji za konkrétní rady. B.

berajvi,

1)nevím, co je obsahem „checklistu“ a tak se k tomu nevyjadřuji

2)ano, měla by být nějaká směrnice. V ní by byl seznam OÚ, na základě čeho se zpracovávají, kdy se budou likvidovat atd.. Dále by tam byly informace podle např. čl. 13, 14, 17 možná i 30.

3)souhlasy členů SVJ asi nebudou většinou potřeba. Dovolím si poznámku: Souhlas je až na posledním místě.

OÚ se má zpracovávat na základě zákona, pro účely oprávněných zájmů příslušného správce a na základě smlouvy. Jenom když není zbytí, tak na základě souhlasu subjektu údajů viz čl. 6

Pokud jde o údaje o členovi SVJ, tak jsem zatím napočítal 10 OÚ a k žádnému nepotřebuji souhlas.

Pokud jde o údaje o nájemníkovi člena SVJ tak jsem zatím napočítal 5 OÚ a k žádnému nepotřebuji souhlas.

Pokud jde o zaměstnance, včetně člena orgánu, tak jsem zatím napočítal 40 OÚ a k žádnému nepotřebuji souhlas.

Závěrem, zatím jsem nenašel OÚ, který potřebuji jako člen výboru a který by vyžadoval souhlas subjektu údajů

4)zpracovatelské smlouvě s externím správcem, s externí účetní a externím odečítačem spotřeby se asi nevyhnete

5)četl jsem, ža bych dodavatele fyzickou osobu měl informovat, že zpracovávám jeho údaje. Zde bych nespěchal. Výhledově to bude ošetřovat asi nějaká klauzule ve smlouvě, ale pro začátek si to klidně nechám ÚOOÚ vytknout. Za to mi pokutu těch 20 mil. EUR nedají. :-))

Hezký den!

Pavel

Děkuji za reakci, vyčkáme , třeba do května se zas něco vyjasní a budeme vědět víc. B

Pane Pavle, shrnul jste to perfektně.

tam, kde jsou údaje zveřejněné ze strany „státu“ se to neřeší. I když i tam bude docházet k některým změnám.