GDPR a zákonnost zpracování dle čl. 6
V jiném vláknu:
http://www.portalsvj.cz/…vi-vlastniku#…
byl publikován příspěvek:
"GDPR a strašení
Vložil ik (bez ověření), 5. Duben 2018 – 14:49
No já se zatím nějakým GDPR nebudu vzrušovat. Přemýšlela jsem, co s tím, a napadlo mě, že by na shromáždění vlastníků bylo jedním z bodů právě GDPR, že by na tomto shromáždění výbor seznámil vlastníky s touto další blbostí EU a měl přípraven seznam vlastníků se jménem, příjmením, adresou,tel.číslem, e-mailem a kolonkami způsobu placení na účet SVJ (SIPO, přímá platba). Vlastníci by tento seznam podepsali a tím dali souhlas mít tyto informace pro potřeby komunikace statutárů s jednotlivými vlastníky, bude-li to potřeba. Nepřítomné vlastníky by pak výbor oslovil písemně a požádal je o souhlas. Nic jiného není asi potřeba mít, jestli ano, doplňte mě. Myslím si, že by měl být uzavřen ovšem nový dodatek k mandátní smlouvě se správce (mají-li ho SVJ). Náš správce zatím nás v této věci nijak nekontaktoval."
Nedoporučuji takto postupovat.
Podle čl. 5/1/c GDPR je jednou ze zásad „minimalizace údajů“. Nevím proč shromažďovat údaj o tom, zda někdo platí prostřednictvím SIPO nebo přímo na účet. Domnívám se, že tento údaj není v SVJ potřeba.
V čl. 6 GDPR je 6 titulů, podle kterých se mohou osobní údaje zpracovávat.
Zatímco v současné právní úpravě i praxi je souhlas dominantní právní titul, podle GDPR by souhlas měl být využíván pouze doplňkově, pokud správce (SVJ) nebude mít možnost využít jiného právního titulu (viz Nulíček a kol., str. 125).
Jméno, příjmení a adresu by měli hlásit vlastníci podle § 1177 NOZ. Není tedy potřeba jejich souhlasu pro zpracování těchto osobních údajů. Zákonný titul je podle čl. 6/1/c GDPR.
Telefonní číslo a e-mail lze podřadit pod titul podle čl. 6/1/f GDPR „oprávněný zájem správce“ (viz Metodické aktuality 4/2018 str. 39).
Závěrem.
Nedoporučuji shánět souhlasy. K drtivé většině osobních údajů má SVJ oprávnění ze zákona (čl. 6/1/c), na základě smlouvy (čl. 6/1/b) nebo pro účely oprávněného zájmu (čl. 6/1/f).
Necítím potřebu zpracovávat nějaký osobní údaj v SVJ, který by podléhal souhlasu podle čl. 6/1/a.
Hezký den!
P.S.
SVJ, jako správce osobních údajů (čl. 24), musí samo kontaktovat externího správce, jako zpracovatele osobních údajů (čl. 28). Odpovědnou osobou je podle GDPR totiž SVJ.
Dnes nám náš smluvní správce předal tiskopis nazvaný „požadavek na zajištění GDPR“. Tento obsahuje 2 body první bod – požadavek se zajištěním GDPR za cenu 2 600,00 Kč/SVJ (jednorázový poplatek) a pak každý rok roční poplatek 250,00 Kč na SVJ. Ovšem žádné vysvětlení v čem co z jejich strany pro nás zajistí. Druhý bod nám dává možnost účastnit se semináře za 1 250,00 Kč na osobu. Poslední věta na zaslaném tiskopisu je, že v případě, že SVJ nebude reagovat bude správce předpokládat, že máme GDPR již vyřešené. Na dotaz, zda by nemělo dojít k úpravě smlouvy, tak nám bylo řečeno, že to přijde až ve druhé fázi, napřed se musíme rozhodnout zda si necháme zpracovat GDPR správcem. Poslali jsme dotaz co si máme představit přesně pod pojmem „zajištění GDPR za 2 600,OO Kč“, tak budeme čekat na odpověď. Co vy na to?
ik, vzhledem k tomu, že Vám správu domu vykonává SBD k tomu není co říct – prostě jedno z dalších družstev, které si myslí, že statutární orgán SVJ (výbor či předseda) budou skákat, jak oni budou pískat.
Zdar
ik, někde mě zůstalo v paměti, že jste psala o správě Vašeho SVJ družstvem, nicméně jsem se měl před psaním svého příspěvku o tom ujistit – no nic, stalo se..................
Nic se neděje, mě jen nadzdvihlo, že po mně někdo chce vyplnit papír, kde se zavážu platit, aniž vím za co konkrétně to bude. A na dotaz co nová smlouva se dozvím,že to bude až druhá fáze. Jinak už jsem zavolala kamarádce zda už to taky dostala (stejný správce) – prý jí bylo řečeno, že ve spolupráci s jejich právníky připravují směrnici jak se máme jako SVJ zřejmě chovat pro dodržení GDRP a pak prý snad se to týká lepšího zabezpečení dat.Tak si počkám, co mi na můj dotaz odepíší.
Já bych nabídku odmítl a na GDPR bych doporučil připravit se sám. Nebude to nic tak hrozného. Skvělé shrnutí Vám již několikrát udělal pan Pavel. Návštěvu nějakého semináře, nejlépe s přednášejícím přímo z ÚOOÚ, považuji za vhodnou, protože o GDPR něco jako osoby odpovědné vědět musíte. A to i v případě, že „kývnete“ na nabídku svého správce. Za nejdůležitější považuji 3 věci:
- udělat si přehled o tom, jaké osobní údaje zpracováváte. V tom vám hodně pomohou příspěvky pana Pavla.
- zredukujete počet osobních údajů na nutné minimum a promyslíte si, jak údaje zabezpečíte tak, aby k nim neměl přístup kdokoli. Na elektronická data stačí běžné zabezpečení typu přihlašovací jméno a heslo, na papírové zamknutá skříň. Seznam osobních údajů a způsob jejich ochrany si napíšete na „na papír“ – uděláte si takovou vnitřní směrnici
- se všemi, komu předáváte osobní údaje (správce, účetní, …) uzavřete smlouvu (dodatek ke stávající smlouvě) o zpracování dat v souladu s GDPR. Zde ještě chvíli vyčkejte, až se objeví nějaký vzor.
Pokud by případná následná kontrola odhalila nedostatky, budete v první řadě vyzváni k jejich odstranění. Jinými slovy Vám případná kontrola dá návod, co ještě musíte udělat. Případné pokuty se myslím bát nemusíte. Ta se uděluje za opakované porušování stejných věcí (po výzvě k jejich nápravě).
Nějaká firma připravuje směrnici, jak se má konkrétní svj chovat. To je k smíchu, nebo snad k pláči? ik, je potřeba připravit směrnici, jak se má ohledně ochrany dat chovat dotyčná firma vůči vašemu svj. Všem svj by pouze prospělo, kdyby se vůči svým rádobysprávcům chovaly sebevědomě nebo alespoň sevevědoměji. Pak by tyto firmy přešlo to šikanování svj, které tzv. spravují. Oni je nespravují, ony se těch svj zmocnily, jakoby jim patřily, jakoby je vlastnily. Podle toho se k nich chovají jako k nesvéprávným.
Ano, potvrzuji, že to takto chodí. V posledních měsících dostávám informace od kolegů z různých SVJ, že jim jejich správci nabízí „komplexní GDPR řešení“, „audit osobních údajů“, „školení“ (školí jednatel správcovské firmy) apod. Před 4 lety správci nabízeli „audit NOZ“, „školení nové legislativy“, „přizpůsobené stanovy“ apod.
Ten, kdo dává pokyny nějakému cizímu správci jak má zabezpečit údaje pro svj je svj, ne obráceně. V svj jde o správu společné věci a každý vlastník jednotky má právo nahlížet do všech dokumentů týkající se správy domu. Na tom není co tajit. Nebo možná někteří správci důvod k utajování mají, když jim to svj baští. Jsou to vychcánkové, vidí jenom peníze. Copak doteďka pustili kohokoliv do počítače, kde jsou údaje o vlastnících? Najednou za to chtějí peníze. Tak plaťte.
Díky za reakci pane Pavle. Takže v podstatě jde o to mít zabezpečeny např. papírové výstupy (např. účetní sestavy, smlouvy ap) před tím, aby se k nim nedostala neoprávněná osoba/y? Osobních informací se to netýká? A ještě se dotáži, zda vztah SVJ-externí správce vycházející z dlouholeté mandátní smlouvy se pouze upraví o souhlas daný statutáry SVJ svému externímu správci, že může nakládat s dosavadními údaji SVJ. Na externím správci pak je, jak on si to dál ošetří u sebe (ten náš má smluvní vztah s hodně SVJ).
ik: Takže v podstatě jde o to mít zabezpečeny např. papírové výstupy (např. účetní sestavy, smlouvy ap) před tím, aby se k nim nedostala neoprávněná osoba/y?
P: Máte mít zabezpečeny všechny nosiče osobních údajů bez ohledu na jejich materiální podstatu. Není rozhodující zda jsou OÚ na papíru nebo v elektronické podobě.
ik: Osobních informací se to netýká?
P: Nevím, čemu říkáte „osobní informace“. Pokud jsou to osobní údaje, tak o osobních údajích fyzických osob je celé GDPR.
ik: A ještě se dotáži, zda vztah SVJ-externí správce vycházející z dlouholeté mandátní smlouvy se pouze upraví o souhlas daný statutáry SVJ svému externímu správci, že může nakládat s dosavadními údaji SVJ.
P: Doporučuji uzavřít samostatnou smlouvu podle čl. 28 GDPR.
ik: Na externím správci pak je, jak on si to dál ošetří u sebe (ten náš má smluvní vztah s hodně SVJ).
P: Zpracovatel je zejména povinen zpracovávat OÚ na základě doložitelných pokynů SVJ. Za výběr zpracovatele odpovídá SVJ, které může vybrat pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky GDPR a aby byla zajištěna ochrana práv subjektů údajů.
Hezký den!
Pavel
Ještě doplním – tzn. že dodatek k mandátní smlouvě musí svým obsahem vycházet z čl. 28 GDPR. Pak bude vše o.k. Díky
ik,
doporučuji samostatnou smlouvu a nikoliv dodatek smlouvy o správě.
Zpracovatelská smlouva má vycházet z čl. 28.
Zda bude uzavřením zracovatelské smlouvy s externím správcem vše OK nevím.
Záleží na tom, kdo všechno zpracovává OÚ.
Často OÚ zpracovává nejen externí správce, ale dále i:
- externí účetní
- osoba, která zajišťuje odečítání a rozpočítávání nákladů na vodu, TUV a teplo
- osoba provádějící kontrolu a revizi plynu
- advokát
Zpracovatelská smlouva by měla být uzavřena s každou z těchto osob.
Bude záležet také na tom, kdo bude plnit práva subjektu údajů podle čl. 13–21 GDPR. Zda plnění přenesete na zpracovatele, nebo je bude plnit SVJ.
Hezký den!
Pavel
Pavle, jak řešit situaci, je-li předsedou SBD/s.r.o.? Myslíte, že je v takovém případě smlouva nutná? SBD je jediným členem statutárního orgánu SVJ a k osobním údajům přistupuje z titulu tohoto členství. Se zaměstnanci pak předpokládám má v rámci pracovní smlouvy sjednanou doložku o mlčenlivosti.
„smlouvy se pouze upraví o souhlas daný statutáry SVJ svému externímu správci,“
Otázka zní.
Nemělo by tento dodatek k smlouvě, o nakládání s osobními údaji všech členů právnické osoby SVJ,odsouhlasit shromáždění vlastníků a teprve na základě tohoto usnesení, změnit/doplnit smlouvu s externím správcem?
Hezký den.JaVa
JaVo,
shromáždění schvaluje podle § 1208/h NOZ smlouvu o správě domu a pozemku.
Domnívám se, v souladu s právním názorem právního oddělení našeho externího správce, že zpracovatelská smlouva podle GDPR je něco jiného, co nepodléhá schválení shromáždění.
I proto bych nevolil dodatek mandátní smlouvy o správě, ale uzavřel bych novou zpracovatelskou smlouvu podle GDPR.
Hezký den!
Pavel
Poslední komentáře