GDPR A OSOBNÍ ÚDAJE V RÁMCI SVJ A BD

Dne 25. 5. 2018 nabývá účinnosti Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů, tedy GDPR (General Data Protection Regulation) a je přímo aplikovatelné v ČR. Nařízení bylo přijato v souvislosti s rozsáhlým zpracováním osobních údajů prostřednictvím nových technologií.  Přímou reakcí na GDPR je i omezování internetových sociálních sítí shromažďujících osobní údaje jako je např. portál Spolužáci.cz apod. Nařízení se však nevztahuje pouze na zpracování údajů v technických zařízeních, ale přímo zasahuje do každodenní činnosti všech, kteří v jakékoli podobě s osobními údaji pracují.

GDPR rozšiřuje práva subjektů údajů (tedy fyzických osob) na jedné straně a povinnosti správců vůči osobám i vůči Úřadu pro ochranu osobních údajů na druhé straně. Klade nové požadavky na souhlasy se zpracováním osobních údajů, vytváří nové instituty, kterými jsou pověřenec, posuzování vlivu, postupy při porušení ochrany a právo na přenositelnost. Tím přináší větší ochranu dat fyzickým osobám, větší zátěž pro správce a zpracovatele a v neposlední řadě značnou medializaci.

Dříve již tak vysoké sankce 10 mil. Kč jsou nahrazeny 20 mil. EUR nebo 4% z obratu.

Je kladena větší míra zodpovědnosti za rizika a z tohoto důvodu již není ohlašovací povinnost u ÚOOÚ např. při instalaci kamerového systému v domě. Neznamená to však, že lze kamery umísťovat libovolně po domě a uchovávat data. Znamená to, že rizika a odpovědnost spojenou s instalací nese ten, kdo kamery instaloval.

SVJ a BD jsou ve vtahu ke svým členům správcem osobních údajů. Zpracovatelem osobních údajů jsou firmy, které pro SVJ a BD provádějí např. správu nemovitosti, dále jsou to externí rozúčtovatelé, právní firmy apod.

Mezi základní povinnosti SVJ a BD patří chránit osobní údaje a prokázat dodržování svých povinností. Je třeba nastavit procesy uvnitř SVJ a BD, prověřit přístupnost dokumentů, bezpečnost IT systémů (kamery, záznamové systémy na vstupy do domů, čipy apod.), prověřit dodavatelské smlouvy s externími zpracovateli, např. správcem, externím rozúčtovatelem apod.

Platí několik základních pravidel pro zpracování osobních údajů. Těmi jsou zákonnost, omezení účelu a doby zpracování, přesnost, minimalizace údajů, korektnost, transparentnost, důvěrnost.  Aby byla tato pravidla aplikovatelná, je třeba provést vnitřní analýzu, vyhodnotit její výstupy, zavést organizační, technické a právní opatření, zavést pravidla a kontrolovat jejich dodržování. Není to jednorázový proces, ale soustavná činnost. Všechny kroky je nutné dokumentovat a v případě kontroly i prokázat.

Jsme si vědomi náročnosti celého procesu a pro naše klienty, v případě jejich žádosti, zpracujeme všechny potřebné kroky.

 

Výkonná ředitelka Jana Říhová