GDPR v podmínkách BD a SVJ
Cituji z http://www.bytovadruzstva.cz/novinka-15
Nová pravidla ochrany osobních údajů
Obecným právním předpisem ochrany osobních údajů je zákon č. 101/2000 Sb. o ochraně osobních údajů, který od 25.5.2018 bude nahrazen Nařízením Evropského parlamentu a rady EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů, kterým se zrušuje směrnice 95/46/ES (dále jen GDPR). Nařízení EU má přednost před zákonem a je přímo aplikovatelné a závazné pro všechny členské státy EU. Ty si mohou upravit některá pravidla ve velmi omezené míře tak, aby zákon o ochraně osobních údajů byl v souladu s GDPR. Takový aplikační zákon je nyní předložen vládou do mezirezortního připomínkového řízení jako reakce na nařízení Evropského parlamentu a rady EU.
Text GDPR je velmi rozsáhlý materiál, který zaujímá cca 90 stran a bohužel pro čtenáře, který není detailně obeznámen s touto problematikou je prakticky obtížně srozumitelný. Celá tato úprava otevřela prostor pro řadu nejasností a výkladových problémů, ke kterým se zatím nelze vyjádřit a stanoviska zaujímají i odborné organizace jako ÚOOÚ jenom v obecné rovině a odkazují na budoucí vývoj výkladů a judikaturu.
Ačkoliv GDPR vstoupí v účinnost 25. 5. 2018 je třeba se začít připravovat na tuto skutečnost a to tak, že stručně nastíněná pravidla dopadají na firmy jako celek a dotýkají se každého kdo pracuje s osobními údaji. Je nezbytné zmapovat jaký druh osobních údajů se zpracovává, např. osobní, citlivé údaje nebo údaje děti, kdo s nimi pracuje, jak jsou zabezpečeny a kde jsou uloženy. Pravděpodobně bude nezbytné přijmout v tomto směru nějakou směrnici nebo usnesení. Bude dobré revidovat dosavadní získané souhlasy a podrobněji je upravit, aby člen věděl kdo zpracovává jeho osobní údaje , proč je zpracovává a jak dlouho budou uchovávány a kdo další je získá.
SHRNUTÍ
• seznámit se pokud možno se změnami v GDPR
• svolat poradu a zjistit přehled o osobních údajích, které musíme mít
• zbavit se dat, která nejsou třeba
• zjistit které osoby s nimi pracují, kde jsou uloženy a v jaké podobě (elektronické, papírové)
• zjistit k jakému účelu jsou data zpracovány (např. mzdová a personální agenda, seznam členů apod.)
• vydat interní opatření k zabezpečení osobních údajů a jmenovat osoby, které k nim mají přístup (může znamenat i změnu ve stanovách)
• provést revizi souhlasů se zpracováním a revizi smluv s externími firmami, které budou s osobními údaji pracovat (zpracovatel)
• podle možností zajistit školení v této oblasti
• doporučujeme pojištění odpovědnosti statutárních orgánů (lze zajistit i v kanceláři SMBD)
Více naleznete v novém čísle Informačního bulletinu SMBD č. 4/2017, který vychází v polovině září 2017.
29.8.2017
Autor: SMBD
Vzhledem k možným sankcím doporučuji nepodceňovat.
Hezký den!
mám stejný názor jako zde https://webdomu.cz/…druzstvo-svj
Všichni nějak zapomínají na stávající zákon na ochranu osobních údajů kde správci osobních údajů musí dodržovat ochranu osobních údajů. Navíc pokud si někdo pořádně přečte dané nařízení GDPR, tak zjistí že jsou 2 režimy – 1) zpracovávání dat na základě právního podkladu kde není potřeba souhlasu subjektu údajů a 2) zpracovávání dat na základě potřebného souhlasu subjektu údajů tam kde pro to není právní podklad.
Pokud SVJ a BD budou zpracovávat osobní údaje vyloženě za účelem správy a nebudou nikde zveřejňovat rodná čísla nebo s kontakty obchodovat apod., tak v rámci výkonu správy se jedná o zpracování dat na základě právního podkladu – v případě SVJ jde o NOZ a v případě BD o ZOK.
Je to velký humbuk na kterém se budou chtít momentálně napakovat všichni kdo o tom něco vědí, ale ani se jim nedivím.
Je to samozřejmě humbuk. Doporučuju podívat se na GDPR kalkulačku na www.svjpravnik.cz/gdpr Vyplnila jsem to pro naše SVJ a vyšlo mi, že nemusíme nic měnit, protože sbíráme jenom zákonem stanovené údaje, nemáme kamerový systém atd. GDPR je spíš jen nafouknutá bublina, kterou všichni straší…
Je to přesně tak jak píšete, nařízení GDPR se vůbec nedotkne SVJ a BD. Lidé kteří z tohoto nařízení si udělají business budou jen zastrašovat a vnucovat své školení, produkty, programy atd. Pro správu SVJ a BD je vše potřebné obsaženo NOZ a zák. 101/2000 Sb. Proto platí to co doposud, vedení seznamu členů je povinné již po novele NOZ, seznam musí být umístěn na zabezpečeném místě, může mít k němu přístup jen pověřená osoba. Správce dat nesmí nikde uveřejňovat osobní údaje obsaženy v těchto materiálech, prodávat, popřípadě sdělovat neoprávněnému subjektu. Potom není mít z čeho strach a není potřeba ani nikam běhat pro pojištění ;-) Chápu, že žijeme v ČR, tak určitá skupina nového nařízení využije a bude z něj profitovat. Včera jsem jako předseda měl nabídku super programu na šifrování dat… Ten agent s teplou vodou šel velice rychle do ignor listu.
Dobrý den,
měla bych dotaz. Bytové družstvo nám dalo na rok 2019 novou položku do finančního plánu „položka GDPR“ 5 Kč na byt/měsíc. Tato položka je za uzavření smlouvy o zpracování osobních údajů. Dle bytového družstva můžeme dostat pokutu, pokud tuto smlouvu nebudeme mít uzavřenou. Zakládá se toto tvrzení na pravdě?
Děkuji za odpověď. Radka
Radko, možná to není položka za uzavření smlouvy o zpracování údajů.
Jeden externí správce nabízel za poplatek pro své klienty zpracování „GDPR řešení, které obsahuje soubor nástrojů (informací, metodik, šablon, vzorů apod.) pro rychlé a efektivní zavedení GDPR do každého společenství: • analýza zpracování osobních údajů a rizik • zpracování vnitřního předpisu • kontrola jeho dodržování a následná průběžná aktualizace“
A tu následnou aktualizaci dokumentů včetně promítnutí případných legislativních změn nabízel též za poplatek (Kč/rok/SVJ).
Toto pak může být ta nová položka ve finančním plánu, možná Vám bylo jen nepřesně vysvětleno.
Jen můj názor.
Pavla
Radko,
za porušení GDPR je možné skutečně udělit velkou sankci až 20 mil. EUR. Ale to se počítá pro nadnárodní společnosti nikoliv pro BD či SVJ.
Mezi správcem osobních údajů (bytové družstvo či SVJ) a zpracovatelem osobních údajů (externí správce – realitka) má být uzavřena písemná smlouva o zpracování osobních údajů.
Nicméně je obvyklé, že tato smlouva o zpracování osobních údajů je pouze doplňkem smlouvy o správě BD/SVJ a je uzavírána bezúplatně.
Musíte se zeptat toho, kdo do finančního plánu dal „položku GDPR“, proč ji tam dal v ceně 5 Kč/byt/měsíc.
Naše SVJ uzavíralo smlouvu s externím správcem, který vede mj. účetnictví, se společností provádějící odečty a rozúčtování spotřeby energií a technikem, kontrolujícím rozvod plynu. Vše bezúplatně.
Hezký den!
Pavel
Tato situace mohla nastat. Z našeho pohledu by rozúčtovací firma měla mít uzavřenou smlouvu s tím od koho fakticky dostává data. Pokud je to přímo SVJ tak s ním, pokud je to nějaká správcovská firma tak s ní.
Jestli bude stačit nějaký dodatek standardní smlouvy o rozúčtování nebo by to měla být smlouva samostatná ukáže spíše až budoucnost. Ale pokud budete mít cokoli je to vždy lepší než nemít vůbec nic.
Petr Patočka VIPA CZ s.r.o.
Teď hned běžím do kanceláře SMBD zajistit pojištění. Vy jste jejich agent.
http://www.vox.cz/…eni-0002.htm 2650 Kč
http://www.bovapolygon.cz/…mec-gdpr.htm?AR=Y 2590 Kč
http://www.cqs.cz/…h-udaju.html 4235 Kč
https://www.topvision.cz/…zakone-vcas/ 6038 Kč
http://skolenikpmg.cz/…osobnich-uda 5324 Kč
https://konferencegdpr.cz/…5-zari-2017/ 5900 Kč
https://www.skoleni-softskills.cz/…9–GDPR.aspx 13.068 Kč
http://www.exaco.cz/GDPR/ cena neznámá
To jsou ceny!!! Zde seminar GDPR jen za 960 Kč https://webdomu.cz/…obnich-udaju
TN.,
pokud je v pozvánce uvedeno, že se bude školit „směrnice“ a nikoliv „nařízení“, tak jsou to vyhozené peníze. Školitelé asi vůbec netuší, že nařízení je přímo účinné jak na členské země EU, tak i na její občany.
Uvedená školení jsou navíc všeobecná, nikoliv pro BD a SVJ.
Naštěstí existují i specializovaná školení pro BD a SVJ. Ale nebudu je uvádět, abych zase nebyl osočen, že jsem jejich agent.
S ohledem na citlivost problematiky a možné sankce pouze doporučuji věnovat této oblasti pozornost. Asi k tomu bude bohatá judikatura. Za nikoho nelobuji.
Hezký den!
Pavel
Úřad avizoval, že zprvu pokuty nebude ukládat, ale bude upozorňovat. První pokuty očekávám vůči velkým firmám. Na SVJ dojde v poslední řadě, pokud si jich vůbec někdo bude všímat. V SVJ úřad ukládá pokuty jen za kamery, kupodivu ani shromažďovaná rodná čísla úřadu už nevadí. Na školení začnu chodit a platit za ně v roce 2019, kdy se tyto otázky vyjasní.
Možná o GDPR v podmínkách SVJ zorganizuje bezplatný seminář Akademie pro bytové domy
TN.,
také předpokládám, že ÚOOÚ bude nejdříve kontrolovat velké společnosti, zejména společnosti ve zdravotnictví, pojišťovnictví, bankovnictví, a státní správu. Navíc má od 5/2018 nabýt účinnosti nařízení ePrivacy (ochrana osobních údajů na digitálním trhu), které je zatím jen v návrhu. SVJ tedy asi nebude o vlastní vůli kontrolovat mezi prvními, s tím s Vámi souhlasím.
Nicméně termín účinnosti Nařízení GDPR je 25.5.2018. Pokud výbor něco zanedbá, tak je možné, že ho nějaký člen SVJ udá. Potom ÚOOÚ bude velmi pravděpodobně konat a členové výboru odpovídají podle § 159 NOZ.
Proto se snažím na nový problém na různých webech od 5/2017 upozorňovat. Nic více, nic méně.
Hezký den!
Pavel
Moc si nedokážu představit, za co by kdo udával.
SVJ má zákonné zmocnění shromažďovat jména vlastníků, jejich „adresy“ (není jasný výklad, co je adresa, ale ÚOOÚ vyložil, že SVJ je oprávněno shromažďovat i emailové adresy, pokud např. na ně svolává schůzi), pro účely insolvencí rodná čísla a pro mzdy, pro účely žalob data narození (identifikaci žalovaného vyžaduje o.s.ř.), telefonní čísla za účelem řešení náhlé havárie, jména nájemců, pokud jim vlastník přenechal byt, bankovní účty pro vracení přeplatků. My máme ve stanovách vyjmenovány údaje, které shromažďujeme.
Jaký jiný údaj by asi tak SVJ měla shromažďovat, aby proti nim vyrukoval ÚOOÚ? To by museli shromažďovat údaje o zaměstnavatelích, národnosti, náboženství, vy to snad někdo po lidech chcete???
Jediný, kdo by se měl bát jsou externí správci. Ti by si měli pozjišťovat, jaký na ně GDPR má dopad, ale to mě jako člena výboru nezajímá. Nebo by zajímat mělo?
TN.,
problematika GDPR je nová a nejasná. Proto o ní píšu.
Pokud má BD/SVJ internetové stránky, tak mají být osobním údajem i IP adresy a soubory cookies. To máte také ošetřeno ve stanovách? I kdybyste to měli ošetřeno ve stanovách, tak asi potřebujete výslovný souhlas podle Čl. 7 Nařízení. Domnívám se, že vedení webových stránek SVJ není nezbytné pro splnění právní povinnosti, která se na správce vztahuje, jak vyžaduje Čl. 6/1/c Nařízení.
Co lze považovat za osobní údaj podle Nařízení, který může BD/SVJ shromažďovat bez souhlasu nebo se souhlasem, nemá jasno ÚOOÚ, které se tím živí, ani já, který se tím neživí a pouze chce chránit sebe a SVJ.
Jak má přesně vypadat souhlas se zpracováním také není jasné.
Citlivé údaje jako národnost a náboženství samozřejmě neshromažďujeme.
Nechci Vám vnucovat svůj názor, ale jako člena výboru by Vás problematika GDPR měla zajímat.
Až přijde ÚOOÚ na udání na kontrolu, tak může udělit pokutu, že jste něco neměli před rokem v pořádku. To už si mezitím ÚOOÚ vyjasní, jak si Nařízení vykládá pracovní skupina WP29. Sehnat dodatečně souhlasy se zpracováním osobních údajů asi nepůjde.
Pokud se domníváte, že máte vše podle 101/2000 Sb. v pořádku, tak si dovolím dotaz. Jak máte ošetřen § 18/2 tohoto zákona? Děkuji.
Hezký den!
Pavel
Pokud má SVJ webové stránky kde vede například seznam členů SVJ s osobními údaji, smlouvy apod., tak ke zpracování osobních údajů využívá zpracovatele osobních údajů a podle nařízení GDPR si musí vybrat takového zpracovatele, který poskytuje dostatečnou záruku zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky nařízení a aby byla zajištěna ochrana práv subjektu údajů /čl. 28 odst. 1 nařízení GDPR/.
To samozřejmě neplatí jen v rámci webových stránek SVJ, ale taky pokud SVJ využívá správce domu, mzdovou účetní apod.
Pavle píšete, že "vedení webových stránek SVJ není nezbytné pro splnění právní povinnosti, která se na správce vztahuje, jak vyžaduje Čl. 6/1/c Nařízení.
Nařízení v daném ustanovení uvádí, že zpracování je zákonné, pokud je nezbytné pro splnění právní povinnosti, která se na správce vztahuje… Ale zpracování je i pouhé shromažďování dat. Je jen na správci, jakou formu zpracování využije. To je to samé jako byste napsal, že dle čl. 6/1/c nařízení, není ke zpracování nezbytné využívat počítač a je postačující, aby si to předseda vedl ve svém sešitě a měl to doma zamčené v šuplíku.
Proboha je 21. století a je normální ke zpracování využívat moderní prostředky. Mám klienta, který měl předsedu, vše si takto vedl sám doma v šuplíku, byl to vdovec a bohužel zemřel, dědic je t.č. neznámý, byt je zapečetěný, notář nechce byt zpřístupnit pro získání materiálů SVJ, takže se ostatní členové nemohou dostat k žádné uzavřené smlouvě, účetnictví atd. Mohou si akorát na justici stáhnout stanovy. Kdyby to měli na webovkách – alespoň základní dokumenty zpřístupněné pouze oprávněným osobám, tak by tento problém odpadl. A z praxe vím, že takových BD a SVJ je pořád hodně, kde vše dělá předseda, ostatní se nezajímají, vše je v šuplíku a když to s předsedou sekne, problém je na světě i když není vdovec…
To se chcete všichni díky GDPR vrátit do minulého století? Pokud chce někdo využívat moderní prostředky a vybere si zpracovatele osobních údajů, který splňuje všechny požadavky, pak se nemá čeho obávat. Je jasné že nemůže mít SVJ/BD webovky kde všichni vidí všechno vč. telefonního čísla souseda a jeho nájemní smlouvy a nebo má provozovatel v podmínkách webu ustanovení, že může osobní údaje využívat ke komerčním účelům a pro své partnery je to samozřejmě špatně.
Navíc lze webovky SVJ/BD právě VHODNĚ VYUŽÍT NA SPLNĚNÍ POVINNOSTI SPRÁVCE osobních údajů, které jsou stanoveny v čl. 13 nařízení GDPR, mezi které patří zejména: zveřejnění subjektu údajů informace o správci osobních údajů, kontaktních údajů na správce, jeho zástupce, účely zpracování osobních údajů, právní základ pro zpracování, příjemce osobních údajů atd.....
No tak holt se nebudou uchovávat logy s IP adresami na serveru. Cookies pro provoz neobchodního webu nepotřebujete (problém asi budou mít eshopy, které cookies používají pro sběr zboží do košíků).
Na shromažďování jména a adresy mám zákonné zmocnění z NOZ.
Pro jistotu si necháme dopodepsat souhlasy na telefonní čísla a emailové adresy.
Doručovací adresu vyžadují stanovy pro zaslání pozvánky a jiných písemností spojených se správou domu (např. vyúčtování).
U čísel bankovních účtů si necháme dopodepsat souhlasy.
Problém může být u rodných čísel, které potřebujeme pro sledování insolvencí, nad touto otázkou se hluboce zamyslím a vymyslím řešení – momentálně mě napadá § 159 a povinnost výboru sledovat sledovat platební morálku. Rodná čísla kvůli mzdám musíme shromažďovat podle zákona.
Problém může byt s daty narození pro podání žaloby a identifikaci vlastníků v jiných souvislostech.
Rodná čísla a data narození lze zjistit z katastru, možná je shromažďovat nebudeme a v případě potřeby si je vytáhneme z katastru.
Nicméně my archivujeme Vyrozumění o provedeném vkladu, někteří správci archivují kupní smlouvy, co jim lidi nosí při oznámení nabytí, ty asi budou muset zlikvidovat.
Otázka je, co s údaji, které nám lidé dobrovolně poskytnou. Např. nabyvatel pošle dopis, že koupil byt a v oznámení sám napíše svoje rodné číslo, datum narození a číslo OP. Skartovat oznámení asi nemůžeme, je vhodné archivovat, takže budeme nuceni jako trubky zpětně vše anonymizovat černou fixou. Jenže i pod fixou jsou vytištěná písmena a čísla vidět.
Bože bože v rámci výkonu správy svj k čemuž tyto osobní údaje potřebujete žádný souhlas nepotřebujete! Jen je musíte vhodným způsobem informovat o tom, že tyto osobní údaje zpracováváte, za jakým účelem atd.jak tady pan správce píše. Je na vás jak je informujete, zda každého osobně papírem nebo si to dáte do stanov nebo do výtahu, na nastenku nebo na web. Měli by ty informace dostat i ti, co v domě nežijí a výtahem nejezdi a kolem nastenky samozřejmě nechodí.
Poslední komentáře