GDPR
a) Na základě Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně osobních údajů v evropském prostoru (General Data Protection Regulation = GDPR), které bude od 25. května 2018 přímo stanovovat pravidla pro zpracování osobních údajů, je potřeba souhlas všech majitelů a nájemců (fyzické osoby) bytového domu č. 1214 k zveřejňování:
• jméno a příjmení
• čísel bytových jednotek
• adresa trvalého bydliště
• telefonních kontaktů, e_mailů
• IČO, DIČO
• fotografií
b) Je třeba zdůraznit, že se jedná pouze o první krok činnosti SVJ s nařízením EU o ochraně osobních údajů (GDPR). Následně bude třeba přijímat další opatření v rámci harmonizačních kroků s nařízením EU k ochraně osobních údajů (GDPR).
Další kroky budeme oznamovat ihned poté, kdy bude mít SVJ závěry a doporučení k dispozici. Proces je zdržen absencí potřebného národního zákona k ochraně osobních dat, který měl nařízení EU doprovázet a doplnit některé výklady.
Směrnice „Společenství vlastníků jednotek pro dům Struhlovsko čp. 1214 v Hranicích“ pro ochranu osobních údajů (GDPR)
GDPR (z anglického názvu General Data Protection Regulation)
Platnost směrnice: od 1. 5. 2018
Obsah:
1. Působnost
2. Zásady nakládání s osobními údaji
3. Postupy spolku, jejích členů, případně dalších osob při nakládání s osobními údaji
4. Pravidla pro získávání, shromažďování, ukládání, použití, šíření a uchovávání osobních údajů
5. Souhlas k zpracováním osobních údajů
6. Některé povinnosti spolku, jejích členů, případně dalších osob při nakládání s osobními údaji
Úřad pro ochranu osobních údajů
Pplk. Sochora 27
170 00 Praha 7
web: www.uoou.cz
e-mail: posta@uoou.cz
pevná linka: +420 234 665 111 (Ústředna)
fax: +420 234 665 444
1. Působnost
1.1 Tato směrnice upravuje postupy „Společenství vlastníků jednotek pro dům Struhlovsko čp. 1214 v Hranicích“ (dále jen SVJ), jejích členů, případně dalších osob při nakládání s osobními údaji, pravidla pro získávání, shromažďování, ukládání, použití, šíření a uchovávání osobních údajů. Směrnice rovněž upravuje některé povinnosti SVJ, jejích členů, případně dalších osob při nakládání s osobními údaji.
1.2 Tato směrnice je závazná pro všechny členy SVJ. Směrnice je závazná i pro další osoby, které mají se SVJ jiný právní vztah (nájemní smlouva, smlouva pro pojištění, aj.) a které se zavázaly postupovat podle této směrnice.
2. Zásady nakládání s osobními údaji
Při nakládání s osobními údaji se SVJ, jeho členové a další osoby řídí těmito zásadami:
- Postupovat při nakládání s osobními údaji v souladu s právními předpisy,
- S osobními údaji nakládat uvážlivě, souhlas se zpracováním osobních údajů nenadužívat,
- Zpracovávat osobní údaje ke stanovenému účelu a ve stanoveném rozsahu a dbát na to, aby tyto byly pravdivé a přesné,
- Zpracovávat osobní údaje v souladu se zásadou zákonnosti – na základě právních předpisů, při plnění ze smlouvy, při plnění právní povinnosti předsedy, při ochraně životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby, při ochraně oprávněných zájmů SVJ, při ochraně veřejného zájmu, a zpracování osobních údajů na základě souhlasu,
- Respektovat práva člověka, který je subjektem údajů, zejména práva dát a odvolat souhlas se zpracováním, práva na výmaz, namítat rozsah zpracování apod.,
- Poskytovat informace o zpracování osobních údajů, komunikovat,
- Při uzavírání smluv a právním jednání postupovat se zřetelem na povinnost chránit osobní údaje před zneužitím,
- Spolupracovat s pověřencem pro ochranu osobních údajů.
3. Postupy SVJ, jejích členů, případně dalších osob při nakládání s osobními údaji
3.1 SVJ všechny osobní údaje, se kterými nakládá a které zpracovává, chrání vhodnými a dostupnými prostředky před zneužitím. Přitom SVJ především uchovává osobní údaje v prostorách, na místech, v prostředí nebo v systému, do kterého má přístup omezený, předem stanovený a v každý okamžik alespoň předsedovi SVJ známý okruh osob; jiné osoby mohou získat přístup k osobním údajům pouze se svolením předsedy SVJ nebo jím pověřené osoby.
3.2 SVJ zavede taková opatření, aby o nakládání a zpracování osobních údajů měl přehled alespoň předseda SVJ nebo jím pověřená osoba a pověřenec pro ochranu osobních údajů. Mezi tato opatření patří např. ústní nebo písemná informace, písemná komunikace, stanovení povinností v pracovní smlouvě, v dohodě o provedení práce, v dohodě o pracovní činnosti, ve smlouvě, kterou SVJ uzavírá se třetí osobou (nájemní smlouva, smlouva o dílo, smlouva o pojištění, aj.).
3.3 SVJ alespoň jednou za rok provede zhodnocení postupů při nakládání a zpracování osobních údajů. Zhodnocení může být provedeno dle zvyklostí SVJ, zpravidla se učiní stručný záznam např. v zápisu z porady. Zjistí-li se, že některé postupy SVJ jsou zastaralé, zbytečné nebo se neosvědčily, učiní SVJ bezodkladně nápravu.
3.4 Každý člen SVJ při nakládání s osobními údaji respektuje jejich povahu, tedy že jde o součást soukromí člověka jako subjektu údajů, a tomu přizpůsobí úkony s tím spojené. Člen SVJ zejména osobní údaje nezveřejňuje bez ověření, že takový postup je možný, nezpřístupňuje osobní údaje osobám, které neprokáží právo s nimi nakládat. Člen SVJ, vyplývá-li taková povinnost z jiných dokumentů, informuje subjekt údajů o jeho právech na ochranu osobních údajů; jinak odkáže na předsedu SVJ nebo jím určenou osobu nebo na pověřence pro ochranu osobních údajů.
3.5 SVJ při nakládání a zpracovávání osobních údajů aktivně spolupracuje s pověřencem pro ochranu osobních údajů.
3.6 SVJ ihned řeší každý bezpečnostní incident týkající se osobních údajů, a to v součinnosti s pověřencem pro ochranu osobních údajů. V případě, že je pravděpodobné, že incident bude mít za následek vysoké riziko pro práva a svobody fyzických osob, především konkrétního člena, atd., SVJ tuto osobu vždy informuje a sdělí, jaká opatření k nápravě přijala. O každém incidentu se sepíše záznam. O každém závažném incidentu SVJ informuje Úřad pro ochranu osobních údajů.
3.7 Vzhledem k tomu, že SVJ eviduje v podstatě údaje o členech SVJ, nemá oznamovací povinnost vůči Úřadu pro ochranu osobních údajů podle ustanovení 3.6 věty první.
3.8 Organizační opatření k ochraně osobních údajů v SVJ
3.8.1 Materiály ze SVJ, které obsahují osobní údaje členů, jsou trvale uloženy v uzamykatelných skříních u předsedy SVJ. Předseda SVJ a jim pověřené osoby manipulují s dokumenty s osobními údaji pouze v prostorách určených pro SVJ. Další materiály ze SVJ či jejich části nelze vynášet ze SVJ, předávat cizím osobám nebo kopírovat a kopie poskytovat neoprávněným osobám.
3.8.2 Elektronická evidence je vedena v zabezpečeném informačním systému finančního poradce, Ekoltesu a SVJ . Do těchto systémů mají přístup pověření administrátoři a další osoby výslovně a písemně pověřené předsedou SVJ, a to jen na základě jedinečného přihlašovacího jména a hesla a pouze v rámci oprávnění daného funkčním zařazením. Při práci s elektronickou evidencí oprávnění nesmí oprávněné osoby opouštět počítač bez odhlášení , nemohou nechat nahlížet žádnou jinou osobu a musí chránit utajení přihlašovacího hesla; a v případě nebezpečí jeho vyzrazení jej ihned (ve spolupráci se správcem sítě) změnit. Přístupy nastavuje pověřený člen SVJ a Ekoltesu, který nastavuje potřebné zabezpečení dat a počítačové sítě.
3.8.3 Osobní údaje členů SVJ jsou uloženy v uzamykatelných skříních u předsedy SVJ, přístup k nim má předseda SVJ nebo zástupce předsedy, zastupuje-li předsedu, případně, je-li to nutné též pověřence pro ochranu osobních údajů.
3.8.4 Členové SVJ mají právo seznámit se s obsahem svých osobních údajů. O tomto právu jsou členové SVJ poučeni, zpravidla na Valné hromadě a při podpisu k souhlasu jejich použití.
3.8.5 Členové SVJ neposkytují bez právního důvodu žádnou formou osobní údaje cizím osobám a institucím, tedy ani telefonicky ani mailem ani při osobním jednání.
3.8.6 Písemná hodnocení a osobní údaje, která se odesílají mimo SVJ, např. pro potřeby soudního řízení a přestupků, zpracovávají členové určení předsedou SVJ. Nejsou však oprávněni samostatně tato hodnocení podepisovat, poskytovat a odesílat jménem SVJ a mají povinnost zachovávat mlčenlivost o dané věci.
3.8.7 Seznamy členů SVJ se nezveřejňují, neposkytují bez vědomého souhlasu člena jiným fyzickým či právnickým osobám nebo orgánům, které neplní funkci orgánu nadřízeného SVJ nebo nevyplývá-li to ze zákona.
3.8.8 V propagačních materiálech SVJ, ve výroční zprávě na Valné hromadě, na webu SVJ či na nástěnce apod. lze s obecným souhlasem členů uveřejňovat výhradně textové či obrazové informace o činnosti SVJ s uvedením pouze jména (případně ročníku). Při publikování v tisku se autor dotazuje na souhlas příslušného člena. Člen SVJ má právo požadovat bezodkladné zablokování či odstranění informace či fotografie či záznamu týkající se jeho osoby, který zveřejňovat nechce. Platí to i o fotografiích či záznamech člena SVJ bez uvedení jména v rámci obecné dokumentace SVJ.
3.8.9 Jiné průzkumy a testování mezi členy SVJ, jejichž součástí by bylo uvedení osobních údajů člena, lze provádět jen se souhlasem člena SVJ. To se netýká anonymních průzkumů, které však musí souviset se společenským děním SVJ a musí s nim předem písemně souhlasit předseda SVJ.
3.8.10 Pokud jsou pro vedení dokumentace využívány formuláře a software, je nutné provést kontrolu, zda nepožadují či nenabízejí evidenci nadbytečných údajů a tyto údaje nezpracovávat.
3.8.11 V SVJ se neprovozují kamerové systémy sledující prostory používané členy SVJ.
3.8.12 Uzavírá-li SVJ jakoukoli smlouvu (nájemní smlouvu, smlouvu o dílo, smlouvu o poskytnutí služeb, nepojmenovanou smlouvu apod.), k jejímuž plnění je zapotřebí druhé smluvní straně poskytnout osobní údaje, SVJ vždy a bezpodmínečně bude trvat na tom, aby ve smlouvě byla druhé smluvní straně uložena povinnost:
- přijmout všechna bezpečnostní, technická, organizační a jiná opatření s přihlédnutím ke stavu techniky, povaze zpracování, rozsahu zpracování, kontextu zpracování a účelům zpracování k zabránění jakéhokoli narušení poskytnutých osobních údajů,
- nezapojit do zpracování žádné další osoby bez předchozího písemného souhlasu SVJ,
- zpracovávat osobní údaje pouze pro plnění smlouvy, výjimkou jsou pouze případy, kdy jsou určité povinnosti uloženy přímo právním předpisem,
- zajistit, aby se osoby oprávněné zpracovávat osobní údaje u dodavatele byly zavázány k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti,
- zajistit, že dodavatel bude SVJ bez zbytečného odkladu nápomocen při plnění povinností SVJ, zejména povinnosti reagovat na žádosti o výkon práv subjektů údajů, povinnosti ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu, povinnosti oznamovat případy porušení zabezpečení osobních údajů subjektu údajů, povinnosti posoudit vliv na ochranu osobních údajů a povinnosti provádět předchozí konzultace, a že za tímto účelem zajistí nebo přijme vhodná technická a organizační opatření, o kterých ihned informuje SVJ,
- po ukončení smlouvy řádně naložit se zpracovávanými osobními údaji, např. že všechny osobní údaje vymaže, nebo je vrátí SVJ a vymaže existující kopie apod.,
- poskytnout SVJ veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené SVJ právními předpisy,
- umožnit kontrolu, audit či inspekci prováděné SVJ nebo příslušným orgánem dle právních předpisů,
- poskytnout bez zbytečného odkladu nebo ve lhůtě, kterou stanoví SVJ, součinnost potřebnou pro plnění zákonných povinností SVJ spojených s ochranou osobních údajů, jejich zpracováním,
- poskytnuté osobní údaje chránit v souladu s právními předpisy,
- přiměřeně postupovat podle této směrnice, která je přílohou smlouvy.
4. Pravidla pro získávání, shromažďování, ukládání, použití, šíření a uchovávání osobních údajů.
4.1 SVJ nakládá a zpracovává pouze osobní údaje, které
- souvisejí se společenským zařazením členů SVJ, (např., fotografie, pozice zařazení apod.),
- souvisejí s jednoznačnou identifikací členů SVJ v souladu se zákonem (jméno, příjmení, bydliště, kontakt, např. telefonní číslo pro případ nutného kontaktu SVJ, další údaje nezbytné např. pro vydání správního rozhodnutí apod.),
- související s identifikací člena ze zákona (datum narození, místo narození, rodné číslo, státní příslušnost, bydliště, apod.),
- jsou nezbytné pro plnění právní povinnosti, ochranu oprávněných zájmů SVJ nebo ve veřejném zájmu,
- k jejichž zpracování získala souhlas subjektu údajů.
4.2 Osobní údaje se uchovávají i po době, která je nezbytná k dosažení účelu jejich zpracování a to pro potřebu pozdějších statistik.
4.4 K osobním údajům mají přístup osoby k tomu oprávněné zákonem nebo na základě zákona. Do jednotlivých dokumentů SVJ, které obsahují osobní údaje, mohou nahlížet
- k osobním údajům člena SVJ má přístup předseda SVJ, místopředseda SVJ. Právo nahlížet do osobních údajů má úřad práce, soud, státní zástupce, příslušný orgán Policie České republiky, Národní bezpečnostní úřad a zpravodajské služby. Člen SVJ má právo nahlížet do svých údajů, činit si z něho výpisky a pořizovat si stejnopisy dokladů v něm obsažených, a to na své náklady,
- do osobních údajů, vedeném ve správním řízení účastníci správního řízení, vedení SVJ (předseda, místopředseda), osoba, která je zmocněna s úředním spisem pracovat po dobu řízení.
5. Souhlas k zpracováním osobních údajů
5.1 Ke zpracování osobních údajů nad rozsah vyplývající ze zákonů (ze zákona vyplývá i oprávněný zájem, plnění právní povinnosti, plnění smlouvy, veřejný zájem) je nezbytný souhlas osoby, o jejíž osobní údaje se jedná. Souhlas musí být poučený, informovaný a konkrétní, nejlépe v písemné podobě. Souhlas se získává pouze pro konkrétní údaje na konkrétní dobu a pro konkrétní účel.
5.2 Souhlas se získává pro zpracování osobních údajů jen tehdy, pokud je jejich zpracování nezbytně nutné a právní předpisy jiný důvod pro toto zpracování nestanoví.
5.3 Souhlas se poskytuje podle účelu. Udělený souhlas může být v souladu s právními předpisy odvolán.
6. Některé povinnosti SVJ, jejích členů, případně dalších osob při nakládání s osobními údaji.
6.1 Každý člen SVJ je povinen počínat si tak, aby neohrozil ochranu osobních údajů zpracovávaných spolkem.
6.2 Dále je každý člen SVJ povinen
- zamezit nahodilému a neoprávněnému přístupu k osobním údajům členů SVJ, a dalších osob, které SVJ zpracovává,
- pokud zjistí porušení ochrany osobních údajů, neoprávněné použití osobních údajů, zneužití osobních nebo jiné neoprávněné jednání související s ochranou osobních údajů, bezodkladně zabránit dalšímu neoprávněnému nakládání, zejména zajistit znepřístupnění, a ohlásit tuto skutečnost předsedovi SVJ či jinému příslušnému členu výboru.
6.3 Předseda SVJ je povinen
- informovat členy SVJ o všech významných skutečnostech, postupech nebo událostech souvisejících s nakládáním s osobními údaji v SVJ, a to bez zbytečného odkladu,
- zajistit, aby členové SVJ byli řádně poučeni o právech a povinnostech při ochraně osobních údajů,
- zajišťovat, aby členové SVJ byli podle možností a potřeb SVJ proškolováni o ochraně osobních údajů
- zajistit, aby byl schopen řádně doložit plnění povinností SVJ při ochraně osobních údajů, které vyplývají z právních předpisů.
Směrnice SVJ pro ochranu osobních údajů (GDPR) zpracoval výbor SVJ.
V českém právním prostředí tak obecné nařízení GDPR od 25. května 2018 nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů, který v současné době stanovuje povinnosti a práva při zpracování osobních údajů.
Dne 20, dubna 2018 Za výbor SVJ: předseda Ing. Jozef VAŠINA.
Estránky a GDPR
Vážení zákazníci,
Dovolte mi podělit se s Vámi o několik zásadních informací týkajících se dopadu GDPR na provoz naší služby Estránky.
V první řadě bych rád uvedl odpověď na tu asi nejočekávanější otázku, kterou je: „Jak se mě jako zákazníka estránek dotkne GDPR? “ – Doufám, že vás potěším odpovědí, že 90% z vás nijak.“
Proč? Jelikož se o GDPR již nějakou dobu ví, a technické požadavky byly celkem jasné, tak jsme v průběhu loňského a letošního roku začali celý náš systém po malých částech upravovat tak, aby dnes tj. 25.5. nečekal nikoho žádný zásadní šok. Čili, vaše data (ať již obsahují osobní údaje, či nikoli) jsou zabezpečena (šifrována, zálohována.) tak, aby se k nim nikdo nepovolaný nedostal.
Mnohé z vás teď určitě napadá, proč vám toto dáváme vědět až dnes. Důvod je opět jednoduchý. Vyjma řekněme „technické“ části totiž ohledně GDPR panovalo a stálo panuje několik nejasností. Ty měly být vysvětleny stanovisky Úřadu pro ochranu osobních údajů (ÚOOÚ), který bude vykonávat dohled nad dodržováním pravidel GDPR. Bohužel se tak nestalo a zejména v posledních měsících jsme byli svědky měnícího se pohledu ÚOOÚ na některé oblasti zpracování dat. Příkladem za všechny je například povinnost informovat návštěvníka stránky o využívání tzv. Cookies (malé soubory ukládané na PC návštěvníka obsahující například přihlašovací údaje), kdy finální rozhodnutí padlo teprve předevčírem(!). Rozhodl jsem se tedy poslat vám informace až ve finální podobě a nevnášet do této problematiky každý týden zmatek protichůdnými informacemi.
Nicméně jsme odpověděli každému z vás, který se aktivně zeptal.
Teď tedy spíše stručně k tomu, jak se GDPR dotkne provozování webových stránek. Jak jsem uvedl na začátku tohoto e-mailu, tak technickou stránku věci řešíme ostatně jako vždy my a vy se nemusíte o nic starat. Z pohledu GDPR jsme pro Vás tedy „Zpracovateli osobních údajů“ a zodpovídáme za jejich bezpečnost.
Vy, jako vlastnící stránek jste pak z pohledu GDPR tzv. „Správci osobních údajů“. To znamená, že v případě, že nakládáte s osobními údaji, tak činíte na základě vědomého souhlasu subjektu, od kterého jste tyto údaje získali a používáte je pouze za účelem, ke kterému jste získali souhlas.
Předchozí odstavec zněl strašně, ale jinak to napsat nejde. Lepší, ale bude ukázat si na konkrétních příkladech, co je špatně, co správně, k čemu souhlas nepotřebujete a k čemu ano.
1. Uživatel zařadí svou e-mailovou adresu do mail listu na mých stránkách
V pořádku, uživatel tak činí vědomě. Nejprve je uživateli systémem estránek odeslán e-mail, kde musí tuto službu aktivovat. Tím je zaručeno, že je skutečným vlastníkem e-mailové adresy, kterou zadal. Vždy má pak možnost se z odběru odhlásit.
Zakázáno pak je, použít e-mailovou adresu uživatele, který se přihlásil k odběru novinek a vy mu budete posílat e-maily, které s vaší stránkou nesouvisí.
2. Mám na estránkách eshop
V pořádku. Uživatel má možnost se buď zaregistrovat, nebo nakoupit bez registrace, také si může vybrat, zda chce dostávat novinky z vašeho eshopu. Vždy ale musí vyplnit údaje nutné k zaslání zboží, včetně kontaktů, na které mu přijde faktura. Tomuto GDPR říká „Oprávněný zájem“ a nemusíte od uživatele získat žádný extra souhlas se zpracováním osobních údajů. Všechny údaje, které v našem eshopovém řešení od uživatele sbíráte jsou nezbytné pro vytvoření objednávky, vytvoření faktury a slouží jako podklad pro vedení účetnictví.
Zakázáno pak je opět zneužívání údajů, které o vašich klientech získáte. Například prodejem databáze zákazníků jinému subjektu.
Závěrem, bych vás pak chtěl uklidnit ohledně pokut ÚOOÚ a jejich výše, o které tak rádi často informují novináři.
Vždy záleží na konkrétní situaci, míře porušení a finanční situaci subjektu, který se porušení dopustil. Mnohokráte jsme byli ujištěni, že administrativní pochybení u živnostníka nemůže být sankcionováno pokutou 20mil. Kč o které se tak často hovoří. Toto je určeno právě pro velké firmy, které čile obchodují s daty uživatelů. A právě zmaření takových obchodů má GDPR zabránit.
Dodatek pro vlastníky eshopů:
Abychom vám pomohli s administrativou, kterou jsme si také museli projít, tak dávám k dispozici vzor Zásad o ochraně osobních údajů zpracovaný našimi právníky. Tento dokument by měl být uveřejněn spolu se všeobecnými obchodními podmínkami na vaší webové stránce a k dispozici na provozovně. Stahovat můžete zde, stačí doplnit.
Radomír Kolínský - Ředitel společnosti Websitemaster a.s.