Nadbytečný souhlas se zpracováním osobních údajů může být považován za porušení obecného nařízení GDPR

vloženo 22.02.2019

Nadbytečný souhlas může být porušením obecného nařízení GDPR

Přestože obecné nařízení GDPR funguje v praxi již skoro 9 měsíců, stále se setkáváme se špatným postupem ze strany družstev a SVJ a jejich obchodních partnerů - dodavatelů služeb či externích správců. Družstva a společenství vyžadují po svých členech, vlastnících, nájemcích, podnájemnících a dalších osobách žijících v bytě, souhlas se zpracováním osobních údajů, aniž by jej potřebovali. 

Mnozí tak činí, protože si nejsou jisti, zda souhlas potřebují zejména díky „radám“ na internetu či různých GDPR „poradců“. Souhlas pak vyžadují s přesvědčením, že souhlasem přece nic nezkazí. Bohužel zbytečně tak administrativně zatěžují nejen sami sebe, ale především tím obtěžují samotné občany a díky tomu porušují obecné nařízení GDPR. 

Výňatek z tiskové zprávy úřadu na ochranu osobních údajů:

„Správci a zpracovatelé nadbytečně požadují po svých zákaznících – klientech souhlas se zpracováním osobních údajů v případech služeb, které jsou běžně poskytovány na základě zákona, smlouvy či jiného právního důvodu uvedeného v obecném nařízení.“ Úřad dále varuje veřejnost, že vyžadování souhlasu může být v řadě případů nadbytečné a v rozporu s obecným nařízením (GDPR).

Správa majetku bytového družstva či SVJ s sebou nepochybně nese zpracování osobních údajů. Pokud jsou však zpracovávány pouze osobní údaje, k nimž má družstvo či SVJ právní důvod a osobní údaje jsou využívány pouze k plnění povinností při správě majetku družstva a SVJ, pak žádný souhlas ke zpracování osobních údajů není potřeba. Stejně tak není potřeba souhlasu v případě zpracování osobních údajů na základě plnění povinností z uzavřené smlouvy např. s externím správcem domu či dodavatelem některých služeb, navíc když se zpracovatel k ochraně osobních údajů v souladu s čl. 28 Nařízení smluvně zavázal.

Zákonným podkladem pro zpracování osobních údajů v družstvu je zejména Zákon č. 90/2012 Sb., o obchodních korporacích (např. § 580 seznam členů) a dále Zákon č. 326/1999 Sb. o pobytu cizinců na území České republiky a o změně některých zákonů (řeší vyžadování státní příslušnosti pro možnost splnění zákonné povinnosti družstva, jakožto ubytovatele). Družstvo může dále zpracovávat osobní údaje o dalších osobách žijících v bytě za účelem posouzení, zda nájemce – člen družstva neporušuje ustanovení ohledně nepovoleného podnájmu, zda nedochází k ubytování cizince a není tak potřeba splnit povinnosti ubytovatele vůči cizinecké policizi a rovněž tak může družstvo činit v souladu s § 10 Zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech.

Zákonným podkladem pro zpracování osobních údajů ve společenství vlastníků je zejména Zákon č. 89/2012 Sb., občanský zákoník (např. § 1177, § 1178).

Přestože jsme se tématu ochraně osobních dat a Nařízení GDPR dosti podrobně věnovali v našich aktualitách a poradně, pořádali jsme na toto téma 2 školení a rozesílali informace našim zákazníkům z řad bytových družstev a SVJ, stále se setkáváme se zcela opačným přístupem, kdy je souhlas nadbytečně vyžadován, případně je běžně požadováno uvedení rodného čísla či dokonce zaměstnání. 

Zpracování osobních údajů však s sebou nese informační povinnosti

Správci osobních údajů – družstva a SVJ, sice nepotřebují souhlas se zpracováním osobních údajů, musí však vhodným způsobem informovat fyzické osoby o tom, že jejich osobní údaje jsou zpracovávány. Informace musí obsahovat předepsané náležitosti, mezi ně patří např. uvedení kategorie zpracovávaných osobních údajů, kdo je příjemcem osobních údajů, za jakým účelem jsou osobní údaje zpracovávány, kdo je správcem osobních údajů. Dále je potřeba subjekty osobních údajů informovat o právech a povinnostech v souvislosti se zpracováním osobních údajů (například možnost požádat o aktualizaci již neplatných údajů). Vzor oznámení o zpracování osobních údajů jsme rozesílali všem našim zákazníkům z řad družstev a SVJ a také uveřejnili na portále webDOMU.cz. Informace je potřeba osobám poskytnout vhodným způsobem, mezi který patří například zveřejnění na nástěnce nebo prostřednictvím webových stránek. Není potřeba, aby osoba, jejíž osobní údaje jsou zpracovávány, musela podepsat skutečnost, že byla informována – jedná se opět o nadbytečnost a administrativní zátěž zejména při změnách členů, nájemců a dalších osob žijících v bytě.

Souhlas není potřeba ani v případě zpracování osobních údajů externí osobou, např. správcem

Souhlas se zpracováním osobních údajů bytová družstva a společenství vlastníků nepotřebují ani v případě, že osobní údaje ke zpracování poskytnout zpracovateli – například externímu správci či účetní družstva. V případě využití zpracovatele je však potřeba, aby se zpracovatel smluvně zavázal k plnění povinností, které vyplývají z obecného Nařízení GDPR. Smlouva pak musí obsahovat povinné náležitosti dle článku 28 Nařízení, případně je možné tak učinit samostatným ujednáním. V případě zpracovatele s větším počtem zákazníků, stačí akceptovat nové obchodní podmínky, které se k ochraně osobních údajů ve smyslu čl. 28 Nařízení zavazují.

Správce osobních údajů (družstvo, SVJ) musí při výběru zpracovatele splnit zákonnem daný požadavek – využít pouze takového zpracovatele, který poskytuje dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky daného nařízení a aby byla zajištěna ochrana práv subjektu údajů.

regulace topení na patě domu

Souhlas je potřeba v případě zpracování osobních údajů, ke kterým není zákonný či smluvní důvod nebo jsou údaje zpracovávány pro jiný než zákonný / smluvní účel

Příkladem takového zpracování může být například situace, kdy družstvo či SVJ získá osobní údaje ve věci správy majetku družstva/SVJ a tyto údaje poskytne jiné osobě k marketingovým účelům, respektive dá v souvislosti s přijetím nějaké služby souhlas k marketingovému použití těcho údajů (například tyto osobní údaje poskytne "energetickým poradcům"). Příkladem takového zpracování bylo zpracovávání rodných čísel členů družstva/SVJ, nájemců, podnájemců a pod., podle stavu platného do 23.4.2019. Novelou zákona č. 133/2000 Sb., o evidenci obyvatel a zpracování rodných číslech s účinností od 24.4.2019 byla rozšířena možnost využití, respektive zpracování rodných čísel následovně:

§ 13c

(1) Rodná čísla lze využívat jen

a) jde-li o činnost ministerstev, jiných správních úřadů, orgánů pověřených výkonem státní správy, soudů, vyplývající z jejich zákonem stanovené působnosti, nebo notářů pro potřebu vedení Centrální evidence závětí,

b) stanoví-li tak zvláštní zákon,

c) pokud je to nezbytné pro vymáhání soukromoprávních nároků nebo pro předcházení vzniku nesplácených pohledávek, jsou-li přijata konkrétní opatření k ochraně práv a svobod subjektu údajů, která odpovídají stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i různě pravděpodobným a závažným rizikům pro práva a svobody fyzických osob, nebo (tento bod byl doplněn s účinností od 24.4.2019)

d) se souhlasem nositele rodného čísla nebo jeho zákonného zástupce.

Pro využívání rodných čísel se rodným číslem rozumí i jakákoliv kombinace čísel vyjadřující den, měsíc, rok narození a třímístnou nebo čtyřmístnou koncovku rodného čísla, z níž je možné dovodit identifikaci fyzické osoby.

Nadbytečné zpracování osobních údajů může být i přes souhlas se zpracováním považováno za porušení zákona

Pokud správce zpracovává osobní údaje, ke kterým není povinen, může jít o postup, z něhož vyplývá podezření z porušení zákona pro nadbytečné zpracování osobních údajů, a to i v případě, že je zpracovává se souhlasem subjektů údajů. Zpracování totiž musí respektovat zásadu minimalizace zpracovávaných údajů podle čl. 5 odst. 1 písm. c) Obecného Nařízení.

Úřad na ochranu osobních údajů však respektuje zpracování čísel mobilů a e-mailů členů, vlastníků a nájemců za účelem nutnosti kontaktování ve věci správy domu, přičemž zpracování této kategorie osobních údajů lze zdůvodnit právním zájmem družstva či SVJ.

Rodné číslo je však možné zpracovávat např. v mzdové oblasti nebo v souvislosti se zápisem do veřejného rejstříku (protože tak stanoví zvláštní zákon)

V případě, že družstvo či SVJ vyplácí svým členům finanční odměnu z výkonu funkce nebo na základě dohody o provedení práce, pak samozřejmě má pro zpracování rodného čísla zákonný podklad, neboť rodné číslo je povinnou náležitostí mzdového listu. Takto získané rodné číslo však není možné použít ke zpracování pro jiné účely – například sledování insolvencí.

Rodné číslo je dále možné zpracovat v případě osob zapisovaných do veřejného rejstříku. I když samotné rodné číslo se ve veřejné části rejstříku nezobrazuje, pro zápis osoby – statutárního nebo kontrolního orgánu je nezbytné.

Výhrada autora: užití obsahu ke KOMERČNÍMU užití včetně převzetí, šíření či dalšího zpřístupňování na jiných protálech, webech či v tisku je možné pouze s uvedením autora, zdroje a aktivního prokliku na webdomu.cz

Autor: Ing. Pavla Gajdáčková, jednatelka webDOMU s.r.o., kontakt: 777 263 582, info@webdomu.cz

Zdroj: Obecné Nařízení GDPR, přednáška Ing. Milana Ševčíka, úřad pro ochranu osobních údajů Praha 7. června 2018

 



zpět do Aktualit