Z toho pro oba typy právnických osob plynou s tím související právní povinnosti, a to zejména povinnost analyzovat, zda je konkrétní zamýšlené jednání v souladu s GDPR, a pokud ke zpracování osobních údajů dojít má, pak musí taková osoba splnit řádně a včas i další legální povinnosti vůči subjektům údajů. Těmito subjekty údajů zdaleka nejsou pouze členové SVJ nebo BD. Aktuální legislativní vývoj, včetně povinností v souvislosti s ochranou osobních údajů, klade na členy statutárních orgánů stále náročnější povinnosti, což může být jeden z důvodů pro rozvoj profesionálních statutárních orgánů.
Předchozí část článku si můžete přečíst zde.
Sdělování osobních údajů soudu a soudnímu exekutorovi
Obdobně jako policejní orgán pro účely trestního řízení má pro účely nalézacích (a jiných) soudních řízení určitou zákonnou pravomoc soud a pro účely exekučního řízení soudní exekutor.
V případě identifikace soudu či soudního exekutora nenastane v praxi žádná komplikace, neboť tyto osoby komunikují výhradně datovou schránkou, resp. prostřednictvím držitele poštovní licence, a užívají určité hlavičkové papíry a standardizovaná razítka.
Výjimkou z této situace může být soudní či exekutorský vykonavatel. V případě soudního vykonavatele (ust. § 265 odst. 3 o. s. ř.) bude situace skutečně jen nahodilá, neboť jednak věřitelé soudní výkon zpravidla neužívají (když drtivou většinu exekučních titulů vykonávají v praxi soudní exekutoři), a jednak nelze ani obecně aktivitu soudního vykonavatele v tomto směru reálně očekávat. Naopak poměrně běžný může být kontakt statutárního orgánu SVJ či BD s exekutorským vykonavatelem.
Zde je nutné zdůraznit, že soudní exekutor má v mnoha úkonech postavení soudu prvního stupně.[1] Exekutorský vykonavatel je pak zaměstnancem soudního exekutora (ust. § 27 ex. řádu), a tedy jeho zákonným zástupcem, vykonavatel může být soudním exekutorem pověřen k určitým úkonům, které provádí soudní vykonavatel. Tato působnost je poměrně rozsáhlá[2] a k jejímu výkonu je bezpodmínečně nutné, aby exekutorský vykonavatel pracoval s mnoha osobními údaji. Drtivou většinu z těchto osobních údajů získá soudní exekutor z rejstříků, a to nejen veřejných, ale rovněž i neveřejných (např. z Centrální evidence osob). Součástí jeho zákonné působnosti dohledávat majetek povinného je pak postup dle ust. § 33 ex. řádu, který zakládá povinnost třetích osob poskytnout soudnímu exekutorovi tam definovanou součinnost.
Právě pojem „součinnost“ však v reálné činnosti SVJ či BD, kdy odpovědný statutární orgán váží, zda postupuje v souladu s GDPR, či nikoli, může činit potíže. Ustanovení konstatuje, že „Právnické a fyzické osoby, rozhodují-li o právech a povinnostech, jsou povinny sdělit exekutorovi na jeho písemnou žádost údaje o majetku povinného, které jim jsou známy z jejich úřední činnosti (odst. 1)“a „Právnické osoby, které z úřední moci jsou zvláštním právním předpisem pověřeny k vedení evidence osob nebo jejich majetku nebo vzhledem k předmětu své činnosti vedou evidenci osob a jejich majetku, jsou povinny oznámit exekutorovi na jeho písemnou žádost údaje potřebné k vedení exekuce (odst. 3).“
Nelze si nevšimnout, že takové vymezení povinných právnických osob příliš nezapadá do definice společenství vlastníků ani bytového družstva. Podle stanoviska Asociace pro rozvoj kolektivního vyjednávání a pracovních vztahů[3] „Z ust. § 33 a násl. ex. řádu, která jsou nadepsána ‚Součinnost třetích osob‘, nelze povinnost součinnosti zaměstnavatele vůči exekutorovi dovodit. Přímo o plátci mzdy se v žádném z těchto ustanovení nehovoří. Na některých místech textu jsou sice jako povinné subjekty zmíněny ‚právnické a fyzické osoby‘, z kontextu ale vyplývá, že zaměstnavatel tím myšlen rozhodně není.“ Připomeňme v této souvislosti, že jednak SVJ a BD budou mít vůči svým statutárním (a eventuálně kontrolním) orgánům postavení zaměstnavatele, ale jednak lze totožný výklad vztáhnout i na společenství vlastníků a bytová družstva obecně, neboť ani SVJ, ani BD „nelze považovat za právnickou nebo fyzickou osobu, která rozhoduje o právech a povinnostech (§ 33 odst. 1 ex. řádu) nebo která je zvláštním právním předpisem pověřena vedením evidence osob a jejich majetku nebo disponuje takovou evidencí s ohledem na předmět své činnosti (§ 33 odst. 3 ex. řádu)“.
Poměrně opačný názor pak zastává Exekutorská komora České republiky (dále jen „EKČR“). Např. komentářová literatura[4] sepsaná nedávno zesnulou právní autoritou na poli exekučního práva,[5] prezidentem EKČR JUDr. Vladimírem Plášilem, výslovně konstatuje: „Je nutno zdůraznit, že přehled subjektů je pouze demonstrativní a osoby, které tyto evidence vedou, mohou být založeny jak veřejným právem, tak se může jednat o soukromoprávní subjekty.“ Přitom již shora bylo konstatováno, že počínaje 1. 1. 2021 jsou SVJ povinna evidenci členů vést výslovně a v případě bytových družstev takovou povinnost založil zákon o obchodních korporacích již od 1. 1. 2014. Proti tomuto odbornému názoru pak nicméně stojí část soudní praxe, která zákonný výčet osob naopak považuje za taxativní.[6]
Výklad daného ustanovení ve vztahu ke společenstvím vlastníků jednotek a bytovým družstvům tak zdaleka není jednoznačný. Podstatný tak může být i výklad Úřadu pro ochranu osobních údajů, nejméně ve vztahu k situacím, ve kterých SVJ a BD vystupují z pozice zaměstnavatele, dle kterého „Poskytnutí osobních údajů exekutorovi, nezbytných ke splnění právní povinnosti zaměstnavatele v postavení správce osobních údajů, je bez souhlasu subjektu údajů v souladu s § 5 odst. 2 písm. a) zákona o ochraně osobních údajů. Jestliže je výklad exekučního řádu sporný, nelze poskytnutí součinnosti posuzovat jako porušení zákona o ochraně osobních údajů.“[7]
Při poskytování součinnosti soudnímu exekutorovi by tak měly statutární orgány postupovat velmi obezřetně, v pochybnostech však bude právně jistějším postupem SVJ a BD soudnímu exekutorovi vyhovět, neboť sám Úřad pro ochranu osobních údajů správce a zpracovatele osobních údajů spíše chrání před sporným výkladem zákona.
Podstatné pak bude také hodnocení, jaké údaje jsou povinny sdělit. Soudní exekutor není oprávněn vyžadovat sdělení jakýchkoli informací. Žádost o součinnost musí odůvodnit tak, aby bylo zřejmé, proč mají požadované osobní údaje souvislost s exekučním řízením. Pro demonstraci tohoto rozsahu použijeme případ posuzovaný Ústavním soudem mezi Českou pojišťovnou, a. s., a Exekutorským úřadem Brno-město, který po pojišťovně požadoval sdělení obsahu určité smlouvy (rozsudek sp. zn. ÚS 3897/17). Ústavní soud uzavřel: „Stěžovatelka samozřejmě nemusí exekutorovi sdělovat všechny údaje o pojistníkovi, kterými disponuje, ale umožní mu takovou identifikaci, aby si jej dále v rámci součinnosti s jinými subjekty mohl sám dohledat.“ Obdobný princip bude dle autora možné přiměřeně vztáhnout na všechny povinné osoby ve smyslu ust. § 33 ex. řádu, a tedy i na společenství vlastníků a bytová družstva.
Samostatnou zmínku si pak zaslouží orgán sociálně-právní ochrany dětí, který se rovněž může obracet na statutární orgán SVJ či BD s dotazy týkajícími se určitého rodiče – člena SVJ či BD, a to typicky telefonicky či e-mailem, např. bude prověřovat prostředí, ve kterém nezletilý žije, a tedy obecnou pověst rodiče v předmětné budově, eventuální porušování domovního řádu a jeho podstatu, rušení nočního klidu apod. Zde budou zpravidla zájmy nezletilého dítěte na tom, aby bylo chráněno před případnými rušeními jeho práv ze strany rodiče, silnější než zájmy rodiče na ochranu jeho osobních údajů.
Provoz a správa vstupních čipových systémů, včetně čteček otisků
Systémy umožňující vstup oprávněným osobám do budov spravovaných společenstvími vlastníků jednotek a bytovými družstvy jsou typickou technologií, která využívá osobní údaje členů. Přístupové čipy budou zpravidla určitým způsobem identifikovány, nejčastěji unikátním číslem, to jak přímo na těle čipu, tak elektronicky čitelným číselným kódem čipu. Společenství vlastníků či bytové družstvo takové čipy přidělí osobám, které jsou oprávněny ke vstupu do předmětných nemovitých věcí. Až do tohoto okamžiku se povětšinou nebude jednat o zpracování osobních údajů.
Nezřídka jsou však obdobné elektronické čipové systémy spojeny s určitým softwarem na principu docházkových systémů, který veškeré vydané čipy eviduje a je schopen evidovat i konkrétní osoby, kterým byl takový čip vydán. Totožný systém je pak zpravidla velmi přesně schopen evidovat i docházku takových osob a v takové situaci již společenství vlastníků, resp. bytové družstvo, zpracovává osobní údaje spočívající v tom, kdy daná osoba konkrétně vstoupila do budovy, budovu opustila, případně kdy vyjela s vozidlem z garáží a do garáží se vrátila apod. Mám za to, že v žádném z těchto případů nelze odůvodnění účelu zpracování opřít o jiný titul než souhlas subjektu údajů [čl. 6 odst. 1 písm. a) GDPR]. Alternativně uvažovaná nezbytnost pro účely oprávněných zájmů příslušného správce či třetí strany [čl. 6 odst. 1 písm. f) GDPR] až na naprosté výjimky zjevně neobstojí, neboť snad až na situace, kdy je SVJ či BD oprávněno kontrolovat z pozice zaměstnavatele docházku svých zaměstnanců, nemůže oprávněný zájem na „sledování svých členů“ převážit nad zájmem takových členů na ochranu osobních údajů. Ostatně na obdobně tenké hranici balancuje ochrana osobních údajů při instalaci kamerových systémů, o kterých je pojednáno níže. Zejména jako právně nebezpečnou pak hodnotíme kombinaci kamerového systému a čipového systému, kdy je SVJ, resp. BD, schopno pomocí kamerového záznamu určit, že do budovy vstupovala určitá osoba, v určitém stavu či v určité společnosti, a současně s pomocí záznamu v čipovém systému podle času použití čipu identifikovat konkrétního držitele čipu.
Společenství vlastníků jednotek a bytová družstva by měla velice přísně hodnotit funkcionality, které využijí při nasazení těchto systémů. Sám o sobě je čipový systém bezesporu výbornou pomůckou, kdy je schopen zcela nahradit málo bezpečné mechanické klíče (ztráta, možnost zkopírování), když ztracený čip lze prakticky obratem deaktivovat, kdežto v případě klíče není jiné řešení než výměna celé vložky a s tím spojená nutná distribuce nových klíčů všem osobám. Máme však za to, že hranice tohoto „oprávněného zájmu“ SVJ či BD končí přesně tam, kde byly právě definovány, a nelze nalézt žádnou legální obhajobu pro to, aby SVJ či BD spravovalo osobní údaje svých členů spočívající v tom, kdy přesně a kam přesně vstupují (vyjma již zmíněné situace, že k tomu udělí výslovný souhlas).
V té souvislosti je nutné opět připomenout informační povinnost SVJ a BD jakožto správců takových osobních údajů, dle které jsou povinny si souhlas takové osoby získat již v okamžiku, kdy poprvé osobní údaj získávají (čl. 13 a násl. GDPR). V praxi SVJ a BD bude možné takové souhlasy získat zřejmě pouze v okamžiku, kdy je čip subjektu údajů osobám vydáván. Jedině v takovém okamžiku bude možné např. nechat subjekt údajů podepsat předávací protokol o předání čipu a současně souhlas se zpracováním jeho osobních údajů.
Uvažujeme-li, že čipový systém je komplexní systém zavedený jednotně v určitém bytovém domě, je nutné se předem připravit na situace, že určitý subjekt údajů odmítne souhlas s využíváním jeho údajů v souvislosti s přístupovým čipem udělit, anebo svůj souhlas odvolá. V takových případech je nutné, aby SVJ a BD bylo schopné ovládací software dostatečně efektivně administrovat a např. čip přiřazený k určitému vlastníkovi v takové situaci anonymizovat. I taková anonymizace však nemusí být efektivní vždy. Představme si dům, který má 20 oprávněných osob ke vstupu do budovy, z nichž jediná souhlas neposkytne nebo vezme zpět. V takovém případě nepostačí anonymizace jejích údajů u daného čipu, neboť bude možné určit, že právě tento „anonymizovaný“ čip užívá daná osoba.
Uvedenou metodiku, která bude dostatečně vhodně ošetřovat ochranu osobních práv subjektů údajů, bude proto muset SVJ či BD zpracovat ještě před zavedením takového přístupového systému do budovy.
Provoz a správa kamerových systémů
Podstatně rozsáhlejší pozornost než čipovým vstupním systémům je věnována kamerovým systémům. Klíčovou výkladovou úlohu zde převzal přímo Úřad pro ochranu osobních údajů, který pro dané případy přijal jednak stanovisko č. 1/2016,[8] které, byť vychází z již zrušeného zákona o ochraně osobních údajů č. 101/2000 Sb., lze vztáhnout i na právní prostředí ustavené od účinnosti GDPR, a jednak na svém webovém portálu provádí výklad legislativy i ve vztahu ke konkrétním otázkám[9] (často kladené dotazy). Autor se setkal s desítkami bytových domů, kde byl kamerový systém se záznamem instalován pouze na základě obecného (marketingového) prohlášení dodavatele, že systém je „v souladu s GDPR“.[10] Prakticky žádné z testovaných SVJ či BD neprovádělo před instalací kamerového systému jakoukoli řádnou analýzu, zda je daný kamerový systém legální, tj. zda vyhovuje pravidlům dle GDPR, a to i např. prostřednictvím kritického hodnocení takových kamerových systémů dle stanovisek ÚOOÚ.
Po řádné analýze byla převažující část těchto kamerových systémů přitom shledána jako rozporná s právní úpravou. Důvodem byla ve všech případech skutečnost, že statutární orgány opíraly legitimitu kamerových systémů např. o určitá usnesení přijatá na shromáždění SVJ (částí členů), resp. na členské schůzi BD (částí členů), a častěji pak o určité předchozí škodní události spočívající ve vykradení sklepů, poničení dveří, posprejování fasády a obdobně.
SVJ a BD v takových situacích tedy ve skutečnosti jako důvod pro instalaci takových kamerových systémů užívají souhlas svých členů a svůj oprávněný zájem.
Souhlas jakožto důvod dle čl. 6. odst. 1 písm. a) GDPR je nejvíce zjevně vadným titulem pro instalaci takového kamerového systému. Až na situace velmi malých bytových domů nebude na předmětném shromáždění či členské chůzi přítomno všech 100 % členů, a souhlas tak ve skutečnosti udělují jen někteří z nich. Navíc takto získaný souhlas není udělen mnoha dalšími osobami, které by byly nutně kamerovým systémem sledovány, jako např. návštěvy, rodinní příslušníci, partneři a partnerky členů, uklízečky, doručovatelé apod.
Podstatně jistějším právním důvodem je proto titul dle čl. 6 odst. 1 písm. f) GDPR, a tedy oprávněné zájmy příslušného správce či třetí strany, když těmito oprávněnými zájmy bude nejčastěji ochrana majetku spravovaného společenstvím vlastníků či bytovým družstvem. Tento důvod bude pravděpodobně tvořit drtivou většinu formálních odůvodnění pro instalaci kamerových systémů, které ÚOOÚ eviduje. Zmíněné stanovisko ÚOOÚ č. 1/2016 k tomu konstatuje: „Jednou ze základních otázek zpracování osobních údajů prostřednictvím kamerových systémů v bytových domech je posouzení poměru mezi hodnotami, které mají být chráněny, na jedné straně (např. ochrana života a zdraví, ochrana majetku), a hodnotami, do kterých bude zasaženo, na straně druhé (ochrana soukromí). Každý, kdo hodlá instalovat a provozovat kamerový systém, musí posoudit, zda je zvolený prostředek (kamerový systém) způsobilý a potřebný k dosažení cíle (např. odradit či následně odhalit pachatele krádeže apod.), a vhodně jej kombinovat s dalšími prostředky (např. zamykání dveří, mříže apod.) tak, aby zvolené řešení nepřiměřeně nezasahovalo do práva na soukromí všech lidí, kteří se v prostorách bytového domu mohou pohybovat.“ A tedy dle této zásady kamerový systém, který sice např. zaznamená vandalismus, ale nebude schopen identifikovat konkrétního pachatele (např. v žádném úhlu záběru zpravidla osoba nebude obličejem ke kameře), nemůže obstát. Úřad výstižně pokračuje: „Při stanovení prostředků a způsobu zpracování osobních údajů (…) doporučuje Úřad přihlédnout k povaze prostor, které mají být sledovány.“ Úřad tak vyjmenovává konkrétní situace, které budou SVJ a BD při výkonu své činnosti řešit a zvažovat. Tak např. prakticky zapovězeným prostorem pro umístění kamer by měly být vstupní dveře do bytů. Naopak sledování prostor, jako jsou sklepy a půdy a vchody do nich, garáže, kočárkárny, kolárny, prostory dopisních schránek, vnější plášť budovy (a jeho bezprostřední okolí), vstupní dveře do domu, vstupní chodby k výtahům a schodištím i výtahy a schodiště, do soukromí s ohledem na další parametry kamerového systému většinou zasahuje v přiměřené míře a z hlediska zásad účelného a přiměřeného zpracování údajů nevyvolává zásadní problémy.[11]
Povinností souvisejících s instalací kamerového systému se záznamem v bytovém domě je podstatně více než jen uvážení, zda je taková instalace v souladu s pravidly pro ochranu osobních údajů (např. musí být zvolena bezpečná technologie, data zabezpečena, přijat kamerový řád, splněna informační povinnost atd.[12]). Analýza souladu uvažovaného kamerového systému s těmito legálními pravidly bude však jedním z prvních kroků, které by mělo SVJ či BD učinit, než přistoupí k dalším detailnějším krokům směrem k realizaci.
Obecně lze v této souvislosti přístup Úřadu shrnout jako preferující ochranu osobních údajů, byť si nelze nevšimnout názorového posunu od poměrně militantního upřednostňování ochrany osobních údajů k dnešnímu částečně benevolentnějšímu výkladu situací, kdy lze kamerový systém v bytovém domě legálně provozovat. Jako jednoznačný závěr lze pak uzavřít, že všude tam, kde bude možné bez větších či objektivních překážek ochránit majetek spravovaný SVJ a BD jiným způsobem, či všude tam, kde bude možné dohledat eventuální pachatele jinými běžnými prostředky (kterými disponuje policejní orgán) než právě kamerovým systémem, nebude možné kamerový systém instalovat. Ani ojedinělá trestná činnost, např. ojedinělé vandalství, nebude jako legitimní důvod pro instalaci kamerového systému postačovat.
Předávání osobních údajů o členech správcovským společnostem
Tato problematika bude dopadat zejména na společenství vlastníků jednotek, neboť bytová družstva vykonávají správu sama. Správcem se má pro účely SVJ na mysli osoba, která má zajišťovat některé činnosti správy domu a pozemku, a rozhodnutí o její změně ve smyslu ust. § 1208 písm. g) o. z. Na rozdíl od bytového družstva, které je tvořeno ze své podstaty jinak než SVJ, nebude ve většině případů společenství vlastníků vykonávat úlohu správce. Vyjma eventuálně nejmenších bytových domů s několika jednotkami se vlastníci sami nebudou chtít podílet na administrativním a technickém chodu společenství vlastníků jednotek a minimálně zčásti přenechávají výkon vybraných činností na osobách profesně k tomu vybavených.[13]
V oblasti ochrany osobních údajů by pak SVJ ještě před zahájením spolupráce s těmito profesními subjekty, jejichž podstatou je nutně výkon činnosti, jejímž obsahem je zpracování osobních údajů spravovaných společenstvím vlastníků jednotek (evidence členů, správa jejich úhrad, vyúčtování aj.), měla učinit dva základní kroky – jednak uzavřít smlouvu o zpracování osobních údajů, a jednak ověřit, zda takový správce neužívá technologie ukládající data ve třetích zemích, např. cloudové služby, technologie od mateřských zahraničních společností (centrální servery) a jiné. V takových situacích by totiž bylo možné a nutné uvažovat, zda jsou naplněny podmínky pro definici takového stavu jakožto předávání osobních údajů do třetích zemí ve smyslu čl. V. GDPR, což s sebou nese další konsekvence a povinnosti pro SVJ. Obdobně lze pak takovou povinnost vztáhnout i na BD v případě, kdy využívá služeb určitého profesionála, kterému předává osobní údaje svých členů, např. účetní společnost.
Bez ohledu na to, zda dochází k předávání osobních údajů do třetích zemí, či nikoli, je třeba uzavřít s takovým správcem smlouvu o zpracování osobních údajů. Praxe si vyžádala mnoho podob takových smluv. Nejčastěji dochází k uzavírání určitých doložek, často s GDPR ne zcela souladné podoby, když tyto doložky jsou součástí uzavíraných smluv o správě (smlouva mezi SVJ a správcovskou společností, jejímž obsahem je zajištění některých služeb týkajících se společných částí budovy a pozemku, resp. některých služeb zajišťovaných jinak bytovým družstvem). Náležitosti smlouvy o zpracování osobních údajů upravuje čl. 28 odst. 3 GDPR a jakýkoli rozbor jejího obsahu je nad rámec možné kapacity tohoto příspěvku. Nejčastějšími úskalími těchto „smluv o zpracování osobních údajů“, vkládaných do smluv o správě nemovitosti je nerespektování náležitostí, které by měla tato smlouva mít dle GDPR. Ujednání tak často zcela zbytečně nepoužívají pojmosloví GDPR, anebo jej naopak pouze formálně opisují, aniž by smlouva skutečně zakotvovala konkrétní způsob, jak budou osobní údaje členů SVJ chráněny a jak s nimi bude (či nebude) zacházeno. Protože z pohledu aktuálně účinné legislativy je to správce, a tedy SVJ, kdo je odpovědný za to, že ochrana osobních údajů bude dodržena, nelze než doporučit, aby SVJ (ale totéž platí i pro bytová družstva) ohledně uzavírání těchto smluv o zpracování osobních údajů nepodceňovala svou odpovědnost, když by to byl následně ostatně statutární orgán, který by nesl následky neplatně uzavřené smlouvy či nedostatečné ochrany osobních údajů členů. Zejména není důvod, ačkoli je to častou praxí správců, proč by obsah takové smlouvy měl určovat (či jej vnucovat jako unifikovaný vzor) správce, když odpovědným subjektem bude primárně SVJ. Připomeňme ostatně úvod čl. 28 GDPR: „správce využije pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů“. A je to předně SVJ, které je povinno dostatečně prověřit, zda jsou takové záruky správcem poskytovány.
Využívání služeb domény druhého řádu, včetně doplňkových marketingových služeb
Poměrně rychle se rozvíjející službou je poskytnutí určitého již rozvinutého virtuálního prostředí, zejména funkční webové stránky, kde její majitel či provozovatel nabídne SVJ či BD jejich vlastní prezentaci prostřednictvím domény druhého řádu.[14] Ne náhodou se do těchto projektů zapojují vysoce profesionalizované subjekty, které s poskytnutím této služby spojují nabídky k dalším službám – zejména právní poradenství, finanční poradenství, funkci profesionálního předsedy a další.
Ačkoli se uvedená služba může jevit jako značné ulehčení činnosti výboru SVJ či činnosti představenstva BD (pomineme-li finanční stránku), vždy je třeba pečlivě zkoumat všeobecné obchodní podmínky a ujednání týkající se zpracování osobních údajů. Společenstvím vlastníků či bytovým družstvem poskytnutá data jsou nutně uložena na zařízeních poskytovatele zmíněné služby a k dalším doplňkovým službám je pak zjevně nutné, aby takové osobní údaje poskytovatel služby využil.
Než k takovému užití dojde, je SVJ, resp. BD, povinno kvalifikovaně analyzovat a prověřit, zda taková služba splňuje zákonné požadavky GDPR. Nezbývá než repetitivně vyslovit, že je to právě SVJ či BD, kdo jsou za soulad při zpracování jimi spravovaných osobních údajů primárně odpovědné.
Dílčí závěry a doporučení
Veškeré shora uvedené zpracování osobních údajů naznačuje, že společenství vlastníků ani bytové družstvo se při svém každodenním právním jednání nevyhne povinnostem, které GDPR nastolilo. Z toho pro oba typy právnických osob plynou s tím související právní povinnosti, a to zejména povinnost analyzovat, zda je konkrétní zamýšlené jednání v souladu s GDPR (např. instalace určité technologie v domě, sdílení určitých informací mezi členy apod.), a pokud ke zpracování osobních údajů dojít má, pak musí taková osoba splnit řádně a včas informační povinnost vůči subjektům údajů (kterými zdaleka nejsou pouze členové SVJ nebo členové BD, jak popsáno shora) a rovněž veškeré povinnosti týkající se zabezpečení osobních údajů především dle požadavků čl. 32 GDPR.
Z praxe mnoha čtenářů tohoto příspěvku pak bude plynout, že zdaleka nikoli většina osob, které jsou členy statutárních orgánů společenství vlastníků či bytových družstev, má dostatečnou odbornou kvalifikaci pro takovou činnost. Tento nedostatek se více týká SVJ, kde je vyšší míra zastoupení v jeho orgánech přímo jeho členy, kteří sami mají jinou profesní odbornost a výkon funkce člena voleného orgánu je čistě doplňkovou činností.
Pro společenství vlastníků a pro bytová družstva lze tak důrazně doporučit, aby v souladu se zásadou péče řádného hospodáře zajišťovala i ve vztahu k ochraně osobních údajů, které spravují, dostatečně kvalifikované analýzy, zejména aby využívala poradenství advokáta či jiných k tomu způsobilých osob. Součástí zákonné péče řádného hospodáře je totiž od počátku povinnost vykonávat pouze takovou činnost, ke které má daný člen dostatečnou způsobilost, a naopak tedy pro ostatní činnosti zajistit služby externího odborníka.
V rámci přípravy implementace systémů pracujících s osobními údaji členů (a jiných subjektů údajů), zejména kamerových nebo čipových systémů, důrazně doporučuji provést analýzu dopadu takového systému na ochranu osobních údajů (a to zcela srovnatelně s požadavky čl. 35 GDPR). Takové posouzení považuji za součást povinnosti péče řádného hospodáře, kterou je každý statutární orgán vázán, a neprovedení takového posouzení by tak mohlo být naopak porušením takové péče. Doplňme pouze pro úplnost, že se zpravidla bude jednat o hodnocení výlučně právní a statutární orgán by za tím účelem měl oslovit osobu k tomu odborně způsobilou, a tedy advokáta.
Jakákoli prohlášení činěná k tomu nezpůsobilou osobou, distančně, anebo zjevně bez reálného konkrétního hodnocení určitého druhu zpracování v daném místě a podmínkách, např. generální označování určitého výrobku vlastností „GDPR ready“ anebo provádění online GDPR „testů“, se mi jeví jako zcela nepoužitelné, anebo jen málo použitelné pro praxi SVJ či BD. V prvním uvedeném případě půjde zpravidla pouze o určitou předpřipravenou funkcionalitu (např. GDPR ready software, anebo GDPR ready úložiště), která nevypovídá vůbec nic o tom, zda pomocí takové aplikace či úložiště realizovaný druh zpracování osobních údajů je legální. Ve druhém jmenovaném případě je pak nutné zopakovat, že analýzu dopadů uvažovaného druhu zpracování (např. instalace kamerového systému) má provádět k tomu odborně způsobilá osoba, kterou zpravidla nemůže nahradit žádný algoritmus, který za online testem stojí a vyhodnocuje jej. Žádný algoritmus není schopen kvalifikovaně vyhodnotit, zda určitá kamera může být instalována právě v takovém určitém místě bytového domu, ani vyhodnotit zákonnost takového zpracování (konkrétní kamery) ve smyslu čl. 6 GDPR.
Z právě uvedeného je zjevné, že předmětné nařízení vneslo mezi povinnosti statutárních orgánů SVJ a BD další oblast, na kterou je třeba pamatovat. Uvedené kautely jsou nejčastějším důvodem (vedle obecně klesajícího zájmu o výkon funkce člena voleného orgánu), proč masivně nastupují poměrně nové profesní obory, jakým je profesionální statutární orgán. S ohledem na aktuální legislativní prostředí již zdaleka statutární orgány nevystačí s dobrou znalostí budovy a místních poměrů, ale čím dál důrazněji je po nich vyžadováno kvalifikované plnění legislativních povinností, oblast ochrany osobních údajů je toho příznačným obrazem.
S ohledem na cíle GDPR lze úspěšně uzavřít, že společenství vlastníků i bytová družstva jsou bezesporu osoby, které mohou disponovat poměrně detailními osobními údaji, a je proto zcela namístě, aby na ně předmětná právní úprava dopadala, byla kontrolována a vymáhána. Ve výsledku je tak chráněno právo všech, kteří jsou součástí bytového družstva či bytového spoluvlastnictví.
Článek byl publikován v Advokátním deníku.
[1] Srov. ust. § 55b zák. č. 120/2001 Sb., exekuční řád, dále „ex. řád“: „Při rozhodování postupuje exekutor obdobně podle občanského soudního řádu. Exekutor při rozhodování činí úkony, které v řízení o výkon rozhodnutí přísluší soudu prvého stupně.“
[2] Jejich výčet je obsažen v ust. § 46 vyhlášky č. 37/1992 Sb., o jednacím řádu pro okresní a krajské soudy.
[3] Dostupné online zde: http://www.akvpracpravo.cz/sqlcache/2-souhrn-stanovisek-akv-cerven-2013.pdf.
[4] M. Kasíková, Z. Kučera: § 33 [Subjekty povinné k poskytnutí informace], in: M. Kasíková, M. Jirmanová, J. Hubáček, V. Plášil, K. Šimka, Z. Kučera, V. Nekola: Exekuční řád, 4. vydání, C. H. Beck, Praha 2017, str. 159.
[5] https://www.ekcr.cz/1/aktuality-pro-media)2789-dnes-zemrel-prezident-exekutorske-komory-cr-judr-vladimir-plasil-ll-m?w=.
[6] Zdroj: https://www.podnikatel.cz/clanky/soucinnost-zamestnavatelu-co-vse-je-nutne-exekutorum-sdelit/.
[7] Tamtéž.
[8] Online dostupné zde: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=29566.
[9] Např. zde: https://www.uoou.cz/k-provozovani-kamerovych-systemu/d-29535.
[10] Nelze nicméně opomíjet i relevantní nabídky zhotovitelů, kteří poskytují určité poradenství v této oblasti – ponechme nyní stranou, zda je takový subjekt oprávněn poradenství v oblasti, která je bezesporu právní, vůbec poskytovat – např.: https://www.kamerylegalne.cz/bytovy_dum_legalizace_gdpr_kamer.
[11] Bod 5 stanoviska č. 1/2016 ÚOOÚ.
[12] Srov. https://www.uoou.cz/k-provozovani-kamerovych-systemu/d-29535.
[13] T. Horák, § 1208 [Působnost shromáždění], in op. cit. sub 21, str. 998.
[14] Jmenujme pro příklad www.sousede.cz, https://webdomu.cz, https://www.radceprosvj.cz/webove-stranky-svj/.
Diskuze k článku ()