Z toho pro oba typy právnických osob plynou s tím související právní povinnosti, a to zejména povinnost analyzovat, zda je konkrétní zamýšlené jednání v souladu s GDPR, a pokud ke zpracování osobních údajů dojít má, pak musí taková osoba splnit řádně a včas i další legální povinnosti vůči subjektům údajů. Těmito subjekty údajů zdaleka nejsou pouze členové SVJ nebo BD. Aktuální legislativní vývoj, včetně povinností v souvislosti s ochranou osobních údajů, klade na členy statutárních orgánů stále náročnější povinnosti, což může být jeden z důvodů pro rozvoj profesionálních statutárních orgánů.
Ochrana osobních údajů ve společenstvích vlastníků jednotek a bytových družstvech je legislativním požadavkem a odborným tématem podstatně silnějším, než jakou pozornost mu samy statutární orgány těchto osob věnují. Tento příspěvek poukáže na některé konsekvence, které naopak dopady předmětné legislativy v oblasti ochrany osobních údajů činí pro oblast společenství vlastníků a bytových družstev zcela podstatnými.
Připustíme-li totiž, že GDPR[1] míří obecně svou úpravu na všechny subjekty, které osobní údaje spravují a zpracovávají,[2] je vhodné blíže analyzovat a objasnit, jakou roli SVJ a bytová družstva hrají v absolutním počtu těch subjektů, na které GDPR skutečně dopadá. Závěry pak mohou být překvapující.
V České republice bylo k roku 2021 registrováno přibližně 73 000 společenství vlastníků jednotek a přibližně desetina (cca 7 500) bytových družstev.[3] Zastoupení těchto subjektů na pomyslném trhu právnických osob v České republice je tedy poměrně vysoké. Kapitálových společností bylo k roku 2021 registrováno přibližně 540 000,[4] a na první pohled se tak jeví, že drtivě převažují spíše podnikatelské subjekty. Není tomu tak zcela.
Je nutné totiž zohlednit, že zatímco kapitálových společností je z celkového počtu aktivních jen cca 79 %,[5] a v některých krajích ČR dokonce jen 30 %,[6] a dokonce, že více než polovina všech neaktivních kapitálových společností v ČR sídlí v Praze (z celé ČR jde cca 55,5 %,[7] z počtu kapitálových společností sídlících v Praze je neaktivních cca 27 %[8]), u SVJ a BD je tomu přesně naopak. Veškerá SVJ musejí být nutně aktivními subjekty, což plyne z podstaty jejich věci. Porovnáním počtu pouze aktivních kapitálových společností na jedné straně a všech SVJ a BD na straně druhé již dospějeme k poměrně zajímavější struktuře osob, na které námi uvažovaná právní úprava dopadá. Např. v hlavním městě Praha vedle sebe působí orientačně 160 000 aktivních kapitálových společností a přibližně 65 000[9] SVJ(tj. cca 90 % všech SVJ).
Právě obšírně uvedená absolutní čísla nejsou zmiňována náhodně. Autor tím poukazuje na skutečný (byť orientační) počet subjektů, relevantních k tomuto článku, na které regulace ochrany osobních údajů dopadá, a zejména pak poukazuje na to, že nikoli nevýznamná část z těchto subjektů má ze zákona podstatu jinou než ziskovou.
Tyto subjekty se pak přirozeně dotazují, proč mají ve vztahu ke správě osobních údajů stejně rozsáhlé povinnosti jako kapitálové společnosti, když podstata SVJ a BD je zcela jiná než podstata kapitálových společností.
Odpovědí je zjevně možné poskytnout mnoho, samo GDPR odůvodňuje svou úpravu tak, že „… v celé Unii se zvýšila výměna osobních údajů mezi veřejnými a soukromými aktéry, včetně fyzických osob, sdružení a podniků“,[10] a tento aktuální stav proto: „vyžaduje pevný a soudržnější rámec pro ochranu osobních údajů v Unii, jenž by se opíral o důsledné vymáhání práva, a to s ohledem na nezbytnost nastolit důvěru, která umožní rozvoj digitální ekonomiky na celém vnitřním trhu“.[11] Dovolím si rovněž využít shrnutí důvodů,[12] které pro zavedení právní úpravy spočívající v přijetí společné evropské legislativy koncipují autority[13] v oblasti GDPR. Výčet důvodů se totiž zdaleka nezastavuje na nutnosti preventivní ochrany subjektů údajů, jak by se mohlo zprvu zdát. Odborná veřejnost poukazuje zejména na masivní nástup technologického pokroku v oblasti zpracovávání osobních údajů, a to zejména jeho automatizované formy. Máme za to, že právě toto pojetí ochrany osobních údajů je de lege ferenda správné, když roztříštěnost či zastaralost právní úpravy[14] dle našeho názoru plně jako alibi pro přijetí tak zásadního nařízení, kterým GDPR je, samo o sobě neobstojí.
Mám za to, že důvodem pro nutnou podporu rozvoje této legislativy není zdaleka snaha o její „scelení“ na území Evropské unie, potažmo všech rozvinutých zemí, nýbrž sledování, schopnost kontroly a zejména reálná způsobilost limitovat zneužití těchto osobních údajů proti samotným subjektům údajů.[15]
Zatímco aktuální legislativa má tendenci technologický rozvoj v oblasti osobních údajů brzdit, minimalizovat, až jej v některých oblastech limitovat k nule, to vše s cílem chránit zájmy všech (přibližně 500 milionů[16]) subjektů údajů, technologický rozvoj je řízen pouze desítkami nejvýše postavených osob (vlastníků technologií) a motivován výlučně ziskem.
Tento příspěvek mimo jiné míří na to, zda důvody pro zavedení jednotné evropské legislativy v oblasti ochrany osobních údajů, jak jsou popsány shora, obstojí i vůči takovým, oproti kapitálovým společnostem radikálně odlišným subjektům, jakými jsou SVJ a BD.
SVJ i BD řeší svá práva či povinnosti ve vztahu k osobním údajům svých členů totiž velmi často. Na správu a zpracování osobních údajů těmito subjekty dopadá přitom tatáž právní úprava a tedy tytéž závazky, které se vztahují na obchodní korporace a jiné subjekty, spravující a zpracovávající osobní údaje se zcela jiným záměrem a cílem, než pro které se tomu děje v SVJ a BD.
Jelikož v celkovém počtu SVJ a BD v České republice masivně dominují společenství vlastníků, bude se i tento příspěvek věnovat dominantně SVJ, s přihlédnutím k případným odlišnostem v BD.
Zcela unifikovaná regulace nutně nastavuje svou „přísnost“ podle měřítka těch největších zpracovatelů osobních údajů, kteří s nimi masivně obchodují, extenzivně je využívají pro svůj obchodní prospěch a zisk. Toto přísné měřítko pak poměrně zatěžuje osoby se zcela jinou podstatou existence, než je obchodní prospěch, a se zcela jiným potenciálním ohrožením zájmů subjektů údajů, jak bude popsáno podrobněji níže.
V článku čerpám rovněž ze své mnohaleté advokátní praxe, ve které se zaměřuji mimo jiné na bytové spoluvlastnictví, a tedy na činnost SVJ a BD. Z této zkušenosti pak čerpám názor, že jako klíčové hledisko při hodnocení shora naznačených otázek může být vzata v potaz i skutečnost, že společenství vlastníků a bytová družstva občasně jsou, ale častěji nejsou vedena profesionály na řízení právnických osob, na jakoukoli strategii, natož strategii marketingovou.
Závěry tohoto příspěvku bude pravděpodobně možné úspěšně vztáhnout i na jiné subjekty s obdobnou podstatou jejich trvání.
Společenství vlastníků jednotek jsou právnické osoby založené podle zákona o vlastnictví bytů č. 72/1994 Sb., anebo založené dle občanského zákoníku č. 89/2012 Sb. (dále „o. z.“), které jsou způsobilé vykonávat práva a zavazovat se pouze ve věcech spojených se správou, provozem a opravami společných částí domu, popř. vykonávat činnosti v rozsahu tohoto zákona a činnosti související s provozováním společných částí domu, které slouží i jiným fyzickým nebo právnickým osobám. Společenství může nabývat věci, práva, jiné majetkové hodnoty, byty nebo nebytové prostory pouze k účelům uvedeným ve větě první.[17] Společenství vlastníků nesmí podnikat ani se přímo či nepřímo podílet na podnikání nebo jiné činnosti podnikatelů nebo být jejich společníkem nebo členem.[18]
Bytové družstvo je společenství neuzavřeného počtu osob,[19] které může být založeno jen za účelem zajišťování bytových potřeb svých členů, může spravovat domy s byty a provozovat i jinou, avšak pouze doplňkovou činnost.[20]
A v jakých konkrétních oblastech zpracování osobních údajů zpravidla SVJ a BD vyhodnocují svá práva a povinnosti?
- evidence svých členů, jaké údaje lze a jaké nelze evidovat,
- práva a povinnosti sdělovat členům údaje o jiném členovi, včetně zveřejňování dlužníků,
- provoz a správa vstupních čipových systémů, včetně čteček otisků,
- provoz a správa kamerových systémů,
- předávání osobních údajů o členech správcovským společnostem,
- využívání služeb domény druhého řádu, včetně doplňkových marketingových služeb.
Společenství vlastníků jednotek a bytová družstva jsou z pohledu odborné literatury neprávem pomíjenou oblastí. Drtivá většina odborné literatury zpracovává otázku ochrany osobních údajů obecně, zpravidla z pohledu komentářové literatury, a vybrané aplikační problémy se dotýkají činností kapitálových společností.
Aktuálně nejpřínosnějším zdrojem výkladu pravidel ochrany osobních údajů ve vztahu ke společenstvím vlastníků jednotek a k bytovým družstvům se jeví Úřad pro ochranu osobních údajů, který prostřednictvím stanovisek a výkladových pomůcek veřejně dostupných na webových stránkách úřadu odpovídá na konkrétní frekventované otázky SVJ či BD a vypracoval některá stanoviska, která tento příspěvek ještě kriticky zhodnotí.
Článek byl publikován v Advokátním deníku.
[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, dále v tomto příspěvku také jen „GDPR“.
[2] Srov. k tomu zejm. odst. 13 preambule GDPR: „Aby byla zajištěna jednotná úroveň ochrany fyzických osob v celé Unii a zamezilo se rozdílům bránícím volnému pohybu osobních údajů v rámci vnitřního trhu, je nezbytné přijmout nařízení, které poskytne hospodářským subjektům, včetně mikropodniků a malých a středních podniků, právní jistotu a transparentnost, které fyzickým osobám ve všech členských státech zajistí stejnou úroveň práv vymahatelných právními prostředky a správcům a zpracovatelům uloží povinnosti a úkoly, které zajistí důsledné monitorování zpracování osobních údajů a rovnocenné sankce ve všech členských státech, jakož i účinnou spolupráci mezi dozorovými úřady jednotlivých členských států.“
[3] Zdroj Český statistický úřad, údaje k roku 2017, autor kalkuluje s tím, že od roku 2017 počet SVJ narostl, ČSSÚ uvádí meziroční nárost o 3 %, kdežto počet BD spíše klesá. Údaje dostupné online zde: https://www.czso.cz/csu/czso/pocet-spolecenstvi-vlastniku-jednotek-roste.
[4] Zdroj Bisnode, tam uvedená statistika zahrnuje jen „kapitálové“ společnosti, tj. společnosti s ručením omezeným a akciové společnosti. V roce 2019 bylo registrováno 503 000 společností. Autor vychází z předpokladu, že ročně přibude cca 20 000 nových kapitálových společností, zdroj zde: https://www.businessinfo.cz/clanky/bisnode-vznika-nejmene-firem-za-posledni-tri-roky/.
[5] Zdroj: https://www.bisnode.cz/o-bisnode/o-nas/novinky/v-cr-je-103-000-spicich-firem-vic-nez-polovina-z-nich-ma-sidlo-v-praze/.
[6] Např. v kraji Karlovarském 28,8 %, údaj k roku 2018, zdroj Bisnode.cz.
[7] Tamtéž.
[8] Tamtéž.
[9] Zdroj: https://www.czso.cz/documents/10180/87473787/bdscr062918_05.xls/69d01727-ec0d-49fe-92f5-5d97b6823165?version=1.1.
[12] Https://www.gdpr.cz/gdpr/proc.
[13] Https://www.cevroinstitut.cz/cs/pedagog/mgr-eva-skornickova).
[14] F. Nonnemann, V. Lidinský, D. Mašín: Praktická příručka GDPR pro Správce, Zpracovatele a Pověřence ochrany osobních údajů, nakladatelství Klika, 2018.
[15] Mgr. Škorničková poukazuje např. na prokázanou práci tajných služeb v oblasti zpracovávání osobních údajů. Zdroj: https://www.gdpr.cz/gdpr/proc.
[16] Https://cs.wikipedia.org/wiki/Evropsk%C3%A1_unie.
[17] Ust. § 9 zák. č. 72/1994, kterým se upravují některé spoluvlastnické vztahy k budovám a některé vlastnické vztahy k bytům a nebytovým prostorům a doplňují některé zákony (zákon o vlastnictví bytů).
[18] Ust. § 1194 odst. 1 o. z.
[19] Ust. § 552 odst. 1 zák. č. 90/2012 Sb., o obchodních korporacích (dále „z. o. k.“).
Diskuze k článku ()