Co GDPR vlastně je?
Jde o sjednocující nařízení o ochraně osobních údajů platné pro všechny státy EU. GDPR přitom firmy nebo organizace, které osobní údaje jednotlivců zpracovávají, zásadně rozlišuje. Pravidla, která například platí pro prodejce zboží, jsou výrazně odlišná od pravidel platných pro organizace zajišťující vzájemné spolužití nějaké skupiny osob. Mezi takovéto "organizace" patří společenství vlastníků jednotek, bytová družstva, spolky nebo občanská sdružení vlastníků, ale i každý soukromý majitel bytového domu. Stejná pravidla platí pro jakákoli zájmová sdružení, sportovní kluby, ale i školská zařízení. Těmto GDPR prakticky ukládá jedinou povinnost. Plně informovat všechny osoby, které dům užívají, jaké jejich osobní údaje jsou zpracovávány, proč a jaká mají práva. GDPR v jejich případě rozhodně nevyžaduje nadbytečnost, mít s každým uživatelem podepsaný souhlas se zpracováváním jeho osobních údajů.
Administrativa zpracovávání osobních údajů se tedy naopak výrazně zjednodušuje.
GDPR (nařízení EU 2016/679) je namířeno zejména proti praktikám různých prodejců všemožných zbytečností, jejichž činnost spočívá v obtěžování nevyžádanými telefonáty a e-maily. Tito prodejci musí mít od nynějška s každým zákazníkem podepsán souhlas se zpracováváním jeho údajů. Tento souhlas může každý takový zákazník ale kdykoli odvolat a "nechat se zapomenout". Prodejce má potom povinnost veškeré osobní údaje takovéhoto zákazníka ze svých databází smazat. GDPR výrazně postihuje prodejce, kteří získají údaje svých potenciálních zákazníků bez jejich souhlasu, nebo kontakty získané se souhlasem zákazníků začnou používat pro zcela jiný účel, než zákazník svolil.
Nařízení GDPR sice nařizuje všem organizacím, které s osobními údaji svých klientů (ale i členů) nakládají, aby zvýšili jejich řádnou ochranu a jasně deklarovaly, k čemu přesně je budou používat. Rovněž jim ukládá, aby zajistili osobní odpovědnost všech osob, které s takovými údaji přicházejí do styku. Z titulu svých funkcí se to týká například předsedů družstev a členů výborů, z titulu pracovního zařazení například u správce nemovitosti zaměstnaných techniků a účetních. GDPR dále organizacím, které osobní údaje zpracovávají, ukládá povinnost přijmout nápravná opatření, pokud hrozí jejich zneužití. V případě, že tyto organizace zjistí, že byly jimi spravované osobní údaje skutečně zneužity, GDPR jim ukládá povinnost, aby samy, dle závažnosti zneužití, o tomto informovaly příslušný dozorový úřad. Veškerá tato opatření však pouze zajišťují, aby si takové organizace ve svých agendách udělaly pořádek a aby například jejich zaměstnanci tyto údaje nemohli bez postihu zcizit a následně někomu prodávat.
Nařízení GDPR ale ve svém důsledku výrazně zjednodušuje administrativu ve všech případech, kde je zpracovávání osobních údajů odůvodněno tzv. "vyšším principem". To se týká mimo jiné majitelů domů s byty, bytových družstev nebo například společenství vlastníků jednotek, obdobně i správců nemovitostí. Zejména odpadá povinnost, vyžádat si od dotčených osob souhlas jejich osobní údaje zpracovávat. Efektivním uplatněním pravidel GDPR jednak odpadá nutnost takovéto souhlasy "štosovat" v archivech. Především však takovéto organizace nemohou být některými obyvateli domu "vydírány" tím, že své osobní údaje neposkytnou. Pokud např. bytové družstvo, potažmo smluvní správce nemovitosti, k vykonávání své činnosti osobní údaje konkrétní osoby důvodně potřebuje, tak je jednoduše v nutném rozsahu eviduje a používá. Nesouhlasící osoba může v takovémto případě podat stížnost k dozorovému úřadu. Ten potom posoudí, je-li zpracovávání jeho osobních údajů bez souhlasu důvodné, nebo ne.
GDPR též ty, kterým přísluší spravovat bytový fond, chrání před komplikacemi, které by jim mohly nastat v případech, kdy by některý z obyvatelů domu nejprve souhlas se zpracováváním svých osobních údajů udělil, ale následně jej po určité době odejmul. Například nebydlící majitel bytu by správci nemovitosti a svému společenství vlastníků jednotek (SVJ) přikázal "zapomenout" svou e-mailovou adresu a rovněž adresu jeho aktuálního bydliště. Tímto by prakticky zamezil, aby mu mohlo být doručeno roční vyúčtování záloh. Následně by svůj eventuální dluh po termínu splatnosti zdůvodňoval tím, že o něm nevěděl a takto by, více méně oprávněně, argumentoval i při případném soudním sporu.
Pro ilustraci v závěru článku naleznete příklad, jak si lze přehnanou snahou a nepochopením nařízení GDPR zadělat na výrazné problémy a jak mělo být postupováno správně.
Konkrétně pro případy, jako je správa bytových/nebytových domů, umožňuje nařízení GDPR zpracovávat osobní údaje bez souhlasu obyvatel, tj. ale i bez toho, aby mohli uplatnit své právo "být zapomenuti". Možnost zpracovávat osobní údaje bez souhlasu uživatelů domů je umožněna ze dvou titulů:
a) Osobní údaje jsou zpracovávány, protože to individuálnímu majiteli, družstvu nebo například společenství přímo nařizují konkrétní zákony.
b) Pokud majitel, družstvo nebo společenství, prokáže jasný důvod, proč je třeba zpracovávat i některé z dalších osobních údajů, u kterých jim to žádný zákon konkrétně nenařizuje.
Protože agendu takových domů prakticky zajišťují správci nemovitostí, vztahují se povinnosti platné pro majitele domů i na tyto správce.
Majitelé domů mají prakticky dvě jednorázové povinnosti:
a) Plně informovat každého uživatele nemovitosti o tom, jak bude s jeho osobními údaji zacházeno a jaká má práva pro jejich ochranu (stručně řečeno). Konkrétně musí být všichni uživatelé nemovitostí seznámeni s níže uvedenými 16 skutečnostmi.
b) Uzavřít dodatek smlouvy o správě domu, ve kterém své povinnosti přenesou na svého smluvního správce nemovitosti. Správce nemovitosti je pak dle nařízení GDPR povinen mít ve své agendě zavedeny vnitřní mechanismy, které patřičným způsobem osobní údaje svých klientů chrání.
Majitelé domů mohou svou povinnost, seznámit všechny obyvatele s pravidly GDPR, vyřešit tak, že vydají "Trvale závazné oznámení", případně dodatkem domovního řádu.
Po formální stránce je nutno takovéto "Trvale závazné oznámení" nejprve legitimně přijmout. Toto lze učinit:
- na nejbližším zasedání vedení domu,
- nebo na nejbližším shromáždění všech členů,
- případně tak může učinit předseda/předsedkyně (alespoň dočasně, do doby řádné schůze),
- v případě, že je majitel nemovitosti jedna fyzická osoba, manželé nebo obchodní společnost, postačí takovéto oznámení pouze vydat.
Text "Trvale závazného oznámení" postačí rozeslat například e-mailem, minimálně jej alespoň trvale vyvěsit na veřejné nástěnce domu. Správce nemovitosti by měl být navíc zavázán k povinnosti, předat toto oznámení každému novému uživateli domu, který se do něj v budoucnu nastěhuje.
S čím musí být všichni uživatelé domů seznámeni:
1. Že praktickým spravováním osobních údajů je pověřen správce nemovitosti, jakožto zpracovatel.
2. Které konkrétní osobní údaje budou přesně zpracovávány.
3. Z jakého důvodu se tyto konkrétní osobní údaje zpracovávají.
4. Odkud a jak budou osobní údaje uživatelů nemovitosti získávány.
5. Komu a v jakých případech lze tyto údaje předávat dalším subjektům a v jakém rozsahu.
6. Které konkrétní osoby mají k těmto údajům plný přístup.
7. Čím jsou osoby, které mají k těmto údajům plný přístup, vázány.
8. Po jakou dobu budou osobní údaje evidovány bez práva uživatelů domu nechat je z evidence vymazat.
9. V jakém případě mají uživatelé domu právo, aby byly jejich osobní údaje vyřazeny z evidence ("právo být zapomenut").
10. Že každý uživatel domu má právo své údaje kontrolovat a vyžadovat jejich aktualizaci.
11. Že každý uživatel domu má právo, při zneužití nebo ohrožení jeho údajů, podat oznámení na příslušný dozorový úřad.
12. Že jak majitelé domu, tak i smluvní správce nemovitosti, mají povinnost při zjištění zneužití spravovaných údajů toto témuž dozorovému úřadu sami oznámit.
13. Za jakých okolností a v jakém režimu lze osobní údaje uživatelů domu předat osobám ze zemí mimo EU.
14. Že osobní údaje uživatelů budou zpracovávány "automatizovaně", to je elektronicky, ale že při tomto nebudou jednotlivé osoby nijak profilovány, vyjma případů plně souvisejících s provozem nemovitosti, jako je například vytváření sestav aktuálních dlužníků.
15. Že pokud by byly některé ze spravovaných osobních údajů použity pro případnou redakční činnost (například vedení kroniky domu) nebo obdobnou činnost správce nemovitosti (například vydávání odborných článků, studií nebo jiných publikací), tak že budou použity pouze v takovém rozsahu, v jakém GDPR a související předpisy dovolují.
16. Že spravované údaje budou opatrovány plně v souladu s opatřeními, které GDPR nařizuje.
Konkrétní podobu výše uvedeného "Trvale závazného oznámení" naleznete ZDE.
V nadpisu článku je uvedeno "není proč být papežštější než papež". V současné praxi se však lze setkat s řadou případů, kdy vedoucí různých organizací (ve své snaze "mít pro jistotu vše ošetřeno") s GDPR zacházejí naopak tak, že zcela zbytečně zatěžují nejen osoby, jejichž osobní údaje zpracovávají (čtením a podepisováním několika stránkových elaborátů), ale navíc touto agendou nadbytečně zaměstnávají i své spolupracovníky.
Jeden příklad z trochu jiného soudku za všechny:
Pořadatel příměstského tábora pro děti si nechá od rodičů podepsat sáhodlouhý elaborát, kde mimo jiné rodič souhlasí s pořizováním a následným zveřejněním fotografií a videí svých dětí.
Tábor úspěšně proběhne, v kronice tábora přibude řada fotografií s tím, co vše tam děti zajímavého dělaly. Fotografie se objeví i na táborovém webu. Je zpracováváno pamětní video, které mají následně obdržet všichni účastníci.
V té době si jeden z rodičů usmyslí, že jejich "Pepíček" na všech záběrech nevypadá až tak, jak by si představoval a svůj souhlas odvolá. Pak ale nastane situace, že nejen z webu musí následně zmizet vše, kde je "Pepíček" zachycen. Jeho podobizna se musí začernit na všech společných fotografiích v již léta vedené kronice. S pamětním videem se mohou ostatní účastníci tábora rozloučit, neboť "Pepíček" je prakticky na všech záběrech.
Přitom stačilo jediné. Místo zbytečného vyžadování písemného souhlasu rodičů se zpracováním osobních údajů dětských účastníků, napsat do "táborového řádu", které osobní údaje se budou zpracovávat a proč. Co se týče publikování fotografií a videí, zde uvést oznámení, že činnost na táboře bude audio-vizuálně dokumentována v rámci jeho redakční činnosti, kdy za zveřejněné záznamy zodpovídá jeden z vedoucích ve funkci redaktora.
V přihlášce na tábor si potom nechat podepsat, že rodič ví, kde lze nalézt "táborový řád" (například na webu organizátora), a že si je vědom, že se zde může kdykoli dočíst, jak bude s jeho osobními údaji a údaji svého dítěte nakládáno. Pokud budou následně ze strany některého z rodičů připomínky k některým fotografiím, tak si jejich zveřejnění musí obhájit táborový redaktor. Rodič si může stěžovat u dozorového úřadu. Pokud příslušný vedoucí, který byl za publikování zodpovědný, prokáže, že nikterak neohrozil dobré mravy ani osobní vážnost dotčeného dítěte, je celá záležitost vyřízena.
Výše uvedené platí obdobně i pro různé sportovní kluby, zájmové spolky, ale i školská zařízení. Zejména v případě našeho školství se lze s nepochopením hlavního účelu GDPR setkat velice často. Úředníci školských úřadů svými doporučeními zcela zbytečně zatěžují učitele, ale i rodiče dětí nadbytečnou administrativou při jakémkoli školním výletě, namísto toho, aby pouze doporučili každému řediteli doplnit školní řád o příslušná ustanovení.
Co se týče sportovních klubů potažmo svazů, v jejichž zájmu je řadu osobních údajů svých členů archivovat trvale, to je obdobné. Zde stačí, aby své vnitřní řády doplnili, že osobní údaje členů, jako jsou například záznamy výsledků soutěží, budou uchovávány po neomezenou dobu a to z důvodu archivace ve veřejném zájmu. Veřejným zájmem je potom zájem všech minimálně stávajících, ale i budoucích členů dotčeného klubu nebo svazu.
Podstata problému spočívá v tom, že pokud si dotčená organizace vymíní a zdůvodní právo zpracovávat určité osobní údaje, jak již bylo řečeno "z vyššího principu", je v tomto smyslu nedotknutelná. Pokud si vyžádá pouze souhlas dotčených osob, pak musí počítat s tím, že takovéto osoby mají právo kdykoli svůj souhlas odvolat a využít svého práva "být zapomenuty". Uplatnění takovéhoto práva je naprosto v pořádku, bude-li chtít někdo "být zapomenut" u internetového prodejce. Ne však již v případě, kdy svým "zapomenutím" účinně naruší finanční bilanci bytového družstva, nebo znehodnotí, předsedou eventuálně pečlivě vedenou, kroniku domu, která má sloužit jako pamětihodnost všem jeho obyvatelům.
Konkrétní ustanovení GDPR o které se lze opřít:
Úplné znění GDPR naleznete ZDE (text je včetně důvodové zprávy, kdy samotné nařízení začíná až na straně 32). Pro účely organizací, jejichž náplní je zajišťovat vzájemné spolužití nějaké skupiny osob, jsou rozhodující tato ustanovení:
Článek 6 odstavec 1. písmeno c) legalizující oprávněnost organizace zpracovávat osobní údaje bez souhlasu, protože jí to nařizují zákony.
Článek 6 odstavec 1. písmeno f) legalizující oprávněnost organizace zpracovávat osobní údaje bez souhlasu, protože je to pro její činnost nezbytné.
Článek 12 a 14 ukládající organizaci, aby zajistila, že všechny osoby, jejichž údaje zpracovávává, byly plně seznámeny s tím, které konkrétní to jsou a za jakým účelem (toto lze vyřešit právě například doplněním stávajících vnitřních řádů).
Článek 17 odstavec 3. týkající se případů, kdy nemohou osoby, jejichž osobní údaje jsou zpracovávány, uplatnit své právo "nechat se zapomenut".
Článek 85 týkající se práv organizace při redakční činnosti.
Článek 89 týkající se práv organizace archivace ve veřejném zájmu.
Na základě uvedených Článků se výše uvedené organizace mohou zcela legitimně vyhnout postupu, který je citován v Článku 6 odstavec 1. písmeno a), kde jednotlivci udělují se zpacováváním svých osobních údajů souhlas. Nejenom, že takovým organizacím výrazně ubude administrativa, ale i budoucí komplikace, pakliže takové osoby začnou uplatňovat své "právo být zapomenuty". Rovněž odpadne "dolování" uděleného souhlasu ze sáhodlouhého archivu v momentě, kdy někdo uplatní Článek 7 odst. 1. s tím, že chce organizací doložit, že jí takový souhlas vůbec kdy dal. Pro agendu týkající se souhlasů, které dali organizaci rodiče za své děti dle Článku 8, to platí obdobně.
GDPR a lidová tvořivost tvůrců všemožných doporučení!
GDPR ve své komplexnosti však nenařizuje přijmout příslušná opatření pouze organizacím a firmám, kterých se zpracovávání osobních údajů bezprostředně týká, ale též ukládá členským státům Evropské Unie, aby přijaly příslušné zákony, které obecná nařízení GDPR pro občany svých zemí konkretizují. V České republice zatím však v převážné míře takové zákony a konkretizující nařízení chybí. Prakticky jedinou legislativní normou, kterou jsme od 25.5.2018 povinni se všichni řídit, je GDPR v podobě jak jej Evropská komise vydala.
V současnosti je u nás situace taková, že ve výkladu GDPR panuje lidová tvořivost tvůrců různých všem život komplikujících doporučení. Zdrojem těchto doporučení jsou jednak různé právní firmy, které postupují v duchu "čím komplikovanější doporučení svému klientovi doporučíme, tím více nás při jeho realizaci bude potřebovat a také platit". Další skupinou lidových tvůrců jsou všemožní úředníci státní nebo místní správy, kteří zavedení GDPR dostali na starosti. Tito se zase řídí heslem "hlavně aby mi nemohl nikdo nic vytknout, tedy raději více, nežli méně", případně "čím složitější agendu vymyslím, tím více bude má funkce opodstatněná".
Nyní je na parlamentu a vládě, tedy jednotlivých ministrech, aby dohlédli na to, že u konkretizujících norem GDPR nebude pro občany ČR platit jiné z lidových přísloví "poturčenec horší turka". Potom totiž již nepůjde "o lidové doporučení" snaživého právníka nebo úředníka, ale o normu, kterou budeme muset všichni závazně dodržovat.