|
Záznam jak jej pořídil Ladislav Schnaiberg na semináři o GDPR pro SVJ organizovaném sousede.cz dne 26.4.2018 v Budově SMOSK D, Senovážné náměstí 978/23 v Praze od 17:00 do 20:00
Přednášející : Ondrej Preuss, JUDr.
Účastníci: Statutáři SVJ
Rozsah: cca 3h, v první polovině všeobecná část 1,5hodiny a v druhé prostor především pro dotazy. Prakticky ale dotazy byly kontinuálně v průběhu výkladu JUDr Preusse
Úvod do GDPR
Nová úprava je společná v celé EU
Historie
Stávající úprava v ČR byla přísnější než bylo vyžadováno EU a proto přechod bude v pohodě. Nyní ale není zakotveno právo být zapomenut (tj. nebýt k nalezení ve vyhledávačích např.), nicméně na základě judikátů již i toto v ČR přítomno.
Zaměření
GDPR není zaměřeno na společenství vlastníků jednotek (SVJ), je hlavně na velké korporace a podnikatele. Tedy nebude pro SVJ tak finančně náročné jako pro koroporace generující zisk. Přesto povinnosti výboru SVJ a práva členům SVJ.
Souvislosti
Po GDPR bude následovat ePrivacy ošetřující nakládání s veškerými elektronickými informacemi (GDPR je jen ve vztehu k osobním údajům), původně mělo být společně s GDPR, ale přírava se zadrhla.
Kontext
GDPR není revolucí, ale doplňuje a v případě ČR přidává administrativu, ale základní zásady zůstavají.
Důležité
Důraz je kladen na zpracování, zabezpečení osobních údajů a transparentnosti nakládání s čímž souvisí práva a
zákonnost, korektnost a transparennost
omezení účelu použití osobních údajů, tj. jen ke konkrétnímu účelu
ne zbytečným databázím, tj. nezakládat riziko úniků
Přesnost údajů, v databázi je povinnost údaje dát do souladu se skutečností.
shromažďovat údaje jen na určitou dobu, na dobu po kterou jsou potřeba
integrita = vnitřně nerozporný
Co je to osobní udaj?
je ve směrnici z r. 2015
Veškeré informace vztahující se k identifikované nebo identifikovatelné fyzické osobě
např. IP adresa, Jméno, přezívka, fotografie, kamerový záznam, kontaktní údaje , pohlaví, věk, datum narození, rodné číslo
Citlivé údaje
údaje se váží k rase, náboženství, působení v odborech a spolcích, tresty, politické, genetické a biometrické údaje
tyto údaje neshromažďovat pokud není důvod, jdsou přísnější pravidla, pravidla přísněji uplatňovány
Oprávněný zájem, bude hovořit později
Zákonná povinnost nás poněkud zbavuje
GDPR
Staronové povinnosti aneb nic se nejí tak horké, jak se uvaří
1. vést detailnější záznamy a lépe vést databázi,
2. povinnost při úniku (krádež, ztráta kontroly) údajů. Se správce sám udá úřadu a nahlásí ztrátu. Ale možná toto bude napadeno soudnš s ohledem na právo se neudávat
Zatím není GDPR účinné není známé jaká bude praxe. Lze předpokládat, že až postupně vznikne Judikatura a výkladová stanoviska úřadu
3. stanovit pověřence, netýká se SVJ
Práva subjektů údajů
(těch o kterých se údaje shromažďují):
právo na tom být informován
právo na přístup k osobním údajům
právo na výmaz . ALE Proti právu subjektu lze postavit oprávněný zájem shromažďovatele ! Jde o to jaký zájem převáží! Např. pokud hrozí soudní spor (promlčecí lhůta plus 1 rok, příslušnost soudu se řeší jen s žalobcem např.) údaje nevymažu. Právo na výmaz je spíš pro extrémější situace nebo pokud údaj není relevantní.
Právo na omezení zpracování ?
Právo na přenositelnot údajů, jde o právo vůči zpracovatelům údajů (např operátor, google, ). subjekt může požadovat přenos údajů na nového zpracovatele
Právo vznést námitku, jde o procesní právo
Právo nebýt předmětem automatizavaného individálního rozhodnutí, např. nedostane někdo půjčku pokud na ákladě shromážděných údajů půjčku kvůli algoritmu banky nedostane, tzv,. profilování
Podstatné pro SVJ
1. určit jaké údaje zpracováváme : Jméno, adresa, email, telefon, IP adresa, loginy na webové stránky, ...
2. k čemu údaje používáme: jednotlivé účely, neboli právní tituly, viz níže.. Učelů může být více (důležitý je oprávněný zájem)
3. určit odkud a jakým způsobem jsou osobní údaje získávány, klíčové pro analýzu, údaje např. z katastru nemovitostí, registrace člena, schůze, atp.
4. určit dobu po kterou jsou údaje potřeba. Např 2 roky dokud je členem pak už ne, stačí pak jen začernit není nutné celý dokument likvidovat
5. určit zda údaje poskytujeme třetím stranám, toto radeji nedělat
Souhlas se zpracováním
1 Souhlas znamená, že správce jej dokáže doložit
2 souhlas musí být svobodný, konkrétní, informovaný, jednoznačný, a ničím nepodmíněný
3 souhlas doložit po celou dobu kdy údaje uchovávám
Kdy souhlas nepotřebuji?
1 nepotřebuji k plnění právní povinnosti
2 oprávněný zájem správce
další údaje, které nejsou uvedené v zákoně ale je dobré a vhodné je mít = použít oprávněný zájem správce, je nutné pokaždé individuálně pooudit. Je dobré mít ve stanovách vyjmenované oprávněné zájmy nebo si souhlasy s oprávněných zájmech sehnat
Právní tituly k užívání = určit si jaké udaje shromažďuji a důvod proč jej máme
3 Plnění smlouvy nebo jednání o uzavření = osobní udaje jsou nutné pro plnění určitého smluvního závazku. Udaje o řemeslnících, kteří dělají služby pro společenství např. nebo účetní firma
Kamerové systémy
potřebnost kamerového systému
Ano např. pokud dochází k poškozování majetku
Ideální je mít souhlas, ale lze použít i oprávněný zájem
účel musí být splněn kontinuálně, tj. pokud již k útokům nebo krádežím nedochází je nutné po čase zhodnotit, udělat alespoň zápis
Jde o princip opakovaně posuzovat oprávněnost shromažďování osobních údajů
Správce je povinen informovat, že je kamerový systém umístěn, např v místě kde jew kamerový systém umístěn. Např tabulkou o tom, že kamery jsou a kdo je správcem a provozovatelem osobních údajů, tj. kontakt
Úřad doporučuje velice omezeně tyto záznamy uchovávat, maximálně 14 dní
Pokud dojde k trestnému, činu jde o zákonnou věc, toto je právo mít podchyceno.
Kde jsou údaje o provozovaných kamerových systémech dnes a kde budou v budoucnu?
Nebude nutné se registrovat na UOOU, nehlásí se úřadu mám jen
úřad zruší databázi kamer? Zatím je registrace zastavena
Jeden PC / telefon pro sokromé a SVJ účely
Správce je povinen údaje zabezpečit = vyjmenovat kde jsou
mít osobní údaje na společné PC nelze pokud nejsou složky zaheslovány
a Je povinen je mazat
telefonní seznam v telefonu
posuzovat telefon jako počítač, tj mít alespoň PIN nebo vstupní heslo, pokud ztratím telefon je nutné ohlásit na ÚOOU
Třetí strany
Správce může ke zpracování osobních přibrat jiný subjek, důležitá je kredibilita,
musí být uzavřena písemná smlouva, povinné je předmět zpracování, doba trvání zpracování, povaha a účel zpracování, Typ osobních údajů a jejich kategorie tj je vyjmenová např email telefon adresa, povinnosti a práva správce tj SVJ a povinnosti zpracovatele
Smlouva o zpracování os udaju neni nutné mít speciální smlouvu
smlouvu lze sjednat i emailem. není nutné mít elektronický podpis
Dostupnost osobních údajů ostatním údajům ostatních členů, např dlužné částky nebo dluh. Něco jiného je zápis výboru. A výbor lze požádat o zápi výboru.
Bankovní účet společenství
Nahlížení do bankvního účtu všem vlastníkům nelze obhájit, statutárům ano.
Právo nahlížet znamená i právo si udělat kopii, je judikát.
Co vše jsou podklady k účetnictví, výpis z účtu?
Právo nahlížet do účetnictví se nerovná právo pasivně nahlížet do účtu společenství.
GDPR a sankce
záleží na povaze, závavažnosti, délce trvání, pořčtu poškozených, výsi škody a krocích které správce podnike jako preventivne a k odstranění
sankce může být až likvidační tj az 20 mil Euro nebo 4pct z celkového ročního obratu, vyšší z obou možností
Pojištění zodpovědnossti členů společenství.
Sankce jsou pro společenství ne pro statutára. Ale pokud by statutár nekonal nebo úmyslně .
Další dotazy
jaké výstupy pro členy SVJ mít?
informace pro členy, tj. seznam práv dát na web nebo na shromáždění, průkazné
vytvořit vnitřní směrnici, tj. kdo má přístup, kde jsou, jak jsou zabezpečeny
ohlídat smlouvy se zpracovateli, dodatky ke smlouvám odkliknutí cloudové služby
revize zpracováni údajů, tj. potřebujeme nadále shromažďovat údaje nebo ne?
pravidla archivace, tj. jen po nezbytně nutnou dobu plus max. 3 roky navíc
nechat si podepsat souhlasy k účelům nad zákonný rámec
audity GDPR není nutné nebo povinné jej mít?
neexistuje certifikovaný audit GDPR, jako je to v případě účetnictví
Ale mohu požadovat, ale není zákonem vynutitelné.
Jméno na schránce si může nechat vlastník nechat odstranit podobně i na zvonku.
Ale pozor pokud požádá o odstranění jména je to jeho právo i riziko.
JE oprávněný zájem mít rodné číslo vlastníků?
Asi ne. Tedy případně si nechat dát souhlas.
Má naše SVJ nájemní smlouvy vlastníů s nájmci bytů?
Mělo by mít, jde o oprávněný zájem.
archiv hlasování, jak sním naložit?
je důležité, zda lze osobu na základě dat ztotožnit
Záznam jak jej pořídil Ladislav Schnaiberg na semináři o GDPR pro SVJ organizovaném sousede.cz dne 26.4.2018 v Budově SMOSK D, Senovážné náměstí 978/23 v Praze od 17:00 do 20:00
|
