Úvod
Tento dokument byl vytvořen na základě Obecného nařízení o ochraně osobních údajů, anglicky General Data Protection Regulation (dále jen GDPR). Celým názvem nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES je novou celoevropsky přímo závaznou komplexní právní regulací, která výrazně zvýší ochranu osobních dat občanů. GDPR nabývá účinnosti 25. května 2018. V České republice nahradí dosud platný zákon č. 101/2000 Sb., o ochraně osobních údajů. Hlavním smyslem tohoto předpisu je vyšší harmonizace úpravy ochrany osobních údajů a posílení práv subjektů údajů, a tedy i kvalitnější kontrola nakládání s osobními daty lidí. Rovněž dochází k přesnějšímu stanovení povinností správců a zvýšení sankcí za jejich porušení.

Analýza současného stavu – mapování
SVJ Dr.Martínka 1168/47 (dále jen SVJ) zpracovává osobní údaje v několika agendách.
Na základě Příkazní smlouvy provádí správu našeho SVJ firma LAMIA – správa nemovitostí s.r.o.
Komerční správce provádí výkon správy v oblastech mzdové a personální agendy i v oblasti bytové agendy. Agendy správce zajišťuje pomocí informačních systémů, které jsou k tomuto účelu vytvořeny.
Agendu mzdovou a personální, jak je uvedeno v tabulce č. 1, SVJ provádí ve vztahu ke svým zaměstnancům. Mzdovou a personální agendu provádějí pro naše SVJ pouze určení zaměstnanci našeho správce. Na základě platné legislativy a na pokyn statutárního zástupce SVJ provádějí všechny nezbytné operace. Data v elektronické podobě jsou uložena pouze u správce.
Listinné výstupy jsou předávány osobně v prostorách firmy nebo zasílány elektronicky na ověřený email, případně poštou na ověřenou adresu.

Bytová agenda našeho SVJ (tabulka č. 2), je rovněž zpracovávána ve firmě LAMIA – správa nemovitostí s.r.o. Je rozdělena na oblast technickou, evidenční a účetní. Veškerá agenda je spravována na základě platných předpisů a na pokyn statutárního zástupce SVJ. Data v elektronické podobě jsou uložena pouze u správce.
Současně s elektronickým zpracováním jsou prováděny různé výstupy v tištěné podobě. Tyto listiny jsou buďto předány v prostorách firmy kompetentním zástupcům SVJ, zaslány v elektronické podobě prostřednictvím emailu na ověřenou adresu nebo odeslány jako listovní zásilka poštou. V dalších případech se zakládají do pořadačů našeho SVJ. Tyto pořadače jsou u správce archivovány po dobu pěti let, následně jsou předány statutárnímu zástupci SVJ. Pořadače jsou umístěny v uzamčených prostorách SVJ, zajištěny proti neoprávněnému užití.
V rámci SVJ, je pro výkon správy používána výpočetní technika u členů statutárního orgánu SVJ. Data v elektronické podobě jsou uchovávána pouze na lokálních HDD jednotlivých pc statutárních zástupců SVJ. Tato pc jsou zabezpečena proti neoprávněnému přístupu pomocí přístupového hesla k danému uživatelskému profilu. Data v elektronické podobě obsahují mailovou korespondenci a pracovní výstupy např. tiskové sestavy. Ani mzdová ani bytová agenda se na těchto pc nezpracovává. Zálohování těchto dat není prováděno, originály jsou u správce. V případě změny statutárního orgánu v SVJ, je bývalý člen povinen veškerou elektronickou komunikaci ze svého pc vymazat.
Vyhodnocení rizik
Veškerou agendu SVJ zpracovává externí firma – komerční správce, ve svých zabezpečených prostorách na k tomu určené výpočetní technice a prostřednictvím informačních systémů. V prostorách SVJ jsou uchovávány jen doplňující doklady, archiv a drobná elektronická komunikace. Vzhledem k tomu je riziko ztráty dat a nebo jejich zneužití malé. Všechny dotčené prostory a systémy jsou přiměřeně zabezpečeny.

Obecné nařízení o ochraně osobních údajů, anglicky General Data Protection Regulation (dále jen GDPR), celým názvem nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES je novou celoevropsky přímo závaznou komplexní právní regulací, která výrazně zvýší ochranu osobních dat občanů. GDPR nabývá účinnosti 25. května 2018. Hlavním smyslem tohoto předpisu je vyšší harmonizace úpravy ochrany osobních údajů a posílení práv subjektů údajů, a tedy i kvalitnější kontrola nakládání s osobními daty lidí. Rovněž dochází k přesnějšímu stanovení povinností správců a zvýšení sankcí za jejich porušení.
Správu SVJ Dr.Martínka 1168/47 (dále jen SVJ) provádí na základě Příkazní smlouvy firma LAMIA – správa nemovitostí s.r.o. S ohledem na obecné nařízení GDPR je uzavřen dodatek k této smlouvě, obsahující informace o ochraně zpracování osobních údajů. Firma LAMIA – správa nemovitostí s.r.o., jako náš zpracovatel osobních údajů, provádí zpracování na speciálním informačním systému. Zaměstnanci zpracovatele, na základě interní směrnice GDPR, provádějí zpracování dat v souladu s tímto nařízením. SVJ považuje způsob výkonu správy a zpracování osobních údajů u zpracovatele za bezpečné.
Na základě provedené analýzy zpracování osobních údajů v našem SVJ jsou v této směrnici uvedeny postupy a pravidla, které je třeba dodržovat, aby bylo shromažďování údajů i jejich zpracování v souladu s GDPR.

Uplatňování práv subjektů
Požadavek subjektu na uplatnění jeho práva vyplývajícího z GDPR (výmaz, aktualizace údajů apod.) je třeba řádně zaevidovat a ve stanovené lhůtě 30 dní provést. Jakýkoliv požadavek je možné vznést jen ověřitelným způsobem – nejlépe písemně s ověřením totožnosti daného subjektu. Anonymní a neověřené žádosti nebudou řešeny. Tyto žádosti vyřizuje statutární orgán SVJ, který žádost o uplatnění práv subjektu předá zpracovateli. Ten zajistí provedení požadavku v dotčených agendách. Následně subjektu sdělí informaci o provedení jeho požadavku.

Zásady zabezpečení osobních údajů ve vztahu k příslušné agendě
Agendu mzdovou a personální provádí pouze zaměstnanci zpracovatele. Statutární orgán SVJ dostává požadované výstupy v listinné podobě nebo prostřednictvím elektronické komunikace. Agenda je prováděna v souladu se zákony a požadavky statutárního zástupce SVJ.
Agendu bytovou spravují zaměstnanci zpracovatele. Výstupy z této agendy se předávají statutárnímu orgánu, oprávněnému zástupci realizačních firem nebo oprávněnému vlastníkovi SVJ. Zpracovatel předá výstupy vždy v takové formě, aby odpovídaly požadavkům GDPR na ochranu osobních údajů – uvede vždy jen oprávněné údaje pro daný požadavek.
Všechny informace, které předává vlastníkům nebo jiným oprávněným osobám statutární orgán SVJ, musí obsahovat pouze oprávněné údaje pro konkrétní požadavek. Např. předání bankovního výpisu SVJ vlastníkovi nesmí obsahovat čitelné údaje o účtu, jménu a částce jiného vlastníka. Za správnost těchto informací odpovídá konkrétní člen statutárního orgánu SVJ, který informaci předal.
Data uvedených agend (v elektronické i listinné podobě) jsou uložena u zpracovatele. Ten řeší jejich zabezpečení, zálohování i skladování po aktuální dobu použití pěti let.
Zjistí-li člen SVJ skutečnost napovídající o možném úniku osobních dat našeho SVJ ze systému nebo i v listinné podobě je povinen neprodleně o této události informovat statutární orgán SVJ. Ten vyhodnotí situaci a zajistí potřebné kroky v souladu se zákonem, dále projedná se zpracovatelem konkrétní opatření k zamezení opakování incidentu.

Způsob archivace a následná likvidace osobních údajů
Archivace dat v listinné podobě podléhá platným zákonům. Po dobu pěti let se data archivují v  prostorách zpracovatele. Ten zajišťuje vhodné místo pro uskladnění a také zabezpečení těchto dat proti neoprávněnému zneužití.
Data starší pěti let jsou předány statutárnímu zástupci SVJ a uschovány v zabezpečeném prostoru v domě. Přístup k tomuto archivu má pouze statutární orgán SVJ.
Data v elektronické podobě má pouze zpracovatel. Ten zajišťuje zálohy a archivy dat v souladu s GDPR.
Případná likvidace archivních dokladů se provádí výhradně prostřednictvím odborné firmy na nakládání s odpadem. Archivní doklady se odvezou odborné firmě k likvidaci. Celý proces je doložen fakturou a osvědčením o odevzdaném a skartovaném množství dokumentace. Tuto činnost zajišťuje statutární orgán SVJ.

Podmínky, za kterých jsou údaje předávány třetím osobám
Osobní data členů SVJ se předávají pouze dotčeným orgánům státní správy, oprávněným subjektům (vlastníci SVJ, nájemci), zástupcům zpracovatele a oprávněným zástupcům realizačních firem (servis a opravy v domech). Vždy tedy jde o předávání dat na základě plnění povinností vyplývajících ze smlouvy nebo z důvodů stanovených zákonem.
Vzhledem k tomu, že správu agend provádí zpracovatel, předává také většinou podklady a výstupy třetím stranám. Zpracovatel předá doklady jen takovým způsobem a tak zabezpečené, aby nehrozilo zneužití těchto informací.
Předává-li člen statutárního orgánu SVJ papírové podklady třetím osobám, odpovídá za to, že budou v takové podobě, aby nebyla ohrožena bezpečnost osobních údajů. Jde např. o předání seznamu vlastníků při realizaci opravy v domě, kdy by neměly být uvedeny nadbytečné údaje jako třeba rodné číslo nebo číslo bankovního účtu vlastníka. Případně je třeba tyto údaje znečitelnit. Rovněž zajistí potřebná opatření k tomu, aby v rámci předání nedošlo k ztrátě podkladů nebo jejich zneužití.
Je-li třeba předat podklady v elektronické podobě, platí stejné pravidla ohledně oprávněnosti uvedených údajů. Navíc je posílající člen statutárního orgánu SVJ povinen elektronické data zašifrovat, zaheslovat a poslat jen na ověřenou mailovou adresu.

Popis a provázanost informačních systémů sloužících ke zpracování dat
Informační systém na správu bytů, systém na mzdovou a personální agendu stejně jako další software používaný ke zpracování dat má pouze zpracovatel. Ten zajistí aktuální verze těchto systémů a jejich ochranu. SVJ žádné systémy na provádění dotčených agend nevlastní.

Rozšíření právního rámce spolupráce
Dle podmínek GDPR je nutné doplnit stávající Příkazní smlouvu dodatkem o ochraně zpracování osobních údajů. Jde o právní podklad ke zpracování osobních údajů našeho SVJ zpracovatelem. Stejně tak všechny nové smlouvy, které budou v budoucnu uzavřeny, musí obsahovat tyto informace.

Obecné informace
Členové SVJ jsou povinni s účinností od 25. května 2018, řídit se pokyny uvedenými v této směrnici. Dodržování této směrnice bude průběžně kontrolováno statutárním orgánem SVJ. Členové SVJ jsou povinni nahlásit statutárnímu orgánu SVJ jakékoliv pochybení nebo nestandardní situace, týkající se zpracování osobních údajů.
Statutární orgán SVJ provede ve svých podkladech kontrolu uvedených osobních údajů subjektů a vymaže neopodstatněné a neplatné osobní údaje. Zejména pak rodné čísla osob, u kterých již dle GDPR není oprávnění tento údaj evidovat. Stejnou kontrolu a aktualizaci údajů provede ve svých záznamech zpracovatel.
Obsah směrnice bude jednou ročně aktualizován na základě nových výkladů a upřesnění dotčených orgánů (např. orgány EU, ÚOOÚ apod.).
Za výbor SVJ Dr. Martínka 1168/47
Ing. Martin Kolínek v.r.
Ing. Oldřich Knotek v.r.
Stanislav Schattke v.r.

Originál dokumentu je možno stáhnout zde.