Nariadenie GDPR o ochrane osobných údajov. Zbytočne veľký strašiak?

Aktuálnou horúcou témou je blížiaci sa termín novej ochrany osobných údajov. Sú toho plné média a mnohé spoločnosti túto právne komplikovanú otázku zneužívajú. Podsúvajú projekty za „ťažké peniaze“ pod hrozbou vysokých sankcií za takmer žiadnu protihodnotu a niekedy tiež za (možno aj nevedomky) chybné vypracovanie projektu a všetkých súvisiacich listín.

Nová úprava ochrany osobných údajov na európskej úrovni bola žiadúca najmä z politických a ekonomických dôvodov. Existuje mnoho nadnárodných spoločností (Facebook, Google, Uber, Airbnb a pod.), ktoré majú účelovo zriadené sídlo v tom štáte Európskej únie, ktoré im poskytuje mnohé daňové zvýhodnenia a tiež málo limitujúcu úpravu ochrany osobných údajov. Je teda možné s nadhľadom povedať, že dôvodom vzniku novej úpravy ochrany osobných údajov je práve existencia týchto spoločností určitým spôsobom. V priestore Slovenskej republiky nebola nevyhnutná nová úprava a prijatie nového zákona je len plnením si povinností vyplývajúcej z medzinárodných zmlúv.

Dňa 25. mája nadobudne účinnosť nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov. Toto nariadenie dopĺňa zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov. Nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo svojej celistvosti vo všetkých členských štátoch Európskej únii. V úvode je nutné poukázať na to, že Nariadenie má prednosť pred vnútroštátnym právom Slovenskej republiky a nevyžaduje si transpozíciu do právneho poriadku členskej krajiny. V niektorých prípadoch pri výklade pojmov si môžeme pomôcť aj usmerneniami Pracovnej skupiny WP 29. Ako sa však toto nariadenie dotkne správcov bytových domov a spoločenstiev vlastníkov bytov a nebytových priestorov?

Ak správca alebo spoločenstvo spracúva osobné údaje, totospracúvanie je zákonné iba vtedy, ak je splnený právny základ pre spracúvanie. Je to síce slovník právnej teórie, no pokúsim sa ho aplikovať na problémy správy bytového fondu. V zmysle nariadenia je spracúvanie zákonne iba vtedy a iba v tom rozsahu, keď je splnená jedna z týchto podmienok:

  1. dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely
  2. spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy
  3. spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa.

Dotknutou osobou sa rozumie každá fyzická osoba, ktorej osobné údaje sa spracúvajú.

Dôležitou novinkou je zákaz spracovávať osobné údaje bez splnenia podmienky právneho základu (a, b, c) aj v prípadoch keď to „starý“ zákon č. 122/2013 Z. z. o ochrane osobných údajov dovoľoval aj bez súhlasu dotknutej osoby. Išlo najmä o prípady keď:

  1. sa spracúvali osobné údaje, ktoré už boli zverejnené v súlade so zákonom a prevádzkovateľ ich náležite označil ako zverejnené (napr. zverejnenie dlžníka s dlhom prevyšujúcim sumu 500,- eur v bytovom dome)
  2. predmetom spracúvania boli výlučne titul, meno, priezvisko a adresa dotknutej osoby bez možnosti priradiť k nim ďalšie jej osobné údaje a ich využitie bolo určené výhradne pre potreby prevádzkovateľa v poštovom styku s dotknutou osobou a evidencie týchto údajov, ak predmetom prevádzkovateľa bol priamy marketing, uvedené údaje mohol poskytovať, bez možnosti ich sprístupňovania a zverejňovania, len vtedy, ak boli poskytované inému prevádzkovateľovi, ktorý má rovnaký predmet činnosti, výhradne na účely priameho marketingu a dotknutá osoba písomne neuplatnila námietku.

Ak bolo spracúvanie osobných údajov „v starom režime“ založené na súhlase dotknutej osoby, prevádzkovateľ musel vedieť preukázať, že dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov. Akákoľvek časť súhlasu dotknutej osoby získaná podľa starého zákona, ktorá by predstavovala porušenie nového nariadenia, nebude záväzná!

Spracovanie osobných údajov dieťaťa je zákonné len ak má dieťa aspoň 16 rokov. Ak má dieťa menej než 16 rokov, takéto spracúvanie je zákonné iba za podmienky a v rozsahu, v akom takýto súhlas vyjadril alebo schválil nositeľ rodičovských práv a povinností. Ak je teda vlastníkom bytu alebo nebytového priestoru osoba mladšia ako 16 rokov, celé pole práv a povinností sa presúva do roviny vzťahu smerom k rodičovi (pestúnovi, opatrovníkovi a pod.)

Ďalšou z noviniek pre dotknuté osoby je právo na vymazanie (právo „na zabudnutie“). Dotknutá osoba bude mať právo dosiahnuť u prevádzkovateľa bez zbytočného odkladu vymazanie osobných údajov, ktoré sa jej týkajú  a prevádzkovateľ je povinný bez zbytočného odkladu vymazať osobné údaje. Ide o prípady ak:

  1. osobné údaje už nie sú potrebné na účely, na ktoré sa získavali alebo inak spracúvali
  2. dotknutá osoba odvolá súhlas, na základe ktorého sa spracúvanie vykonáva
  3. ak sa osobné údaje spracúvali nezákonne.

 

Čo znamená spracovanie údajov na zákonnom základe

Správca alebo spoločenstvo je oprávnené na účel ochrany majetku vlastníkov bytov a nebytových priestorov v dome zverejňovať zoznam vlastníkov bytov a nebytových priestorov v dome, ktorí majú úhrnnú výšku nedoplatkov na preddavkoch do fondu prevádzky, údržby a opráv domu a na úhradách za plnenie aspoň 500 EUR. Toto právo na spracúvanie osobných údajov vyplýva priamo zo zákona a z toho dôvodu nie je potrebný súhlas dlžníka na spracúvanie jeho osobných údajov. Inak napísané, ak bude niekto namietať, že bol zverejnený ako dlžník na základe uvedených podmienok bez toho, aby k tomu dal súhlas, je na omyle. Toto spracúvanie údajov má zákonný základ priamo zo zákona 18/2018 Z. z., nakoľko ide o spracúvanie osobných údajov, ktoré je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa (správcu bytového domu alebo spoločenstva). V prípadoch ak sa vymáhajú nedoplatky prostredníctvom inej spoločnosti, ide takisto o plnenie si zákonnej povinnosti a súhlas na spracúvanie osobných údajov dlžníka sa nevyžaduje. Je však nutné si ošetriť ochranu osobných údajov v zmluve medzi správcom a treťou stranou, napr. najčastejšie mandátnou zmluvou. To isté platí aj pri vypracovaní ročného vyúčtovania za plnenia. Tiež ide o povinnosť vyplývajúcu priamo zo zákona (bytového) a súhlas vlastníka na spracovanie jeho osobných údajov sa nevyžaduje. Spracúvanie ročného vyúčtovania je nevyhnutné pre splnenie si zákonnej povinnosti.

V zmysle nariadenia je prevádzkovateľ oprávnený využívať len sprostredkovateľov poskytujúcich dostatočné záruky k tomu, že sa prijmú primerané technické a organizačné opatrenia. Spracúvanie musí spĺňať požiadavky nariadenia a tiež zabezpečenie ochrany práv dotknutej osoby. Medzi prevádzkovateľom a sprostredkovateľom by mala byť uzavretá zmluva, ktorá stanoví predmet a dobu spracúvania, povahu a účel spracúvania, typ osobných údajov a kategóriu dotknutých osôb a povinnosti a práva prevádzkovateľa. V konkrétnych situáciách ide najmä o zmluvy medzi správcom a poskytovateľom softvérových služieb pre účely administratívy týkajúcej sa správy bytového fondu. Spracovať takúto zmluvu nie je až tak náročné, dôležité je aby obsahovala vymedzenie práve „primeraných technických a organizačných opatrení“.

 

V prípade záujmu o sprístupnenie obsahu druhej časti článku nás môžete kontaktovať na info@lepsiasprava.sk

 

Získate usmernenie pri riešení týchto problémov:

  • Posúdenie vplyvu na ochranu osobných údajov. Je potrebné aby ho správca bytových domov vôbec mal?

  • Ako chrániť rodné číslo fyzickej osoby a 

  • Môže byť zodpovednou osobou aj zamestnanec správcu? Aké má práva a povinnosti a ako je možné spracovávať osobné údaje mimo určenia takejto osoby.

  • Čo je záznam o spracovateľských operáciách a kedy ho správca bytových domov potrebuje vypracovať?

  • Efektívne riešenie komplexnej ochrany osobných údajov pre správcov bytových domov prostredníctvom „Kódexu správania Združenia pre lepšiu správu bytových domov“

  • Sankcie v prípade porušenia povinnosti