GDPR a pronajímatelé

Cílem nařízení je přinést nejen sjednocení jednotlivých národních úprav, vymahatelnost v celé EU, ale hlavně větší jistotu pro občany EU, kteří tak získají více kontroly nad svými osobními údaji. A na koho platí nařízení především?

Nařízení o ochraně a zpracování osobních údajů se dotýká každého, který jakýmkoliv způsobem zpracovává tyto data, krom fyzických osob, jež údaje zpracovávají na osobní rovině. V případě, kdy si subjekty údaje zachovávají pro profesní a obchodní činnost, se tímto nařízením řídit musejí. Tedy i pronajímatelé. Patří zde ale i společenství vlastníků jednotek (SVJ) a bytová družstva (BD), prostě všichni, kteří zpracovávají osobní údaje svých členů, vlastníků bytových jednotek či nájemníků.

GDPR pro pronajímatele v 5 krocích:

1. krok – Pronajímatel nepotřebujete souhlas nájemce ke zpracováním osobních údajů 

Protože důvodem ke zpracování údajů je oprávněný zájem pronajímatele a někdy také jeho zákonná povinnost. Shromažďovat pouze ale smí jen skutečné nezbytné osobní informace. V základu jde o jméno, příjmení, rodné číslo, datum narození, trvalé bydliště, kontaktní údaje, jako telefonní číslo, e-mail, nebo i číslo bankovního účtu.

Oprávněným zájmem se pak rozumí uzavření smlouvy a její další plnění. S tímto oprávněním se váže i shromažďování údajů o spolubydlících, případně i úmrtí nájemce. Naopak v Občanském zákoníku však nájemce nemá povinnost poskytnout o spolubydlícím žádné údaje a dostačujícím je pouze nahlášení počtu osob. Ale sdělí-li nájemce z vlastního rozhodnutí pronajímateli tyto údaje, pak je to možné rovněž bez jejich udělení souhlasu se zpracováním.

Mezi zákonnou povinností se počítá např. vedení účetnictví. Jestli pronajímatel předává osobní údaje o nájemci externí firmě, je potřeba mít s poskytovateli služeb uzavřenou zpracovatelskou smlouvu.

2. krok – Je povinen informovat nájemce a případné spolubydlící jaké osobní údaje o nich  shromažďuje, jak s nimi nakládá a seznámit je s jejich právy týkající se ochrany jejich osobních údajů

Informace je nejvhodnější mít v listinné podobě, aby určená osoba podpisem listinu potvrdila a je jasné, že s ní souhlasila. Není ovšem vhodné všechny získané, zpracované a shromážděné údaje uchovávat více než po dobu, která je nezbytně nutná vzhledem k účelu, k jakému byly tyto údaje získány.

3. krok – Musí mít zpracován dokument se Záznamy o zpracování osobních údajů

A to především pro případnou kontrolu z Úřadu na ochranu osobních údajů. ÚOOÚ kontroly provádí a v budoucnu i bude provádět především na základě oznámení stěžovatele (v tomto případě by jím mohl být nájemce).

4. krok – Povinností pronajímatele je zabezpečené uložení údajů

Pronajímatelé jsou povinni zabezpečit přístup k údajům, tak aby se k nim neoprávněné osoby nedostaly. Ukládat je možné v elektronické (heslem chráněny přístup do PC) i papírové (např. skříňka se zámkem).

5.krok – Nahlášení krádeže dat a dokumentů je povinen oznámit na ÚOOÚ

V případě ztráty či krádeže dat a dokumentů či jiném úniku osobních údajů je pronajímatel povinen událost oznámit na ÚOOÚ.

Co SVJ a GDPR?

Společenství vlastníků jednotek nejčastěji zpracovává jméno a adresu, které podle občanského zákoníku mají povinnost oznamovat nabytí jednotky do vlastnictví osobě odpovědné za správu domu. SVJ vede seznam členů společenství, tento seznam ale nepodléhá potřebnosti souhlasu daného subjekty, o které jsou osobní údaje shromažďovány, a to z důvodu, že se jedná o jejich (SVJ) zákonnou povinnost. Nicméně pokud SVJ zpracovává další osobní údaje, které nejsou předpokládány zákonem, vyžaduje se souhlas konkrétní osoby s tímto zpracováním. Takovým údajem může být například email či telefonní číslo. Zároveň pro každou skupinu osobních údajů, se kterými SVJ pracuje, musí být stanovený účel tohoto zpracování. Přitom není nutné, aby bylo vymezení napsáno právnickým jazykem. Nejdůležitější je účel jasně a srozumitelně vymezit, aby si každý, jehož osobní údaje jsou zpracovávány, dokázal ověřit, jak a z jakého důvodu se s jeho osobními údaji nakládá.

První krok SVJ povede přes audit dosavadního zpracování osobních údajů. Společenství by si mělo udělat přehled o všech zpracovávaných osobních údajích. Jakmile bude mít SVJ tento jakýsi „úklid“ osobních údajů za sebou, může se pustit do dalšího kroku. V něm je důležité k jednotlivým skupinám těchto osobních údajů přiřadit účely, rozsah zpracování, dobu, po kterou se s osobními údaji pracuje a také to, jakým způsobem jsou uchovávány. Následovat by mělo zrevidování všech dokumentů, aktualizace souhlasů, tam kde jsou potřeba a v neposlední řadě, předání všech těchto informací subjektům osobních údajů.

Základní pojmy v rámci GDPR na závěr:

• osobními údaji jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě. Například: jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

• zpracováním je v kontextu Nařízení jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů.

• profilování je jakákoli forma automatizovaného zpracování osobních údajů, spočívající v jejich použití, k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu.

• pseudonymizace je operace zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě.

• evidencí je myšlen jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska.

• správcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;

• zpracovatelem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.

• příjemcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterému jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli.

• třetí stranou je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů.

• souhlasem subjektu údajů je jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

• porušením zabezpečení osobních údajů je porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.