Subjekty, ktoré vykonávajú správu bytov v zmysle zákona č. 182/1993 Z. z. o vlastníctve bytov a nebytových priestorov (ďalej ako „zákon o vlastníctve bytov“) musia popri iných povinnostiach v rámci svojej činnosti zabezpečovať aj ochranu osobných údajov v zmysle GDPR. Zameriame sa na to, ktoré základné dokumenty v oblasti ochrany osobných údajov by správcovia mali mať vypracované.
Čo by mal správca vypracovať
Pre správnu implementáciu pravidiel na ochranu osobných údajov u správcu je v prvom rade potrebné zmapovanie toku osobných údajov. Ide predovšetkým o identifikovanie účelov spracúvania osobných údajov, jednotlivých spracovateľských operácií, dotknutých osôb, kategórii dotknutých osobných údajov, sprostredkovateľov atď. Na základe takejto analýzy môžu byť pracované základné dokumenty upravujúce ochranu osobných údajov u správcu, ako
- záznamy o spracovateľských činnostiach
- dokument, prostredníctvom ktorého si správca splní informačnú povinnosť voči jednotlivým kategóriám dotknutých osôb (zamestnanci, vlastníci bytov a atď.)
- poverenia na spracúvanie osobných údajov pre zamestnancov, ktorí sa v rámci svojej práce oboznamujú s osobnými údajmi
- zmluvy o spracúvaní osobných údajov so sprostredkovateľmi
- v prípade webového sídla informačná povinnosť vo vzťahu k návštevníkom webu, súhlas so spracúvaním cookies a podobne
- interná smernica správcu
- zoznam bezpečnostných opatrení na ochranu osobných údajov a iné podľa konkrétnych okolností
Právne základy
Tak ako aj u iných prevádzkovateľov, aj v prípade správcov sa každé spracúvanie osobných údajov môže uskutočniť iba na relevantnom právnom základe.
Podľa č. 6 GDPR sú právne základy nasledovné:
- dotknutá osoba vyjadrila súhlas so spracúvaním svojich osobných údajov na jeden alebo viaceré konkrétne účely
- spracúvanie je nevyhnutné na plnenie zmluvy, ktorej zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzatvorením zmluvy
- spracúvanie je nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa
- spracúvanie je nevyhnutné, aby sa ochránili životne dôležité záujmy dotknutej osoby alebo inej fyzickej osoby
- spracúvanie je nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi
- spracúvanie je nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa
V prípade právneho základu, ktorým je plnenie zákonnej povinnosti prevádzkovateľa u správcu pôjde aj o plnenie zákonných povinností podľa zákona o vlastníctve bytov a nebytových priestorov.
Podľa § 9 ods. 3 zákona o vlastníctve bytov je správca alebo spoločenstvo „oprávnené na účely správy domu spracúvať osobné údaje vlastníkov bytov a nebytových priestorov v dome v rozsahu meno, priezvisko, dátum narodenia, rodné číslo, adresa trvalého alebo prechodného pobytu, číslo bytu, telefónne číslo, elektronická adresa, číslo účtu a kód banky. Správca alebo spoločenstvo je oprávnené na účel ochrany majetku vlastníkov bytov a nebytových priestorov v dome zverejňovať zoznam vlastníkov bytov a nebytových priestorov v dome, ktorí majú úhrnnú výšku nedoplatkov na preddavkoch do fondu prevádzky, údržby a opráv domu a na úhradách za plnenie aspoň vo výške trojnásobku ich aktuálneho mesačného určenia. V zozname sa uvedie meno a priezvisko vlastníka bytu alebo nebytového priestoru v dome a suma nedoplatku na preddavkoch do fondu prevádzky, údržby a opráv domu alebo na úhradách za plnenie. Zoznam sa zverejňuje na mieste obvyklom na oznamovanie informácií v dome.“
Naše GDPR služby pre správcu bytov
SLUŽBA | popis | časový odhad |
VSTUPNÁ ANALÝZA SÚČASNÉHO STAVU | Zmapovanie toku osobných údajov, zmapovanie účelov spracúvania osobných údajov a určenie právnych základov pre jednotlivé spracovateľské činnosti, na základe dotazníka. V prípade, ak z analýzy vyplynie, že osobné údaje sú spracúvané na základe oprávneného záujmu prevádzkovateľa, vypracovanie balančných testov na potvrdenie aplikovateľnosti oprávneného záujmu ako právneho základu (napr. prípade kamerových systémov, kontrola dochádzky podľa otlačku prsta a pod.) | 2 – 4 hod. 1,5 – 2 hod./1 test |
VYPRACOVANIE ZÁZNAMOV O SPRACOVATEĽSKÝCH ČINNOSTIACH | Vypracovanie záznamov o spracovateľských činnostiach podľa aktuálneho stavu u prevádzkovateľa na základe výstupov vstupnej analýzy. | 2 – 4 hod. |
VYPRACOVANIE INTERNEJ POLITIKY OCHRANY OSOBNÝCH ÚDAJOV | Interný dokument, ktorý komplexne opisuje politiku ochrany osobných údajov prevádzkovateľa. | 2 – 3 hod. |
POPIS PRIJATÝCH BEZPEČNOSTNÝCH OPATRENÍ A NÁVRH NA PRIJATIE ĎALŠÍCH BEZPEČNOSTNÝCH OPATRENÍ (BEZPEČNOSTNÁ DOKUMENTÁCIA) | Posúdenie bezpečnosti prijatých opatrení a vypracovanie interného dokumentu obsahujúceho popis technických a organizačných opatrení prijatých prevádzkovateľom na ochranu osobných údajov. Podľa potreby – návrh na prijatie bezpečnostných opatrení, ktoré Vám na základe analýzy súčasného stavu odporúčame prijať nad rámec súčasných opatrení. | 3 – 5 hod. |
VYPRACOVANIE INTERNEJ SMERNICE RIEŠENIA TZV. BEZPEČNOSTNÝCH INCIDENTOV | Interný dokument obsahujúci popis postupu v prípade bezpečnostného incidentu vrátane oznámenia Úradu na ochranu osobných údajov a dotknutej osobe so vzormi na plnenie uvedených oznamovacích povinností a vzorom záznamu o priebehu bezpečnostného incidentu. | 1 – 2 hod. |
VYPRACOVANIE POVERENIA NA SPRACÚVANIE OSOBNÝCH ÚDAJOV | Vypracovanie vzorových poverení na spracúvanie osobných údajov pre jednotlivé okruhy poverených osôb spolu so záväzkom mlčanlivosti poverených osôb. | 2 – 4 hod. |
NASTAVENIE INFORMAČNEJ POVINNOSTI VOČI DOTKNUTÝM OSOBÁM | Vypracovanie dokumentu na plnenie informačnej povinnosti voči dotknutým osobám (zamestnanci, zákazníci, členovia a pod.). Vypracovanie informačnej povinnosti na webovú stránku prevádzkovateľa vrátane informácie ku cookies na webovej stránke v súlade s GDPR, Smernicou o e-Privacy a Zákonom o elektronických komunikáciách. Vypracovanie informačnej povinnosti do e-mailovej komunikácie. | 3 – 5 hod. |
VYPRACOVANIE SÚHLASU DOTKNUTEJ OSOBY | Vypracovanie vzorového dokumentu, ktorý sa použije v prípadoch, kedy právnym základom spracúvania osobných údajov bude súhlas dotknutej osoby. Zmapovanie, od ktorých konkrétnych osôb je potrebné udelenie súhlasu so spracúvaním osobných údajov a podľa dohody vypracovanie jednotlivých súhlasov. | 1 – 2 hod. |
ZODPOVEDNÁ OSOBA | Posúdenie, či prevádzkovateľovi vznikla povinnosť určenia zodpovednej osoby. Vypracovanie vzoru ustanovenia zodpovednej osoby. | 1 – 2 hod. |
ANALÝZA SPROSTREDKOVATEĽOV A VYPRACOVANIE ZMLÚV O SPRACÚVANÍ OSOBNÝCH ÚDAJOV SPROSTREDKOVATEĽMI | Detailne posúdime, v ktorých prípadoch u Vás dochádza k sprostredkovaniu osobných údajov a vypracujeme návrh zmluvy o spracúvaní osobných údajov pre konkrétnych sprostredkovateľov alebo zrevidujeme už uzavreté zmluvy z hľadiska ochrany osobných údajov. | 1 – 3 hod. 1 – 3 hod./zmluva |
POSÚDENIE VPLYVU NA OCHRANU OSOBNÝCH ÚDAJOV (DPIA) | Predbežné posúdenie, či Vaša spoločnosť musí vykonať tzv. DPIA – posúdenie vplyvu na ochranu osobných údajov. V prípade, ak sa na Vás vzťahuje zákonná povinnosť vykonania posúdenia vplyvu na ochranu osobných údajov – vykonanie posúdenia vplyvu na ochranu osobných údajov. | 0,5 hod. dohodou podľa charakteru spracovateľských operácií |
PRÁVNA ANALÝZA | Vypracovanie podrobnej analýzy k špecifickým aspektom spracúvania osobných údajov u konkrétneho prevádzkovateľa s ohľadom na aktuálne usmernenia Úradu na ochranu osobných údajov, Európskeho výboru pre ochranu údajov a rozhodovaciu prax vrátane súdnej praxe. | dohodou podľa charakteru spracovateľských operácií |
MANUÁL NA POUŽITIE GDPR DOKUMENTÁCIE | Stručný prehľad vypracovaných dokumentov s informáciou o ich použití. | poskytujeme ako bonus k dokumentácii |