GDPR a správa nemovitostí

Hlavní stránka » Aktuality » GDPR a správa nemovitostí

Legislativa v oblasti ochrany osobních údajů (zejména zákon č. 101/2000 Sb., o ochraně osobních údajů) se týkala také vlastníků nemovitostí, společenství vlastníků jednotek, bytových družstev apod.

Podobně se v současné době těchto subjektů týká rovněž GDPR (nařízení Evropského parlamentu a rady (EU) 2016/679). Co je tedy třeba udělat pro ochranu osobních údajů ve světle povinností stanovených GDPR?

DŮVOD

Aby bylo možné o nějaké kategorii lidí, např. zaměstnancích nebo členech bytového družstva či vlastnících jednotek v domě, získávat údaje a používat je, musíme k tomu mít nějaký (právní) důvod. Tímto často bývají smlouvy s nimi uzavírané, např. pracovní smlouvy se zaměstnanci, dodavatelské nebo jiné smlouvy uzavírané se zákazníky atd. Důvodem je samozřejmě také zákon, který to ukládá, např. při vedení účetní a mzdové evidence, nebo třeba při vedení seznamu členů družstva či seznamu vlastníků jednotek v domě. V některých případech může být důvodem ochrana našich práv, např. hlídá-li kamera cenný majetek či naše bezpečí před potenciálními pachateli trestných činů.

Takové informace a jejich používání nezasahují nepřiměřeně do soukromého života subjektu osobních údajů a správce má právo na používání těchto informací již na základě uvedených právních důvodů.

Nenajdeme-li však žádný z těchto důvodů, a přece bychom chtěli údaje o subjektech získávat, např. jaké jméno a příjmení (případně jiné označení) si přejí mít uvedeno na domovních zvoncích, je třeba je požádat, zda s vedením takových údajů budou souhlasit. Musíme ale mít na paměti, že souhlas je dobrovolný, a když ho subjekt odvolá, má právo, aby byly takové údaje vymazány.

ZÁSADY

Vždy bychom si nejprve měli uvědomit, proč osobní údaje o subjektech potřebujeme. Z toho je pak třeba vyjít při požadavku na poskytnutí údajů, aby o jednotlivých subjektech nebyly zbytečně zaznamenávány informace, které vlastně vůbec nejsou třeba. Rozsah údajů by tak měl být jen minimální, aby bylo dosaženo toho, co si správce stanovil. Správce by měl dbát na to, aby získávané údaje byly přesné, a jejich přesnost by měl ověřovat. Zaznamenané údaje nemohou být využívány v rozporu s původním cílem.

Další zásadou je mít údaje jen tak dlouho, dokud je potřeba. Doba se může v různých případech výrazně – od několika dnů kamerového záznamu, z něhož je patrné, že se v té době nic mimořádného nestalo, až po desítky let při zákonem stanoveném uchovávání některých dokumentů, např. mzdových listů.

INFORMACE

Nejvíce nedorozumění a stížností vzniká v důsledku toho, že lidé nezískají dostatek informací, proč své osobní údaje poskytují a co se s nimi bude dále dít, popř. komu budou předány. Již při získávání údajů je proto třeba dotyčnému subjektu takové informace poskytnout.

Vyhovět je třeba i dalším právům, která mohou subjekty uplatnit, jestliže jsou jejich osobní údaje uchovávány a používány. Právo na získání informací o nakládání s vlastními údaji mají nejen ve chvíli jejich poskytnutí, ale mohou se dotázat i kdykoli později. Pokud se to nedotkne práv jiných osob, má každý právo i na poskytnutí kopie svých údajů. Za další kopii už je ale možné požadovat přiměřený poplatek. K dalším právům patří i právo na opravu nepřesných údajů, právo na výmaz údajů, ale pouze pokud není jiný důvod pro jejich další uchovávání.

ZABEZPEČENÍ

Je třeba, aby listinné dokumenty, které obsahují osobní údaje získané od subjektů, pokud se s nimi nepracuje, byly uchovávány v uzamčené zásuvce stolu nebo v uzamčené skříni a nebyly ponechávány v neuzamčené místnosti, pokud z ní odchází ten, kdo s nimi pracuje. K údajům uloženým v počítači nebo jiném elektronickém zařízení může mít na základě hesla přístup vždy jen ten, kdo je pověřen, aby s nimi pracoval.

Osobní údaje musejí být odpovídajícím způsobem zabezpečeny i při přenosu elektronickými prostředky. Pro tento účel je nutné přijmout premisu, že běžná e-mailová komunikace není příliš bezpečná. V odůvodněných případech je tak vhodné zvolit bezpečnější formu přenosu informací, např. šifrováním. Šifrovaný soubor lze zaslat i méně zabezpečenými formami komunikace. Opatrně je nutno přistupovat rovněž k elektronické komunikaci činěné prostřednictvím free-mailových služeb. Neznamená to, že by nebylo možné nikdy použít free-mailovou službu, např. pokud jde jen o jednoduchou domluvu se zákazníkem či zaslání nerizikových informací. Ale zasílat touto formou větší objem informací obsahujících osobní údaje rozhodně nelze doporučit.

Pokud jsou osobní údaje předány jejich správcem dalšímu subjektu, aby s těmito údaji pracoval pro něho a místo něho, je nutné s třetím subjektem uzavřít smlouvu, v níž se zaváže chránit osobní údaje stejně jako správce. Bez takové smlouvy není předání osobních údajů dalším zpracovatelům možné, resp. je možné pouze za splnění podmínky souhlasu dotčeného subjektu osobních údajů.

ZDROJE: GDPR
WWW.UOOU.CZ/GDPR-STRUCNE/DS-4843/P1=4843

GDPR AND FACILITY MANAGEMENT

Legislation in the area of personal data protection (specifically Act No. 101/2000 Ed., reference personal data protection) being applied to property owners, homeowners’ associations, housing co-operatives an others.

These entities are, at these times, also subject to GDPR (the regulation by the European Parliament and Council (EU) 2016/679). What then needs to be done with regards to personal data protection in the light of obligations set out by the GDPR?

REASON

In order to be able to acquire data on certain categories of people, for instance employees and/or members of a housing co-operative or homeowners’ association, and to use them, we must have a legal reason for doing it. This often tends to be contracts concluded with these people, for instance an employment contract, procurement contract or other contracts concluded with clients etc. The reason also lies within the law that sets the regulation, for instance when conducting accounting and wage records or maybe when compiling a list of members of the co-operative or a list of homeowners of the residential units within the building. In some cases, the reason can lie in our rights protection, for instance when a camera monitors valuable assets or our safety from potential criminals.

Such information and its utilization do not interfere in the private life of a subject’s personal data inappropriately and the administrator is entitled to utilize this information on the basis of the aforementioned legalities.

However, if we don’t find any of these reasons and would still want to acquire data about the entities, for instance what first name and surname (or possible other specifications) they want to have on their addresses, it is necessary to request their consent on the administration of such data. Nevertheless, we must remember that this consent is voluntary and if the entity requests to take it back, he/she is entitled to having such data deleted.

PRINCIPLES

We should always first try to realize why we need personal data on the entities. That is what one needs to stem from when requiring the data provision so that any information that is not necessary is unnecessarily registered. The extent of the data should then be kept to its minimum in order to achieve that which the administrator has set. The administrator should ensure that the acquired data is accurate and should verify its accuracy. This registered data cannot be utilized in any breach of the original objective.

Another principle is to hold the data only as long as is necessary. This time limit can differ considerably – from several days of camera recordings that clearly show that nothing exceptional happened in that time to many years of archiving certain documents as required by law, for instance wage information.

INFORMATION

Most misunderstandings and complaints arise as a result of the fact that people do not obtain enough information on why they provided their personal data and what is to happen with it or possibly who it is to be forwarded to. So, it is necessary to inform the particular entity of such when acquiring the data.

It is also necessary to accommodate other laws that the entities can employ if their personal data is being archived and utilized. They have the right to the acquiring of information on the handling of personal data at the time they provided it but can also inquire about it later. If this does not affect other people then everyone is entitled to a copy of his/her data. Nevertheless, every other copy can have an appropriate charge imposed. Other rights also include the right to a correction of inaccurate data but this only applies if there is no other reason for further archiving.

SECURITY

What is necessary is for the paper documents that contain personal data provided by the entities to be archived in a secured drawer or cupboard if not used anymore and not to be left in an unsecured room if the person who is working with it leaves the room. As for data saved on computer or another electronic device this can only be accessed with a password by those entrusted to work with it.

Personal data must also be secured appropriately during electronic transfer. There it is necessary to accept the premise that common e-mail communication is not that safe. In justified cases it is then correct to choose a safer form of information transfer, for instance via encryptions. Encrypted files can also be sent via less secure forms of communication. It is also necessary to approach safely any electronic communication made via free-mail services. This doesn’t mean that it is impossible to ever use free-mail services, for instance when it is only about a simple arrangement made with the customer or sending non-risky information. However, the sending of a larger volume of information containing personal data certainly cannot be recommended.

If the administrator of the personal data hands the data over to another entity to work with it for him or on his behalf, it is first necessary to conclude a contract with the third party whereby he obliges himself to protect the personal data to the same extent the administrator did. The handing over of the personal data to any further party for processing is not possible without such a contract or let us say it is only possible if meeting the consent condition by the particular entity of the personal data.

SOURCE: GDPR
WWW.UOOU.CZ/GDPR-STRUCNE/DS-4843/P1=4843

Sledujte nás

Copyright © 2018 WPremium event, s.r.o. Všechna práva vyhrazena.