Obecné nařízení o ochraně osobních údajů (GDPR) zavádí nové povinnosti, které dopadají i na SVJ, BD a FO, jako správce osobních údajů. Některé povinnosti budou plněny vůči nositelům osobních údajů (vlastníci nebo uživatelé jednotek) a vyplývají z povinnosti umožnit nositelům osobních údajů (subjektů údajů) výkon jejich práv uvedených v GDPR. Některé povinnosti jsou pak pro správce osobních údajů stanovena v GDPR přímo a budou plněna vůči různému okruhu osob (vůči dozorovému orgánu, vůči subjektu údajů).
K tomu je rovněž nutné uvést, že tyto povinnosti se vztahují přímo k osobě správce osobních údajů. SVJ, BD a FO je tedy nemohou delegovat na svého profesionálního správce nemovitosti jako zpracovatele osobních údajů, ale musí je splnit sami. Pro splnění některých povinností však není součinnost zpracovatele vyloučena. Pro úplnost pak dodávám, že i profesionální správci jako zpracovatelé osobních údajů budou muset sami plnit povinnosti, které pro ně GDPR zavádí.
Vyjmenovaným povinnostem bude věnován samostatný podrobný článek, obecně lze však uvést, že se na SVJ, BD a FO budou vztahovat zejména následující povinnosti.
Povinnost poskytnout informace – správce osobních údajů (SVJ, BD a FO) je povinen ve stanovených lhůtách vydat subjektu údajů v souvislosti se získáváním osobních údajů informace vyjmenované v příslušném ustanovení GDPR.
Právo subjektu údajů na přístup k osobním údajům – na vyžádání subjektu údajů (vlastníka nebo uživatele jednotky) je správce osobních údajů povinen vydat potvrzení o tom, zda osobní údaje zpracovává včetně uvedení informací vyjmenovaných v příslušném ustanovení GDPR, jakož i umožnit subjektu údajů získat přístup k těmto osobním údajům.
Zabezpečení osobních údajů – správce osobních údajů je povinen za účelem zabezpečení osobních údajů ve smyslu GDPR přijmout příslušná technicko-organizační opatření a splnění této povinnosti musí rovněž prokázat.
Záznamy o činnostech zpracování – někteří správci, mezi něž se řadí i SVJ, BD a FO, jsou povinni vést záznamy o činnostech zpracování s rozsahem minimálně stanoveným GDPR.
Výše uvedené nejsou jedinými povinnostmi, které budou muset SVJ, BD a FO jako správci osobních údajů plnit, u dalších povinností však půjde zejména o konkrétní úkony, které vyplynou ze situace v průběhu zpracovávání osobních údajů (např. opravit osobní údaje v případě jejich nesprávnosti). K jejich plnění tedy není nutné předem vypracovávat zvláštní dokumenty.
Pro SVJ, BD a FO jako správce osobních údajů vlastníků a uživatelů jednotek plynou z GDPR nové povinnosti. Splnění těchto povinností se váže přímo k osobě správce, jejich plnění ani případnou odpovědnost za neplnění tedy nelze delegovat na profesionální správce, kteří vystupují jako zpracovatelé osobních údajů. Za účelem splnění uvedených povinností pak bude nutné, aby SVJ, BD a FO vypracovali odpovídající dokumenty a přijali příslušné interní směrnice.
Mgr. Zuzana Molíková, advokátka