Základní povinností správce osobních údajů je zabezpečení osobních údajů. Za tímto účelem jsou dle GDPR správci osobních údajů povinni s přihlédnutím ke konkrétním okolnostem (stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob) přijmout vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku. Splnění této povinnosti jsou pak SVJ, BD a FO povinni i prokázat. GDPR příkladem udává, co považuje za technická a organizační opatření. Pro účely SVJ, BD a FO jde zejména o zajištění neustále důvěrnosti, celistvosti a odolnosti systémů zpracování osobních údajů, zajištění dostupnosti a přístupu k osobním údajům v případě fyzických nebo technických potíží, jakož i pravidelné testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
Jinými slovy lze tedy říci, že k zabezpečení zpracování osobních údajů jsou SVJ, BD a FO povinni zajistit, aby ke zpracovávaným osobním údajům neměla přístup nepovolaná osoba (např. uzamčít prostor kde jsou listiny obsahující osobní údaje, zajistit nedostupnost třetích osob k osobním údajům na svých internetových stránkách), aby nedošlo k nenávratné ztrátě osobních údajů (údaje zálohovat) a tato zajištění i jejich účinnost jsou pak povinni pravidelně kontrolovat. Výše uvedené ovšem neznamená, že je nutně třeba způsob zpracování osobních údajů měnit, pokud jsou dané povinnosti k zabezpečení splněny i nyní.
Nutnost prokázat splnění výše uvedených povinností k zabezpečení zpracování osobních údajů je dána, nicméně způsob prokázání použitelný pro SVJ, BD a FO obecné nařízení GDPR blíže nespecifikuje. Jako nejvhodnější řešení se tedy jeví v rámci SVJ, BD a FO přijmout interní směrnici nebo obdobný dokument, v rámci kterého by bylo ve smyslu příslušných ustanovení GDPR vyjádřeno, že jsou dané povinnosti splněny.
Další povinností SVJ, BD a FO, kterou GDPR stanoví je vedení záznamů o činnostech zpracování. Tyto záznamy jsou povinni vést mimo jiné všichni správci osobních údajů, kteří neprovádějí zpracování osobních údajů pouze příležitostně. S ohledem na to, že SVJ, BD i FO osobní údaje vlastníků a uživatelů jednotek zpracovávají systematicky a dlouhodobě, nejde o příležitostné zpracování a proto povinnost vedení záznamů o činnostech dopadá i na ně. Záznamy o činnostech mají mít obecný charakter, nejde o záznamy každodenní činnosti s osobními údaji, ale o obecné záznamy zpracování, které správci provádějí.
Záznamy o činnostech musí být zpracovány písemně. Obecné nařízení GDPR pak přímo uvádí, jaké informace musí záznamy o činnostech obsahovat. Jde zejména o identifikaci správce osobních údajů (SVJ, BD, FO), uvedení účelu zpracování, popis kategorií osobních údajů, subjektů údajů i jejich příjemců, lhůty pro výmaz osobních údajů, jakož i obecný popis technických a organizačních bezpečnostních opatření specifikovaných výše v tomto článku. Ke splnění povinnosti vedení záznamů o činnostech jsou tedy SVJ, BD i FO povinni vypracovat dokument s příslušným obsahem uvedeným shora a tento dokument aktualizovat s ohledem na prováděné změny, které mají vliv na informace v něm uvedené.
Ve shrnutí lze uvést, že SVJ, BD a FO jsou pro splnění povinnosti k zabezpečení osobních údajů ve smyslu příslušných ustanovení GDPR povinni přijmout příslušná technicko – organizační opatření. Za tímto účelem pak je namístě vypracovat interní směrnici nebo obdobný dokument, kterým bude splnění povinnosti k zabezpečení osobních údajů prokázáno. SVJ, BD a FO jsou dále dle obecného nařízení GDPR povinni vést záznamy o činnostech zpracování. Za tímto účelem je nutné vypracovat příslušný dokument, jehož minimální obsah je v GDPR povinně stanoven.
Mgr. Zuzana Molíková, advokátka