Nepřístupný dokument, nutné přihlášení
Input:

Vnitřní směrnice BD k ochraně osobních údajů dle GDPR

26.4.2021, , Zdroj: Verlag DashöferDoba čtení: 21 minut

2.6.3
Vnitřní směrnice BD k ochraně osobních údajů dle GDPR

Mgr. Adriana Kvítková, Mgr. Alexandra Javoreková

Zde si můžete vzor stáhnout ve formátu rtf.

Vzorová směrnice byla zpracována pro potřeby většího, řádně fungujícího, bytového družstva, jehož hlavní činností je zajišťování bytových potřeb svých členů a správa nemovitosti. Příslušné bytové družstvo, coby pronajímatel družstevních bytů a nebytových prostorů, vystupuje ve vztahu k subjektům údajů (svým členům, členům jejich domácností, příp. podnájemcům) jako správce osobních údajů. Vzorová směrnice se tedy zabývá ochranou osobních údajů při činnosti bytového družstva, které pravidelně zpracovává v rámci své činnosti osobní údaje, provozuje kamerové systémy, vede evidenci svých členů, členů jejich domácností, příp. podnájemců v družstevních bytech a nebytových prostorech (event. i dalších osob, které se v bytovém domě zdržují), dále také eviduje databázi dlužníků pro vymáhání pohledávek a pro účely kontroly možného vstupu do insolvence, využívá služeb zpracovatelů osobních údajů (např. externího správce) a poskytuje osobní údaje těmto zpracovatelům, příp. příjemcům údajů a třetím osobám.

VNITŘNÍ SMĚRNICE BYTOVÉHO DRUŽSTVA K OCHRANĚ OSOBNÍCH ÚDAJŮ

Bytové družstvo Štúrova 456, se sídlem Štúrova 456, 602 00 Brno, IČ: 876 54 321, zapsané v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl Dr, vložka 1234 (dále jen "Bytové družstvo"),

s ohledem na nezbytnost plnění úkolů Bytového družstva v oblasti ochrany osobních údajů, zejména pak s přihlédnutím k potřebě dodržování a náležité realizace práv a povinností upravených v nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), (dále jen "Nařízení"), a v zákoně č. 110/2019 Sb., o zpracování osobních údajů, v platném znění.

vydává tuto:

vnitřní směrnici k ochraně osobních údajů

(dále jen "směrnice")

Čl. I.
Základní pojmy

  1. Bytové družstvo je správcem osobních údajů, který zpracovává osobní údaje sám anebo k tomuto účelu využívá služeb zpracovatelů osobních údajů.
  2. Osobní údaje představují veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen "subjekt údajů"); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
  3. Subjektem údajů jsou ve vztahu k Bytovému družstvu vždy členové Bytového družstva, tedy nájemci družstevního bytu nebo nebytového prostoru, příp. členové jejich domácností, jinak jimi mohou být i příp. podnájemci v družstevním bytě nebo nebytovém prostoru, či další osoby, které se v bytovém domě pohybují a zdržují, pokud Bytové družstvo zpracovává jejich osobní údaje.
  4. Zpracováním osobních údajů je jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
  5. Zpracovatelem osobních údajů je v kontextu této směrnice jakákoliv fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro Bytové družstvo jakožto správce osobních údajů.
  6. Příjemcem osobních údajů je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem České republiky, se za příjemce nepovažují.
  7. Třetí stranou je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů.

Čl. II.
Základní zásady zpracování osobních údajů a jejich dodržování

  1. Při zpracování osobních údajů postupuje Bytové družstvo v souladu se základními zásadami zpracování osobních údajů. Bytové družstvo tedy:
    1. zpracovává osobní údaje ve vztahu k subjektům údajů korektně, zákonně a transparentně;
    2. shromažďuje osobní údaje pouze pro určité, výslovně vyjádřené a legitimní účely a dále je nezpracovává způsobem, který je s těmito účely neslučitelný (za neslučitelné s původními účely se přitom nepovažuje další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely);
    3. zpracovává pouze takové osobní údaje, které jsou přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány;
    4. zpracovává pouze takové osobní údaje, které jsou přesné a v případě potřeby aktualizované; Bytové družstvo k tomuto účelu přijme veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny;
    5. uloží osobní údaje ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány;
    6. zpracovává osobní údaje způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.
  2. Bytové družstvo odpovídá za dodržení všech výše uvedených zásad a v souladu s Nařízením musí být schopno dodržování těchto zásad doložit.

Čl. III.
Činnost Bytového družstva před započetím (dalšího) zpracování osobních údajů

  1. Bytové družstvo předně provede analýzu dosavadního zpracování údajů, a to zejména:
    1. posoudí, které osobní údaje zpracovává a k jakým účelům;
    2. zkontroluje, zda pořád trvá právní důvod zpracování osobních údajů tak, aby toto zpracování bylo zákonné;
    3. v případě, že již netrvá původní zákonný důvod zpracování, zjistí, zda nelze příslušné zpracování osobních údajů podřadit pod některý z dalších zákonných důvodů zpracování a pokud se žádný neuplatní, pak získá souhlas subjektu údajů se zpracováním, příp. zpracování daných osobních údajů ukončí a tyto osobní údaje vymaže; Bytové družstvo informuje subjekt údajů o každé změně zákonného důvodu zpracování osobních údajů, o změně účelu zpracování, o výmazu osobních údajů apod.;
    4. posoudí stávající technické zabezpečení zpracování osobních údajů a přijme opatření dle čl. VII. této směrnice;
    5. proškolí své zaměstnance a další osoby, které osobní údaje zpracovávají na základě pokynů Bytového družstva, a zajistí jejich mlčenlivost;
    6. posoudí stávající rizika zpracování osobních údajů;
    7. posoudí zavedené postupy při poskytování informací subjektům údajů, příjemcům údajů a třetím osobám (např. externím správcům);
    8. posoudí, zda uzavřené smlouvy se zpracovateli osobních údajů splňují podmínky stanovené Nařízením (pokud nesplňují, postupuje dle čl. V. této směrnice).
  2. Bytové družstvo zavede s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob vhodná technická a organizační opatření, aby zajistilo a bylo schopné doložit, že zpracování je prováděno v souladu s Nařízením. Tato opatření je Bytové družstvo povinno pravidelně aktualizovat.

Čl. IV.
Zákonné důvody zpracování a podmínky získání souhlasu subjektu údajů

  1. Bytové družstvo je oprávněno zpracovávat osobní údaje pouze na základě jednoho ze zákonných důvodu zpracování, ve vztahu k Bytovému družstvu pak půjde nejčastěji o zpracování nezbytné pro splnění právních povinností, které se na Bytové družstvo vztahují, nebo zpracování nezbytné pro splnění smlouvy, jejíž stranou je subjekt údajů, příp. půjde o zpracování nezbytné pro účely oprávněných zájmů Bytového družstva či třetí strany (za podmínky, že tyto oprávněné zájmy nepředčí základní práva a svobody subjektů údajů).
  2. V případě, že se neuplatní žádný jiný zákonný důvod zpracování a Bytové družstvo bude chtít určité osobní údaje i přesto zpracovávat (např. rodná čísla subjektů údajů), bude si muset opatřit k příslušnému zpracování souhlas subjektu údajů pro jeden či více konkrétních účelů takového zpracování.
  3. Souhlas subjektu údajů dle předchozího odstavce tohoto článku směrnice musí být svobodným, konkrétním, informovaným a jednoznačným projevem vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
  4. Žádost Bytového družstva o vyjádření souhlasu se zpracováním osobních údajů musí být Bytovým družstvem předložena takovým způsobem, který je od jiných skutečností, ke kterým se případně subjekt údajů vyjadřuje, jasně odlišitelný, a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků.
  5. Bytové družstvo musí být schopné udělení souhlasu subjektem údajů v případě potřeby doložit.
  6. Bytové družstvo musí subjekt údajů informovat o právu subjektu údajů kdykoliv souhlas se zpracováním svých osobních údajů odvolat, přičemž Bytové družstvo musí zajistit, aby odvolání souhlasu subjektu údajů bylo stejně snadné, jako jeho poskytnutí.

Čl. V.
Výběr zpracovatele osobních údajů a uzavírání smluv s tímto zpracovatelem

  1. Bytové družstvo využije ke zpracování osobních údajů pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky Nařízení a aby byla zajištěna ochrana práv subjektů údajů. Dostatečné záruky zavedení vhodných technických a organizačních opatření může zpracovatel doložit i tím, že dodržuje kodex chování schválený Úřadem pro ochranu osobních údajů anebo schválený mechanismus pro vydávání osvědčení dle čl. 42 Nařízení.
  2. Bytové družstvo uděluje zpracovateli písemné povolení k zapojení dalšího zpracovatele do zpracování osobních údajů. Toto povolení může být konkrétní nebo obecné. V případě obecného povolení může Bytové družstvo vyslovit vůči jakýmkoliv změnám týkajícím se přijetí dalších zpracovatelů nebo jejich nahrazení námitky.
  3. Bytové družstvo uzavře se zpracovatelem písemnou smlouvu, ve které budou uvedeny alespoň následující informace:
    1. předmět zpracování, tj. které osobní údaje bude zpracovatel zpracovávat (např. identifikační údaje subjektů údajů);
    2. doba trvání zpracování osobních údajů (smlouvu se zpracovatelem lze uzavřít i na dobu neurčitou);
    3. povaha a účel zpracování osobních údajů;
    4. typ osobních údajů (zda jsou předmětem zpracování i zvláštní kategorie osobních údajů, tedy tzv. citlivé osobní údaje) a kategorie subjektů údajů (např. zaměstnanci Bytového družstva, nájemci bytových jednotek, příp. podnájemci apod.);
    5. práva a povinnosti Bytového družstva, jakožto správce.
  4. Bytové družstvo ve smlouvě se zpracovatelem dále stanoví, že zpracovatel:
    1. zpracovává osobní údaje pouze na základě doložených pokynů Bytového družstva a informuje Bytové družstvo o příp. požadavcích na předání osobních údajů do třetí země nebo mezinárodní organizaci (ledaže by právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu);
    2. zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;
    3. přijme všechna technická a organizační opatření k zabezpečení osobních údajů, blíže upravená v čl. VII. této směrnice (v souladu s čl. 32 Nařízení);
    4. dodržuje podmínky pro zapojení dalšího zpracovatele, tedy disponuje písemným povolením Bytového družstva a plní stejné povinnosti jako prvotní zpracovatel tak, aby zpracování osobních údajů splňovalo podmínky Nařízení;
    5. zohledňuje povahu zpracování, je Bytovému družstvu nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění povinnosti Bytového družstva reagovat na žádosti o výkon práv subjektu údajů (blíže popsaných v čl. IX. této směrnice);
    6. je Bytovému družstvu nápomocen při zajišťování souladu s povinnostmi týkajícími se zabezpečení osobních údajů, ohlašování porušení tohoto zabezpečení, posouzení vlivu na ochranu osobních údajů a příp. předchozí konzultace s Úřadem pro ochranu osobních údajů, to vše při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici;
    7. v souladu s rozhodnutím Bytového družstva všechny osobní údaje buď vymaže, nebo je vrátí Bytovému družstvu po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Evropské unie nebo členského státu nepožaduje uložení daných osobních údajů;
    8. poskytne Bytovému družstvu veškeré informace potřebné k doložení toho, že byly splněny povinnosti při zpracování osobních údajů zpracovatelem, a umožní audity, včetně inspekcí, prováděných Bytovým družstvem nebo jiným auditorem, kterého Bytové družstvo pověřilo, a k těmto auditům přispěje;
    9. v případě, že má za to, že určitý pokyn Bytového družstva je v rozporu s Nařízením nebo jinými předpisy Evropské unie, či České republiky, týkajícími se ochrany osobních údajů, neprodleně o tom informuje Bytové družstvo.

Čl. VI.
Záznamy o činnostech zpracování osobních údajů

  1. Bytové družstvo vede záznamy o činnostech zpracování osobních údajů, za které odpovídá. Tyto záznamy o činnostech vede Bytové družstvo písemně, přičemž za písemnou formu se považuje i forma elektronická.
  2. Bytové družstvo na požádání poskytne tyto záznamy o činnostech Úřadu pro ochranu osobních údajů.
  3. Bytové družstvo eviduje v rámci záznamů o činnostech tyto informace:
    1. identifikační a kontaktní údaje Bytového družstva (případného společného správce, či zástupce správce);
    2. účely zpracování;
    3. popis kategorií subjektů údajů a kategorií osobních údajů;
    4. kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;
    5. informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a příp. doložení vhodných záruk;
    6. je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů;
    7. je-li to možné, obecný popis technických a organizačních bezpečnostních opatření k zabezpečení osobních údajů, dále uvedených v čl. VII. této směrnice (čl. 32 odst. 1 Nařízení).

Čl. VII.
Zabezpečení