Společenství vlastníků ani bytové družstvo se při svém každodenním právním jednání nevyhne povinnostem, které nastolilo GDPR. Z toho pro oba typy právnických osob plynou s tím související právní povinnosti, a to zejména povinnost analyzovat, zda je konkrétní zamýšlené jednání v souladu s GDPR, a pokud ke zpracování osobních údajů dojít má, pak musí taková osoba splnit řádně a včas i další legální povinnosti vůči subjektům údajů. Těmito subjekty údajů zdaleka nejsou pouze členové SVJ nebo BD. Aktuální legislativní vývoj, včetně povinností v souvislosti s ochranou osobních údajů, klade na členy statutárních orgánů stále náročnější povinnosti, což může být jeden z důvodů pro rozvoj profesionálních statutárních orgánů.

Ochrana osobních údajů ve společenstvích vlastníků jednotek a bytových družstvech je legislativním požadavkem a odborným tématem podstatně silnějším, než jakou pozornost mu samy statutární orgány těchto osob věnují. Tento příspěvek poukáže na některé konsekvence, které naopak dopady předmětné legislativy v oblasti ochrany osobních údajů činí pro oblast společenství vlastníků a bytových družstev zcela podstatnými.

Připustíme-li totiž, že GDPR[1] míří obecně svou úpravu na všechny subjekty, které osobní údaje spravují a zpracovávají,[2] je vhodné blíže analyzovat a objasnit, jakou roli SVJ a bytová družstva hrají v absolutním počtu těch subjektů, na které GDPR skutečně dopadá. Závěry pak mohou být překvapující.

V České republice bylo k roku 2021 registrováno přibližně 73 000 společenství vlastníků jednotek a přibližně desetina (cca 7 500) bytových družstev.[3] Zastoupení těchto subjektů na pomyslném trhu právnických osob v České republice je tedy poměrně vysoké. Kapitálových společností bylo k roku 2021 registrováno přibližně 540 000,[4] a na první pohled se tak jeví, že drtivě převažují spíše podnikatelské subjekty. Není tomu tak zcela.

Je nutné totiž zohlednit, že zatímco kapitálových společností je z celkového počtu aktivních jen cca 79 %,[5] a v některých krajích ČR dokonce jen 30 %,[6] a dokonce, že více než polovina všech neaktivních kapitálových společností v ČR sídlí v Praze (z celé ČR jde cca 55,5 %,[7] z počtu kapitálových společností sídlících v Praze je neaktivních cca 27 %[8]), u SVJ a BD je tomu přesně naopak. Veškerá SVJ musejí být nutně aktivními subjekty, což plyne z podstaty jejich věci. Porovnáním počtu pouze aktivních kapitálových společností na jedné straně a všech SVJ a BD na straně druhé již dospějeme k poměrně zajímavější struktuře osob, na které námi uvažovaná právní úprava dopadá. Např. v hlavním městě Praha vedle sebe působí orientačně 160 000 aktivních kapitálových společností a přibližně 65 000[9] SVJ (tj. cca 90 % všech SVJ).

Právě obšírně uvedená absolutní čísla nejsou zmiňována náhodně. Autor tím poukazuje na skutečný (byť orientační) počet subjektů, relevantních k tomuto článku, na které regulace ochrany osobních údajů dopadá, a zejména pak po­ukazuje na to, že nikoli nevýznamná část z těchto subjektů má ze zákona podstatu jinou než ziskovou.

Tyto subjekty se pak přirozeně dotazují, proč mají ve vztahu ke správě osobních údajů stejně rozsáhlé povinnosti jako kapitálové společnosti, když podstata SVJ a BD je zcela jiná než podstata kapitálových společností.

Odpovědí je zjevně možné poskytnout mnoho, samo GDPR odůvodňuje svou úpravu tak, že „… v celé Unii se zvýšila výměna osobních údajů mezi veřejnými a soukromými aktéry, včetně fyzických osob, sdružení a podniků“,[10] a tento aktuální stav proto: „vyžaduje pevný a soudržnější rámec pro ochranu osobních údajů v Unii, jenž by se opíral o důsledné vymáhání práva, a to s ohledem na nezbytnost nastolit důvěru, která umožní rozvoj digitální ekonomiky na celém vnitřním trhu“.[11] Dovolím si rovněž využít shrnutí důvodů,[12] které pro zavedení právní úpravy spočívající v přijetí společné evropské legislativy koncipují autority[13] v oblasti GDPR. Výčet důvodů se totiž zdaleka nezastavuje na nutnosti preventivní ochrany subjektů údajů, jak by se mohlo zprvu zdát. Odborná veřejnost poukazuje zejména na masivní nástup technologického pokroku v oblasti zpracovávání osobních údajů, a to zejména jeho automatizované formy. Máme za to, že právě toto pojetí ochrany osobních údajů je de lege ferenda správné, když roztříštěnost či zastaralost právní úpravy[14] dle našeho názoru plně jako alibi pro přijetí tak zásadního nařízení, kterým GDPR je, samo o sobě neobstojí.

Mám za to, že důvodem pro nutnou podporu rozvoje této legislativy není zdaleka snaha o její „scelení“ na území Evropské unie, potažmo všech rozvinutých zemí, nýbrž sledování, schopnost kontroly a zejména reálná způsobilost limitovat zneužití těchto osobních údajů proti samotným subjektům údajů.[15]

Zatímco aktuální legislativa má tendenci technologický rozvoj v oblasti osobních údajů brzdit, minimalizovat, až jej v některých oblastech limitovat k nule, to vše s cílem chránit zájmy všech (přibližně 500 milionů[16]) subjektů údajů, technologický rozvoj je řízen pouze desítkami nejvýše postavených osob (vlastníků technologií) a motivován výlučně ziskem.

Tento příspěvek mimo jiné míří na to, zda důvody pro zavedení jednotné evropské legislativy v oblasti ochrany osobních údajů, jak jsou popsány shora, obstojí i vůči takovým, oproti kapitálovým společnostem radikálně odlišným subjektům, jakými jsou SVJ a BD.

SVJ i BD řeší svá práva či povinnosti ve vztahu k osobním údajům svých členů totiž velmi často. Na správu a zpracování osobních údajů těmito subjekty dopadá přitom tatáž právní úprava a tedy tytéž závazky, které se vztahují na obchodní korporace a jiné subjekty, spravující a zpracovávající osobní údaje se zcela jiným záměrem a cílem, než pro které se tomu děje v SVJ a BD.

Jelikož v celkovém počtu SVJ a BD v České republice masivně dominují společenství vlastníků, bude se i tento příspěvek věnovat dominantně SVJ, s přihlédnutím k případným odlišnostem v BD.

Zcela unifikovaná regulace nutně nastavuje svou „přísnost“ podle měřítka těch největších zpracovatelů osobních údajů, kteří s nimi masivně obchodují, extenzivně je využívají pro svůj obchodní prospěch a zisk. Toto přísné měřítko pak poměrně zatěžuje osoby se zcela jinou podstatou existence, než je obchodní prospěch, a se zcela jiným potenciálním ohrožením zájmů subjektů údajů, jak bude popsáno podrobněji níže.

V článku čerpám rovněž ze své mnohaleté advokátní praxe, ve které se zaměřuji mimo jiné na bytové spoluvlastnictví, a tedy na činnost SVJ a BD. Z této zkušenosti pak čerpám názor, že jako klíčové hledisko při hodnocení shora naznačených otázek může být vzata v potaz i skutečnost, že společenství vlastníků a bytová družstva občasně jsou, ale častěji nejsou vedena profesionály na řízení právnických osob, na jakoukoli strategii, natož strategii marketingovou.

Závěry tohoto příspěvku bude pravděpodobně možné úspěšně vztáhnout i na jiné subjekty s obdobnou podstatou jejich trvání.

Společenství vlastníků jednotek jsou právnické osoby založené podle zákona o vlastnictví bytů č. 72/1994 Sb., anebo založené dle občanského zákoníku č. 89/2012 Sb. (dále „o. z.“), které jsou způsobilé vykonávat práva a zavazovat se pouze ve věcech spojených se správou, provozem a opravami společných částí domu, popř. vykonávat činnosti v rozsahu tohoto zákona a činnosti související s provozováním společných částí domu, které slouží i jiným fyzickým nebo právnickým osobám. Společenství může nabývat věci, práva, jiné majetkové hodnoty, byty nebo nebytové prostory pouze k účelům uvedeným ve větě první.[17] Společenství vlastníků nesmí podnikat ani se přímo či nepřímo podílet na podnikání nebo jiné činnosti podnikatelů nebo být jejich společníkem nebo členem.[18]

Bytové družstvo je společenství neuzavřeného počtu osob,[19] které může být založeno jen za účelem zajišťování bytových potřeb svých členů, může spravovat domy s byty a provozovat i jinou, avšak pouze doplňkovou činnost.[20]

A v jakých konkrétních oblastech zpracování osobních údajů zpravidla SVJ a BD vyhodnocují svá práva a povinnosti?

• evidence svých členů, jaké údaje lze a jaké nelze evidovat,
• práva a povinnosti sdělovat členům údaje o jiném členovi, včetně zveřejňování dlužníků,
• provoz a správa vstupních čipových systémů, včetně čteček otisků,
• provoz a správa kamerových systémů,
• předávání osobních údajů o členech správcovským společnostem,
• využívání služeb domény druhého řádu, včetně doplňkových marketingových služeb.

Společenství vlastníků jednotek a bytová družstva jsou z pohledu odborné literatury neprávem pomíjenou oblastí. Drtivá většina odborné literatury zpracovává otázku ochrany osobních údajů obecně, zpravidla z pohledu komentářové literatury, a vybrané aplikační problémy se dotýkají činností kapitálových společností.

Aktuálně nejpřínosnějším zdrojem výkladu pravidel ochrany osobních údajů ve vztahu ke společenstvím vlastníků jednotek a k bytovým družstvům se jeví Úřad pro ochranu osobních údajů, který prostřednictvím stanovisek a výkladových pomůcek veřejně dostupných na webových stránkách úřadu odpovídá na konkrétní frekventované otázky SVJ či BD a vypracoval některá stanoviska, která tento příspěvek ještě kriticky zhodnotí.

Ochrana osobních údajů ve společenstvích vlastníků jednotek a bytových družstvech

Evidence členů, jaké údaje lze a jaké nelze evidovat

Zatímco za tímto bodem další uvedené části kapitoly nemusejí spadat do pravidelné agendy společenství vlastníků nebo bytového družstva, evidence členů a jejich osobních údajů bude součástí činnosti námi posuzovaných osob vždy.

Jeví se zcela logické, že SVJ i BD, která jsou fakticky sdruženími osob, musejí vést evidence svých členů, a zpracovávat tak jejich osobní údaje. Pro bytové družstvo se uplatní ust. § 580 z. o. k., dle kterého družstvo seznam členů vede a zapisuje do něj mimo jiné jméno, příjmení, bydliště a případně adresu pro doručování. Bytová družstva pak tuto evidenční povinnost nezřídka podrobněji upravují ve stanovách či směrnicích.[21]

Může být nicméně překvapující, že společenství vlastníků povinnost vést evidenci členů až do července 2020 vůbec neměla (k tomu dále), a bylo by proto možné uvažovat o tom, že do léta roku 2020 se mohla zcela obejít bez plnění povinností dle GDPR, resp. předtím dle zákona o ochraně osobních údajů. Jak bude ovšem popsáno níže, fakticky bylo vedení takových evidencí, a tedy zpracovávání osobních údajů, esenciální nutností, ať již z důvodu povinnosti vyhotovovat vyúčtování (a tedy vědět, komu vyúčtování vyhotovit, kam jej doručit, kam vrátit přeplatek či případně po kom vymáhat pohledávku), či z důvodu poskytovat na žádost svému členovi určité osobní údaje o jiném členovi a mnoho dalších. Chybějící přímou povinnost pro SVJ vést seznamy svých členů tak nahrazovala nejen praxe, ale i odborná advokátní veřejnost,[22] která dovozovala takovou povinnost alespoň nepřímo z ust. § 1177 o. z. v tehdejším znění.[23]

Od 1. 7. 2020 je tato povinnost, jak bylo konstatováno, uzákoněna výslovně. Dle ust. § 1178 odst. 1 o. z. „Osoba odpovědná za správu domu vede seznam vlastníků jednotek a osob, kterým vlastník přenechal byt k užívání, v rozsahu stanoveném v § 1177.“ Má-li být evidován „vlastník“, potažmo „osoba“ odvozující od něj užívací práva, pak dle ust. § 3019 jsou údaji identifikujícími fyzickou osobu zejména (!) jméno, bydliště a datum narození, u podnikajících osob IČO. Toto specifické označení fyzických osob založila již dříve judikatura. Nejvyšší soud ČR[24] současně definoval nutné identifikační znaky právnické osoby, pročež právnická osoba, je-li zapsaná do obchodního rejstříku, bude definována obchodní firmou (názvem), sídlem a identifikačním číslem.

Dle ust. § 1177 o. z.[25] „Vlastník jednotky oznámí bez zbytečného odkladu osobě odpovědné za správu domu a pozemku (…) své jméno, bydliště, jméno a bydliště osoby, které přenechal byt k užívání na dobu nikoli přechodnou, a počet osob, které budou mít v bytě domácnost. To platí i v případě změny těchto údajů.“

SVJ bude zacházet ale i s dalšími údaji. Ve smyslu ust. § 1185 odst. 2 o. z. mohou spoluvlastníci a manželé zmocnit „společného zástupce“, což nutně dle textace zákona nemusí být jeden z nich, může se jednat o třetí osobu.

Od roku 2014 pak občanský zákoník také výslovně zakotvil (ust. § 1196 odst. 2), že SVJ může zastupovat vlastníky jednotek při uplatňování práv vzniklých vadou jednotky, a nutně tedy musí disponovat informacemi plynoucími z nabývacího titulu (neboť vada je zásadně rozpor s kupní smlouvou) a rovněž informacemi o plynutí záruční doby, tj. o vzniku vlastnického práva toho kterého vlastníka. Máme však za to, že uvedené právo SVJ se uplatní víceméně jen u odpovědnosti z vad společných částí domu a pozemku, neboť SVJ je oprávněno pouze k jejich správě. V takovém případě bude oprávněné evidovat z nabývacího titulu nanejvýše stranu prodávající, resp. obecně převodce (aby bylo zjevné, kdo je ve věci odpovědnosti za vady pasivně legitimován), což bude nejčastěji developer, a tam již bude nutné o zpracování osobních údajů uvažovat jen zřídka.

Specifické údaje eviduje SVJ o svých statutárních, potažmo všech volených orgánech. Občanský zákoník totiž v ust. § 1205 odst. 2 požaduje, aby člen voleného orgánu byl svéprávný a bezúhonný ve smyslu živnostenského zákona. Bezúhonnost se v případě osoby, která nemá trvalý pobyt v ČR, dokládá výpisem z rejstříku trestů. Kromě toho pak pro zápis zvoleného do veřejného rejstříku (rejstřík společenství vlastníků) bude nutné kromě již zmíněných osobních údajů uvést rodné příjmení, místo a okres narození.[26] Jelikož se k návrhu na zápis změn do rejstříku společenství přikládá (zpravidla) rovněž čestné prohlášení o tom, že zapisovaná osoba zákonné podmínky splňuje a souhlasí se svým zápisem, na kterém by měl být podpis legalizován (úředně ověřen), je dalším údajem, který SVJ zpracovává, číslo občanského průkazu zvolené osoby.

Počínaje dnem 1. 1. 2021 je pak společenství vlastníků povinno archivovat po celou dobu svého trvání zápisy ze shromáždění včetně příloh (občanský zákoník ve znění novely provedené zákonem č. 33/2020 Sb.). Do občanského zákoníku tak bylo inkorporováno ust. § 158a, dle kterého: „Právnická osoba uchovává po celou dobu své existence zápisy z jednání nejvyššího orgánu i s přílohami (odst. 1). Rozhoduje-li orgán podle odstavce 1 mimo zasedání v písemné formě, uchovává právnická osoba i všechny dokumenty související s takovým rozhodováním (odst. 2).“ Zajímavé je, že zmíněná novela č. 33/2020 Sb. neobsahuje pro část, kterou se mění občanský zákoník, žádná přechodná ustanovení.

Nutně tak archivuje např. údaj o přítomnosti či nepřítomnosti člena či jeho zástupce na shromáždění (§ 1206 odst. 2 o. z.) a zejména jeho podpis na prezenční listině nebo na hlasovacích lístcích z korespondenčního hlasování. Do přijetí této novely bylo praktické tyto přílohy uchovávat víceméně jen po dobu, po kterou hrozilo soudní napadení předmětného usnesení, tedy zpravidla po dobu tří měsíců od přijetí usnesení či jeho zveřejnění.

Občanský zákoník ohledně povinných náležitostí stanov mimo jiné požaduje, a tedy současně umožňuje, zakotvit určité povinnosti členů SVJ přímo do stanov [ust. § 1200 odst. 2 písm. c)]. Společenství vlastníků si tak může do stanov zakotvit jakékoli jiné osobní údaje, které bude zpracovávat, bude-li takové usnesení v souladu s kogentními ustanoveními občanského zákoníku, zejména může v úvahu přicházet povinnost evidence e-mailových kontaktů či mobilních telefonních čísel členů či nájemníků a jiných osob užívajících bytové jednotky.

Protože bude výkon funkce člena voleného orgánu v SVJ, resp. člena představenstva nebo jiného orgánu v bytovém družstvu, postaven na roveň zaměstnaneckého poměru,[27] mělo by SVJ a BD plnit také povinnosti jakožto zaměstnavatel dle zák. č. 262/2006 Sb., zákoník práce (dále „zák. práce“). Může tedy vést pro tyto účely osobní spis (ust. § 312 zák. práce), může rovněž evidovat, zda a jaké srážky z příjmu jsou takovému členovi – „zaměstnanci“ prováděny.

Zcela jistě by bylo možné nalézt i jiné dílčí oblasti, ze kterých plyne pro společenství vlastníků, resp. bytové družstvo, možnost či povinnost spravovat a zpracovávat osobní údaje.

Lze tedy úspěšně shrnout, že SVJ je oprávněno evidovat tyto osobní údaje:

• jméno, příjmení, resp. obchodní firmu člena,
• datum narození, resp. IČO člena,
• bydliště, místo podnikání, resp. sídlo člena,
• adresu člena pro doručování,
• údaje o společném zástupci manželů či spoluvlastníků, kteří jsou členy,
• údaje o subjektu převádějícím vlastnické právo na člena SVJ v případě, že SVJ bude uplatňovat vady společných částí dle ust. § 1196 odst. 2 o. z.,
• veškeré osobní údaje, jejichž zpracování je plněním práv a povinností SVJ založenými stanovami SVJ,
• svéprávnost člena voleného orgánu,
• bezúhonnost člena voleného orgánu, eventuálně včetně výpisu z rejstříku trestů,
• rodné příjmení, místo a okres narození člena voleného orgánu,
• číslo občanského průkazu člena voleného orgánu,
• údaj o tom, zda se člen SVJ či jeho zástupce účastnil shromáždění,
• podpis člena SVJ či jeho zástupce na prezenční listině ze shromáždění či hlasovacím lístku,
• jiné osobní údaje, jejichž povinnou evidenci založí SVJ stanovami – např. e-mail či mobilní telefon,
• zda a jaké srážky z příjmu z výkonu funkce jsou členovi voleného orgánu prováděny.

Práva a povinnosti sdělovat členům údaje o jiném členovi, včetně zveřejňování dlužníků

Společenství vlastníků a bytová družstva mají zákonem stanovenou povinnost sdělovat určité informace třem základním kategoriím subjektů, a jak si dále ukážeme, ve značné části jsou tak povinny sdělovat a předávat i osobní údaje. Těmito kategoriemi subjektů, které mohou být příjemci informací obsahujících osobní údaje, jimiž SVJ či BD disponuje, jsou

• členové společenství vlastníků, resp. členové bytového družstva,
• policejní orgány a 
• soud, potažmo soudní exekutor.

Sdělování osobních údajů ostatním členům SVJ či BD

Povinnosti SVJ ve vztahu k jeho členům, obsahující práva takového člena na informace o jiném členovi, zakotvuje ust. § 1178 o. z. Požádá-li o to vlastník jednotky, sdělí mu osoba odpovědná za správu domu jméno a bydliště kteréhokoli vlastníka jednotky nebo osoby, které přenechal byt k užívání.

Plnění této povinnosti přímo souvisí s vedením evidence vlastníků, jak o ní bylo pojednáno výše, neboť bez takové evidence by SVJ předmětné údaje nemělo, a nemohlo by tak plnit svou zákonnou povinnost.

Obdobná úprava se pak dotýká i bytového družstva, když dle ust. § 581 odst. 1 z. o. k. člen má právo nahlížet do seznamu členů, dle ust. § 582 si může pořizovat opisy, a tedy jsou mu zpřístupňovány i údaje v tomto seznamu uvedené. Dle odst. 2 uvedeného ustanovení nicméně údaje zapsané v seznamu členů může družstvo používat pouze pro své potřeby ve vztahu ke členům družstva. Za jiným účelem mohou být tyto údaje použity jen se souhlasem členů, kterých se týkají. Poměrně výjimečně se tak přímo v zákoně objevuje souhlas jako zákonný důvod pro zpracování osobních údajů [čl. 6 odst. 1 písm. a) GDPR], zde u člena bytového družstva.

Můžeme proto úspěšně tvrdit, že zákonnost zpracovávání evidence jména (celého jména, tj. křestní jméno a příjmení) a bydliště, a to jak vlastníka, tak jakékoli osoby, která odvozuje své užívací právo užívat bytovou jednotku od vlastníka, je dána čl. 6 odst. 1 písm. c) GDPR, tj. zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje.

Odborná literatura však definuje i účely jiné, než je prosté plnění zákonných sdělovacích povinností. Tak např. expert Marek Novotný uvádí: „při pluralitě vlastníků je vhodné, aby osoba odpovědná za správu domu a pozemku měla co nejaktuál­nější údaje o pobývání osob v domě, jak z pohledu bezpečnosti, požárních předpisů, tak i pro uplatňování nejrůznějších nároků vůči vlastníkům jednotek i uživatelům bytů. Navíc plnění této povinnosti působí i preventivně na jednotlivé uživatele a posiluje sounáležitost společenství osob, které v takovém domě existuje a je nuceno společně komunikovat a řešit nejrůznější otázky a problémy společného bydlení.“[28]

A lze tedy dovodit další zákonný důvod pro zpracování víceméně jakéhokoli osobního údaje, který bude tuto úlohu s to plnit, zejména pak pohotovostních kontaktů, jakými jsou e-mail či mobilní telefon, a tímto zákonným důvodem bude čl. 6 odst. 1 písm. f) GDPR, dle kterého je zákonný důvod dán, pokud: „zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany“. Možnost kontaktovat členy SVJ okamžitou formou anebo naopak možnost hromadně oslovovat vlastníky elektronickou formou bude ve velkém počtu případů vhodná, nutná i praktická a bude sledovat účely bytového spoluvlastnictví. Uveďme si jako praktický příklad havárii vody či jiného média v bytovém domě, kdy bude okamžité zkontaktování vlastníka dotčeného bytu zcela nutné, ať už toho vlastníka, z jehož bytu médium uniká, anebo bytů potenciálně poškozených, aby SVJ mohlo mimo jiné plnit svou zákonnou prevenční povinnost předcházet škodám (ust. § 2900 o. z.).

Součástí zákonné povinnosti na straně společenství vlastníků a bytových družstev chránit takto zpracovávané osobní údaje bude mj. jejich povinnost dostatečně důkladně ověřit, že subjekt, který o sdělení takových osobních údajů žádá způsobem uvedeným shora, je k tomu skutečně oprávněn. Bude věcí SVJ a BD, aby si pro tyto postupy zvolily samy svou metodiku, která odpovídá poměrům v daném místě a čase. Jinak budou tato pravidla, jak oprávnění dané osoby ověřit, koncipována v malém bytovém domě s několika málo byty, kde se všichni členové znají a poměrně často spolu určitými konkrétními způsoby komunikují. Zpravidla zcela odlišná pak budou taková pravidla ve velkých bytových domech se stovkami jednotek či v bytových družstvech se stovkami členů. Obecně lze uvažovat o povinnosti komunikovat prostřednictvím e-mailové adresy uvedené v evidenci SVJ či BD (byť i tam je třeba určité opatrnosti), užívat elektronické podpisy, komunikovat prostřednictvím datových schránek, či legitimace oprávněné osoby prostřednictvím dokladu totožnosti.

Sdělování osobních údajů policejním orgánům

Obecná povinnost subjektů poskytovat informace policejnímu orgánu je upravena přímo trestním řádem, tj. zákonem č. 141/1961 Sb. (dále „tr. řád“). Dle jeho ust. § 8 odst. 1 jsou státní orgány, právnické a fyzické osoby povinny bez zbytečného odkladu, a nestanoví-li zvláštní předpis jinak, i bez úplaty vyhovovat dožádáním orgánů činných v trestním řízení při plnění jejich úkolů.

Předání takových informací tak bude bezesporu plněním povinností plynoucích pro SVJ a BD z tr. řádu, a tedy důvodem zákonnosti zpracování některých údajů může být čl. 6 odst. 1 písm. c) GDPR (zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje).

Obdobně jako v případě sdělování osobních údajů členům SVJ či BD či jiným oprávněným osobám bude i zde nutné dostatečně kvalitně ověřit, že jsou osobní údaje předávány skutečně policejnímu orgánu. Případy, kdy policejní orgán žádá podle ust. § 8 tr. řádu o sdělení informací prostřednictvím datové schránky či v listinné podobě, nebudou zakládat obavy žádné. V praxi činnosti SVJ a BD se však policejní orgány dožadují určitých informací i jinými formami, např. telefonicky, anebo osobně na místě. Zejména jakákoli identifikace po telefonu bude prakticky nemožná a domníváme se, že je třeba až podle okolností hodnotit, zda je silnější právo subjektu údajů na ochranu jeho osobních údajů (tj. požadovat dostatečnou, a tedy jinou identifikaci volajícího), anebo zda je silnější jiné právo, např. ochrana života a zdraví.

Tak pokud bude policejní orgán telefonicky kontaktovat předsedu výboru (SVJ) či předsedu představenstva (BD) a žádat o sdělení, kde přesně bydlí, ve kterém patře a v jakém bytě určitá osoba, která před okamžikem volala záchranné složky a již neodpovídá, bude zájem na jejím zdraví (a případně zájem na bezpečnosti jiných osob) silnější než povinnost SVJ, resp. BD formalisticky kontrolovat identitu volajícího. Újma, která by mohla vzniknout tím, že osobní údaje nebudou poskytnuty, by totiž mohla být výrazně větší než újma, která vznikne takovému subjektu údajů, pokud by jeho osobní údaje byly poskytnuty neoprávněné osobě, která se za policejní orgán vydávala.

Neméně často se pak může obrátit cizinecká policie s dotazem, zda se určitá osoba skutečně v domě pohybuje, zda tam má bydliště, a to v případě, kdy takový orgán zkoumá, zda předmětná osoba (a zde to může být typicky nájemce člena SVJ, resp. podnájemce člena BD) splňuje zákonné podmínky pro pobyt na území ČR.

Poměrně výjimečně, nicméně v praxi zaznamenanými případy, pak bude zjišťování určitých osobních údajů ze strany Národního bezpečnostního úřadu o osobách, které žádají o bezpečnostní prověrku. V rámci celého procesu udělování prověrky předmětný orgán mj. zkoumá prostředí žadatele, a může se tedy obracet i na výbory SVJ či představenstva BD, když prověřuje, v jakém prostředí se žadatel pohybuje, vyhodnocuje případná rizika a souvislosti.

Sdělování osobních údajů soudu a soudnímu exekutorovi

Obdobně jako policejní orgán pro účely trestního řízení má pro účely nalézacích (a jiných) soudních řízení určitou zákonnou pravomoc soud a pro účely exekučního řízení soudní exekutor.

V případě identifikace soudu či soudního exekutora nenastane v praxi žádná komplikace, neboť tyto osoby komunikují výhradně datovou schránkou, resp. prostřednictvím držitele poštovní licence, a užívají určité hlavičkové papíry a standardizovaná razítka.

Výjimkou z této situace může být soudní či exekutorský vykonavatel. V případě soudního vykonavatele (ust. § 265 odst. 3 o. s. ř.) bude situace skutečně jen nahodilá, neboť jednak věřitelé soudní výkon zpravidla neužívají (když drtivou většinu exekučních titulů vykonávají v praxi soudní exekutoři), a jednak nelze ani obecně aktivitu soudního vykonavatele v tomto směru reálně očekávat. Naopak poměrně běžný může být kontakt statutárního orgánu SVJ či BD s exekutorským vykonavatelem.

Zde je nutné zdůraznit, že soudní exekutor má v mnoha úkonech postavení soudu prvního stupně.[29] Exekutorský vykonavatel je pak zaměstnancem soudního exekutora (ust. § 27 ex. řádu), a tedy jeho zákonným zástupcem, vykonavatel může být soudním exekutorem pověřen k určitým úkonům, které provádí soudní vykonavatel. Tato působnost je poměrně rozsáhlá[30] a k jejímu výkonu je bezpodmínečně nutné, aby exekutorský vykonavatel pracoval s mnoha osobními údaji. Drtivou většinu z těchto osobních údajů získá soudní exekutor z rejstříků, a to nejen veřejných, ale rovněž i neveřejných (např. z Centrální evidence osob). Součástí jeho zákonné působnosti dohledávat majetek povinného je pak postup dle ust. § 33 ex. řádu, který zakládá povinnost třetích osob poskytnout soudnímu exekutorovi tam definovanou součinnost.

Právě pojem „součinnost“ však v reálné činnosti SVJ či BD, kdy odpovědný statutární orgán váží, zda postupuje v souladu s GDPR, či nikoli, může činit potíže. Ustanovení konstatuje, že „Právnické a fyzické osoby, rozhodují-li o právech a povinnostech, jsou povinny sdělit exekutorovi na jeho písemnou žádost údaje o majetku povinného, které jim jsou známy z jejich úřední činnosti (odst. 1)“ a „Právnické osoby, které z úřední moci jsou zvláštním právním předpisem pověřeny k vedení evidence osob nebo jejich majetku nebo vzhledem k předmětu své činnosti vedou evidenci osob a jejich majetku, jsou povinny oznámit exekutorovi na jeho písemnou žádost údaje potřebné k vedení exekuce (odst. 3).“

Nelze si nevšimnout, že takové vymezení povinných právnických osob příliš nezapadá do definice společenství vlastníků ani bytového družstva. Podle stanoviska Asociace pro rozvoj kolektivního vyjednávání a pracovních vztahů[31] „Z ust. § 33 a násl. ex. řádu, která jsou nadepsána ‚Součinnost třetích osob‘, nelze povinnost součinnosti zaměstnavatele vůči exekutorovi dovodit. Přímo o plátci mzdy se v žádném z těchto ustanovení nehovoří. Na některých místech textu jsou sice jako povinné subjekty zmíněny ‚právnické a fyzické osoby‘, z kontextu ale vyplývá, že zaměstnavatel tím myšlen rozhodně není.“ Připomeňme v této souvislosti, že jednak SVJ a BD budou mít vůči svým statutárním (a eventuálně kontrolním) orgánům postavení zaměstnavatele, ale jednak lze totožný výklad vztáhnout i na společenství vlastníků a bytová družstva obecně, neboť ani SVJ, ani BD „nelze považovat za právnickou nebo fyzickou osobu, která rozhoduje o právech a povinnostech (§ 33 odst. 1 ex. řádu) nebo která je zvláštním právním předpisem pověřena vedením evidence osob a jejich majetku nebo disponuje takovou evidencí s ohledem na předmět své činnosti (§ 33 odst. 3 ex. řádu)“.

Poměrně opačný názor pak zastává Exekutorská komora České republiky (dále jen „EKČR“). Např. komentářová literatura[32] sepsaná nedávno zesnulou právní autoritou na poli exekučního práva,[33] prezidentem EKČR JUDr. Vladimírem Plášilem, výslovně konstatuje: „Je nutno zdůraznit, že přehled subjektů je pouze demonstrativní a osoby, které tyto evidence vedou, mohou být založeny jak veřejným právem, tak se může jednat o soukromoprávní subjekty.“ Přitom již shora bylo konstatováno, že počínaje 1. 1. 2021 jsou SVJ povinna evidenci členů vést výslovně a v případě bytových družstev takovou povinnost založil zákon o obchodních korporacích již od 1. 1. 2014. Proti tomuto odbornému názoru pak nicméně stojí část soudní praxe, která zákonný výčet osob naopak považuje za taxativní.[34]

Výklad daného ustanovení ve vztahu ke společenstvím vlastníků jednotek a bytovým družstvům tak zdaleka není jednoznačný. Podstatný tak může být i výklad Úřadu pro ochranu osobních údajů, nejméně ve vztahu k situacím, ve kterých SVJ a BD vystupují z pozice zaměstnavatele, dle kterého „Poskytnutí osobních údajů exekutorovi, nezbytných ke splnění právní povinnosti zaměstnavatele v postavení správce osobních údajů, je bez souhlasu subjektu údajů v souladu s § 5 odst. 2 písm. a) zákona o ochraně osobních údajů. Jestliže je výklad exekučního řádu sporný, nelze poskytnutí součinnosti posuzovat jako porušení zákona o ochraně osobních údajů.“[35]

Při poskytování součinnosti soudnímu exekutorovi by tak měly statutární orgány postupovat velmi obezřetně, v pochybnostech však bude právně jistějším postupem SVJ a BD soudnímu exekutorovi vyhovět, neboť sám Úřad pro ochranu osobních údajů správce a zpracovatele osobních údajů spíše chrání před sporným výkladem zákona.

Podstatné pak bude také hodnocení, jaké údaje jsou povinny sdělit. Soudní exekutor není oprávněn vyžadovat sdělení jakýchkoli informací. Žádost o součinnost musí odůvodnit tak, aby bylo zřejmé, proč mají požadované osobní údaje souvislost s exekučním řízením. Pro demonstraci tohoto rozsahu použijeme případ posuzovaný Ústavním soudem mezi Českou pojišťovnou, a. s., a Exekutorským úřadem Brno-město, který po pojišťovně požadoval sdělení obsahu určité smlouvy (rozsudek sp. zn. ÚS 3897/17). Ústavní soud uzavřel: „Stěžovatelka samozřejmě nemusí exekutorovi sdělovat všechny údaje o pojistníkovi, kterými disponuje, ale umožní mu takovou identifikaci, aby si jej dále v rámci součinnosti s jinými subjekty mohl sám dohledat.“ Obdobný princip bude dle autora možné přiměřeně vztáhnout na všechny povinné osoby ve smyslu ust. § 33 ex. řádu, a tedy i na společenství vlastníků a bytová družstva.

Samostatnou zmínku si pak zaslouží orgán sociálně-právní ochrany dětí, který se rovněž může obracet na statutární orgán SVJ či BD s dotazy týkajícími se určitého rodiče – člena SVJ či BD, a to typicky telefonicky či e-mailem, např. bude prověřovat prostředí, ve kterém nezletilý žije, a tedy obecnou pověst rodiče v předmětné budově, eventuální porušování domovního řádu a jeho podstatu, rušení nočního klidu apod. Zde budou zpravidla zájmy nezletilého dítěte na tom, aby bylo chráněno před případnými rušeními jeho práv ze strany rodiče, silnější než zájmy rodiče na ochranu jeho osobních údajů.

Provoz a správa vstupních čipových systémů, včetně čteček otisků

Systémy umožňující vstup oprávněným osobám do budov spravovaných společenstvími vlastníků jednotek a bytovými družstvy jsou typickou technologií, která využívá osobní údaje členů. Přístupové čipy budou zpravidla určitým způsobem identifikovány, nejčastěji unikátním číslem, to jak přímo na těle čipu, tak elektronicky čitelným číselným kódem čipu. Společenství vlastníků či bytové družstvo takové čipy přidělí osobám, které jsou oprávněny ke vstupu do předmětných nemovitých věcí. Až do tohoto okamžiku se povětšinou nebude jednat o zpracování osobních údajů.

Nezřídka jsou však obdobné elektronické čipové systémy spojeny s určitým softwarem na principu docházkových systémů, který veškeré vydané čipy eviduje a je schopen evidovat i konkrétní osoby, kterým byl takový čip vydán. Totožný systém je pak zpravidla velmi přesně schopen evidovat i docházku takových osob a v takové situaci již společenství vlastníků, resp. bytové družstvo, zpracovává osobní údaje spočívající v tom, kdy daná osoba konkrétně vstoupila do budovy, budovu opustila, případně kdy vyjela s vozidlem z garáží a do garáží se vrátila apod. Mám za to, že v žádném z těchto případů nelze odůvodnění účelu zpracování opřít o jiný titul než souhlas subjektu údajů [čl. 6 odst. 1 písm. a) GDPR]. Alternativně uvažovaná nezbytnost pro účely oprávněných zájmů příslušného správce či třetí strany [čl. 6 odst. 1 písm. f) GDPR] až na naprosté výjimky zjevně neobstojí, neboť snad až na situace, kdy je SVJ či BD oprávněno kontrolovat z pozice zaměstnavatele docházku svých zaměstnanců, nemůže oprávněný zájem na „sledování svých členů“ převážit nad zájmem takových členů na ochranu osobních údajů. Ostatně na obdobně tenké hranici balancuje ochrana osobních údajů při instalaci kamerových systémů, o kterých je pojednáno níže. Zejména jako právně nebezpečnou pak hodnotíme kombinaci kamerového systému a čipového systému, kdy je SVJ, resp. BD, schopno pomocí kamerového záznamu určit, že do budovy vstupovala určitá osoba, v určitém stavu či v určité společnosti, a současně s pomocí záznamu v čipovém systému podle času použití čipu identifikovat konkrétního držitele čipu.

Společenství vlastníků jednotek a bytová družstva by měla velice přísně hodnotit funkcionality, které využijí při nasazení těchto systémů. Sám o sobě je čipový systém bezesporu výbornou pomůckou, kdy je schopen zcela nahradit málo bezpečné mechanické klíče (ztráta, možnost zkopírování), když ztracený čip lze prakticky obratem deaktivovat, kdežto v případě klíče není jiné řešení než výměna celé vložky a s tím spojená nutná distribuce nových klíčů všem osobám. Máme však za to, že hranice tohoto „oprávněného zájmu“ SVJ či BD končí přesně tam, kde byly právě definovány, a nelze nalézt žádnou legální obhajobu pro to, aby SVJ či BD spravovalo osobní údaje svých členů spočívající v tom, kdy přesně a kam přesně vstupují (vyjma již zmíněné situace, že k tomu udělí výslovný souhlas).

V té souvislosti je nutné opět připomenout informační povinnost SVJ a BD jakožto správců takových osobních údajů, dle které jsou povinny si souhlas takové osoby získat již v okamžiku, kdy poprvé osobní údaj získávají (čl. 13 a násl. GDPR). V praxi SVJ a BD bude možné takové souhlasy získat zřejmě pouze v okamžiku, kdy je čip subjektu údajů osobám vydáván. Jedině v takovém okamžiku bude možné např. nechat subjekt údajů podepsat předávací protokol o předání čipu a současně souhlas se zpracováním jeho osobních údajů.

Uvažujeme-li, že čipový systém je komplexní systém zavedený jednotně v určitém bytovém domě, je nutné se předem připravit na situace, že určitý subjekt údajů odmítne souhlas s využíváním jeho údajů v souvislosti s přístupovým čipem udělit, anebo svůj souhlas odvolá. V takových případech je nutné, aby SVJ a BD bylo schopné ovládací software dostatečně efektivně administrovat a např. čip přiřazený k určitému vlastníkovi v takové situaci anonymizovat. I taková anonymizace však nemusí být efektivní vždy. Představme si dům, který má 20 oprávněných osob ke vstupu do budovy, z nichž jediná souhlas neposkytne nebo vezme zpět. V takovém případě nepostačí anonymizace jejích údajů u daného čipu, neboť bude možné určit, že právě tento „anonymizovaný“ čip užívá daná osoba.

Uvedenou metodiku, která bude dostatečně vhodně ošetřovat ochranu osobních práv subjektů údajů, bude proto muset SVJ či BD zpracovat ještě před zavedením takového přístupového systému do budovy.

Provoz a správa kamerových systémů 

Podstatně rozsáhlejší pozornost než čipovým vstupním systémům je věnována kamerovým systémům. Klíčovou výkladovou úlohu zde převzal přímo Úřad pro ochranu osobních údajů, který pro dané případy přijal jednak stanovisko č. 1/2016,[36] které, byť vychází z již zrušeného zákona o ochraně osobních údajů č. 101/2000 Sb., lze vztáhnout i na právní prostředí ustavené od účinnosti GDPR, a jednak na svém webovém portálu provádí výklad legislativy i ve vztahu ke konkrétním otázkám[37] (často kladené dotazy). Autor se setkal s desítkami bytových domů, kde byl kamerový systém se záznamem instalován pouze na základě obecného (marketingového) prohlášení dodavatele, že systém je „v souladu s GDPR“.[38] Prakticky žádné z testovaných SVJ či BD neprovádělo před instalací kamerového systému jakoukoli řádnou analýzu, zda je daný kamerový systém legální, tj. zda vyhovuje pravidlům dle GDPR, a to i např. prostřednictvím kritického hodnocení takových kamerových systémů dle stanovisek ÚOOÚ.

Po řádné analýze byla převažující část těchto kamerových systémů přitom shledána jako rozporná s právní úpravou. Důvodem byla ve všech případech skutečnost, že statutární orgány opíraly legitimitu kamerových systémů např. o určitá usnesení přijatá na shromáždění SVJ (částí členů), resp. na členské schůzi BD (částí členů), a častěji pak o určité předchozí škodní události spočívající ve vykradení sklepů, poničení dveří, posprejování fasády a obdobně.

SVJ a BD v takových situacích tedy ve skutečnosti jako důvod pro instalaci takových kamerových systémů užívají souhlas svých členů a svůj oprávněný zájem.

Souhlas jakožto důvod dle čl. 6. odst. 1 písm. a) GDPR je nejvíce zjevně vadným titulem pro instalaci takového kamerového systému. Až na situace velmi malých bytových domů nebude na předmětném shromáždění či členské chůzi přítomno všech 100 % členů, a souhlas tak ve skutečnosti udělují jen někteří z nich. Navíc takto získaný souhlas není udělen mnoha dalšími osobami, které by byly nutně kamerovým systémem sledovány, jako např. návštěvy, rodinní příslušníci, partneři a partnerky členů, uklízečky, doručovatelé apod.

Podstatně jistějším právním důvodem je proto titul dle čl. 6 odst. 1 písm. f) GDPR, a tedy oprávněné zájmy příslušného správce či třetí strany, když těmito oprávněnými zájmy bude nejčastěji ochrana majetku spravovaného společenstvím vlastníků či bytovým družstvem. Tento důvod bude pravděpodobně tvořit drtivou většinu formálních odůvodnění pro instalaci kamerových systémů, které ÚOOÚ eviduje. Zmíněné stanovisko ÚOOÚ č. 1/2016 k tomu konstatuje: „Jednou ze základních otázek zpracování osobních údajů prostřednictvím kamerových systémů v bytových domech je posouzení poměru mezi hodnotami, které mají být chráněny, na jedné straně (např. ochrana života a zdraví, ochrana majetku), a hodnotami, do kterých bude zasaženo, na straně druhé (ochrana soukromí). Každý, kdo hodlá instalovat a provozovat kamerový systém, musí posoudit, zda je zvolený prostředek (kamerový systém) způsobilý a potřebný k dosažení cíle (např. odradit či následně odhalit pachatele krádeže apod.), a vhodně jej kombinovat s dalšími prostředky (např. zamykání dveří, mříže apod.) tak, aby zvolené řešení nepřiměřeně nezasahovalo do práva na soukromí všech lidí, kteří se v prostorách bytového domu mohou pohybovat.“ A tedy dle této zásady kamerový systém, který sice např. zaznamená vandalismus, ale nebude schopen identifikovat konkrétního pachatele (např. v žádném úhlu záběru zpravidla osoba nebude obličejem ke kameře), nemůže obstát. Úřad výstižně pokračuje: „Při stanovení prostředků a způsobu zpracování osobních údajů (…) doporučuje Úřad přihlédnout k povaze prostor, které mají být sledovány.“ Úřad tak vyjmenovává konkrétní situace, které budou SVJ a BD při výkonu své činnosti řešit a zvažovat. Tak např. prakticky zapovězeným prostorem pro umístění kamer by měly být vstupní dveře do bytů. Naopak sledování prostor, jako jsou sklepy a půdy a vchody do nich, garáže, kočárkárny, kolárny, prostory dopisních schránek, vnější plášť budovy (a jeho bezprostřední okolí), vstupní dveře do domu, vstupní chodby k výtahům a schodištím i výtahy a schodiště, do soukromí s ohledem na další parametry kamerového systému většinou zasahuje v přiměřené míře a z hlediska zásad účelného a přiměřeného zpracování údajů nevyvolává zásadní problémy.[39]

Povinností souvisejících s instalací kamerového systému se záznamem v bytovém domě je podstatně více než jen uvážení, zda je taková instalace v souladu s pravidly pro ochranu osobních údajů (např. musí být zvolena bezpečná technologie, data zabezpečena, přijat kamerový řád, splněna informační povinnost atd.[40]). Analýza souladu uvažovaného kamerového systému s těmito legálními pravidly bude však jedním z prvních kroků, které by mělo SVJ či BD učinit, než přistoupí k dalším detailnějším krokům směrem k realizaci.

Obecně lze v této souvislosti přístup Úřadu shrnout jako preferující ochranu osobních údajů, byť si nelze nevšimnout názorového posunu od poměrně militantního upřednostňování ochrany osobních údajů k dnešnímu částečně benevolentnějšímu výkladu situací, kdy lze kamerový systém v bytovém domě legálně provozovat. Jako jednoznačný závěr lze pak uzavřít, že všude tam, kde bude možné bez větších či objektivních překážek ochránit majetek spravovaný SVJ a BD jiným způsobem, či všude tam, kde bude možné dohledat eventuální pachatele jinými běžnými prostředky (kterými disponuje policejní orgán) než právě kamerovým systémem, nebude možné kamerový systém instalovat. Ani ojedinělá trestná činnost, např. ojedinělé vandalství, nebude jako legitimní důvod pro instalaci kamerového systému postačovat.

Předávání osobních údajů o členech správcovským společnostem

Tato problematika bude dopadat zejména na společenství vlastníků jednotek, neboť bytová družstva vykonávají správu sama. Správcem se má pro účely SVJ na mysli osoba, která má zajišťovat některé činnosti správy domu a pozemku, a rozhodnutí o její změně ve smyslu ust. § 1208 písm. g) o. z. Na rozdíl od bytového družstva, které je tvořeno ze své podstaty jinak než SVJ, nebude ve většině případů společenství vlastníků vykonávat úlohu správce. Vyjma eventuálně nejmenších bytových domů s několika jednotkami se vlastníci sami nebudou chtít podílet na administrativním a technickém chodu společenství vlastníků jednotek a minimálně zčásti přenechávají výkon vybraných činností na osobách profesně k tomu vybavených.[41]

V oblasti ochrany osobních údajů by pak SVJ ještě před zahájením spolupráce s těmito profesními subjekty, jejichž podstatou je nutně výkon činnosti, jejímž obsahem je zpracování osobních údajů spravovaných společenstvím vlastníků jednotek (evidence členů, správa jejich úhrad, vyúčtování aj.), měla učinit dva základní kroky – jednak uzavřít smlouvu o zpracování osobních údajů, a jednak ověřit, zda takový správce neužívá technologie ukládající data ve třetích zemích, např. cloudové služby, technologie od mateřských zahraničních společností (centrální servery) a jiné. V takových situacích by totiž bylo možné a nutné uvažovat, zda jsou naplněny podmínky pro definici takového stavu jakožto předávání osobních údajů do třetích zemí ve smyslu čl. V. GDPR, což s sebou nese další konsekvence a povinnosti pro SVJ. Obdobně lze pak takovou povinnost vztáhnout i na BD v případě, kdy využívá služeb určitého profesionála, kterému předává osobní údaje svých členů, např. účetní společnost.

Bez ohledu na to, zda dochází k předávání osobních údajů do třetích zemí, či nikoli, je třeba uzavřít s takovým správcem smlouvu o zpracování osobních údajů. Praxe si vyžádala mnoho podob takových smluv. Nejčastěji dochází k uzavírání určitých doložek, často s GDPR ne zcela souladné podoby, když tyto doložky jsou součástí uzavíraných smluv o správě (smlouva mezi SVJ a správcovskou společností, jejímž obsahem je zajištění některých služeb týkajících se společných částí budovy a pozemku, resp. některých služeb zajišťovaných jinak bytovým družstvem). Náležitosti smlouvy o zpracování osobních údajů upravuje čl. 28 odst. 3 GDPR a jakýkoli rozbor jejího obsahu je nad rámec možné kapacity tohoto příspěvku. Nejčastějšími úskalími těchto „smluv o zpracování osobních údajů“, vkládaných do smluv o správě nemovitosti je nerespektování náležitostí, které by měla tato smlouva mít dle GDPR. Ujednání tak často zcela zbytečně nepoužívají pojmosloví GDPR, anebo jej naopak pouze formálně opisují, aniž by smlouva skutečně zakotvovala konkrétní způsob, jak budou osobní údaje členů SVJ chráněny a jak s nimi bude (či nebude) zacházeno. Protože z pohledu aktuálně účinné legislativy je to správce, a tedy SVJ, kdo je odpovědný za to, že ochrana osobních údajů bude dodržena, nelze než doporučit, aby SVJ (ale totéž platí i pro bytová družstva) ohledně uzavírání těchto smluv o zpracování osobních údajů nepodceňovala svou odpovědnost, když by to byl následně ostatně statutární orgán, který by nesl následky neplatně uzavřené smlouvy či nedostatečné ochrany osobních údajů členů. Zejména není důvod, ačkoli je to častou praxí správců, proč by obsah takové smlouvy měl určovat (či jej vnucovat jako unifikovaný vzor) správce, když odpovědným subjektem bude primárně SVJ. Připomeňme ostatně úvod čl. 28 GDPR: „správce využije pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů“. A je to předně SVJ, které je povinno dostatečně prověřit, zda jsou takové záruky správcem poskytovány.

Využívání služeb domény druhého řádu, včetně doplňkových marketingových služeb 

Poměrně rychle se rozvíjející službou je poskytnutí určitého již rozvinutého virtuálního prostředí, zejména funkční webové stránky, kde její majitel či provozovatel nabídne SVJ či BD jejich vlastní prezentaci prostřednictvím domény druhého řádu.[42] Ne náhodou se do těchto projektů zapojují vysoce profesionalizované subjekty, které s poskytnutím této služby spojují nabídky k dalším službám – zejména právní poradenství, finanční poradenství, funkci profesionálního předsedy a další.

Ačkoli se uvedená služba může jevit jako značné ulehčení činnosti výboru SVJ či činnosti představenstva BD (pomineme-li finanční stránku), vždy je třeba pečlivě zkoumat všeobecné obchodní podmínky a ujednání týkající se zpracování osobních údajů. Společenstvím vlastníků či bytovým družstvem poskytnutá data jsou nutně uložena na zařízeních poskytovatele zmíněné služby a k dalším doplňkovým službám je pak zjevně nutné, aby takové osobní údaje poskytovatel služby využil.

Než k takovému užití dojde, je SVJ, resp. BD, povinno kvalifikovaně analyzovat a prověřit, zda taková služba splňuje zákonné požadavky GDPR. Nezbývá než repetitivně vyslovit, že je to právě SVJ či BD, kdo jsou za soulad při zpracování jimi spravovaných osobních údajů primárně odpovědné.

Dílčí závěry a doporučení

Veškeré shora uvedené zpracování osobních údajů naznačuje, že společenství vlastníků ani bytové družstvo se při svém každodenním právním jednání nevyhne povinnostem, které GDPR nastolilo. Z toho pro oba typy právnických osob plynou s tím související právní povinnosti, a to zejména povinnost analyzovat, zda je konkrétní zamýšlené jednání v souladu s GDPR (např. instalace určité technologie v domě, sdílení určitých informací mezi členy apod.), a pokud ke zpracování osobních údajů dojít má, pak musí taková osoba splnit řádně a včas informační povinnost vůči subjektům údajů (kterými zdaleka nejsou pouze členové SVJ nebo členové BD, jak popsáno shora) a rovněž veškeré povinnosti týkající se zabezpečení osobních údajů především dle požadavků čl. 32 GDPR.

Z praxe mnoha čtenářů tohoto příspěvku pak bude plynout, že zdaleka nikoli většina osob, které jsou členy statutárních orgánů společenství vlastníků či bytových družstev, má dostatečnou odbornou kvalifikaci pro takovou činnost. Tento nedostatek se více týká SVJ, kde je vyšší míra zastoupení v jeho orgánech přímo jeho členy, kteří sami mají jinou profesní odbornost a výkon funkce člena voleného orgánu je čistě doplňkovou činností.

Pro společenství vlastníků a pro bytová družstva lze tak důrazně doporučit, aby v souladu se zásadou péče řádného hospodáře zajišťovala i ve vztahu k ochraně osobních údajů, které spravují, dostatečně kvalifikované analýzy, zejména aby využívala poradenství advokáta či jiných k tomu způsobilých osob. Součástí zákonné péče řádného hospodáře je totiž od počátku povinnost vykonávat pouze takovou činnost, ke které má daný člen dostatečnou způsobilost, a naopak tedy pro ostatní činnosti zajistit služby externího odborníka.

V rámci přípravy implementace systémů pracujících s osobními údaji členů (a jiných subjektů údajů), zejména kamerových nebo čipových systémů, důrazně doporučuji provést analýzu dopadu takového systému na ochranu osobních údajů (a to zcela srovnatelně s požadavky čl. 35 GDPR). Takové posouzení považuji za součást povinnosti péče řádného hospodáře, kterou je každý statutární orgán vázán, a neprovedení takového posouzení by tak mohlo být naopak porušením takové péče. Doplňme pouze pro úplnost, že se zpravidla bude jednat o hodnocení výlučně právní a statutární orgán by za tím účelem měl oslovit osobu k tomu odborně způsobilou, a tedy advokáta.

Jakákoli prohlášení činěná k tomu nezpůsobilou osobou, distančně, anebo zjevně bez reálného konkrétního hodnocení určitého druhu zpracování v daném místě a podmínkách, např. generální označování určitého výrobku vlastností „GDPR ready“ anebo provádění online GDPR „testů“, se mi jeví jako zcela nepoužitelné, anebo jen málo použitelné pro praxi SVJ či BD. V prvním uvedeném případě půjde zpravidla pouze o určitou předpřipravenou funkcionalitu (např. GDPR ready software, anebo GDPR ready úložiště), která nevypovídá vůbec nic o tom, zda pomocí takové aplikace či úložiště realizovaný druh zpracování osobních údajů je legální. Ve druhém jmenovaném případě je pak nutné zopakovat, že analýzu dopadů uvažovaného druhu zpracování (např. instalace kamerového systému) má provádět k tomu odborně způsobilá osoba, kterou zpravidla nemůže nahradit žádný algoritmus, který za online testem stojí a vyhodnocuje jej. Žádný algoritmus není schopen kvalifikovaně vyhodnotit, zda určitá kamera může být instalována právě v takovém určitém místě bytového domu, ani vyhodnotit zákonnost takového zpracování (konkrétní kamery) ve smyslu čl. 6 GDPR.

Z právě uvedeného je zjevné, že předmětné nařízení vneslo mezi povinnosti statutárních orgánů SVJ a BD další oblast, na kterou je třeba pamatovat. Uvedené kautely jsou nejčastějším důvodem (vedle obecně klesajícího zájmu o výkon funkce člena voleného orgánu), proč masivně nastupují poměrně nové profesní obory, jakým je profesionální statutární orgán. S ohledem na aktuální legislativní prostředí již zdaleka statutární orgány nevystačí s dobrou znalostí budovy a místních poměrů, ale čím dál důrazněji je po nich vyžadováno kvalifikované plnění legislativních povinností, oblast ochrany osobních údajů je toho příznačným obrazem.

S ohledem na cíle GDPR lze úspěšně uzavřít, že společenství vlastníků i bytová družstva jsou bezesporu osoby, které mohou disponovat poměrně detailními osobními údaji, a je proto zcela namístě, aby na ně předmětná právní úprava dopadala, byla kontrolována a vymáhána. Ve výsledku je tak chráněno právo všech, kteří jsou součástí bytového družstva či bytového spoluvlastnictví.

 

Mgr. David Petr, LL.M., působí jako advokát v Praze.

---

[1] Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, dále v tomto příspěvku také jen „GDPR“.

[2] Srov. k tomu zejm. odst. 12 preambule GDPR: „Aby byla zajištěna jednotná úroveň ochrany fyzických osob v celé Unii a zamezilo se rozdílům bránícím volnému pohybu osobních údajů v rámci vnitřního trhu, je nezbytné přijmout nařízení, které poskytne hospodářským subjektům, včetně mikropodniků a malých a středních podniků, právní jistotu a transparentnost, které fyzickým osobám ve všech členských státech zajistí stejnou úroveň práv vymahatelných právními prostředky a správcům a zpracovatelům uloží povinnosti a úkoly, které zajistí důsledné monitorování zpracování osobních údajů a rovnocenné sankce ve všech členských státech, jakož i účinnou spolupráci mezi dozorovými úřady jednotlivých členských států.“

[3] Zdroj Český statistický úřad, údaje k roku 2017, autor kalkuluje s tím, že od roku 2017 počet SVJ narostl, ČSSÚ uvádí meziroční nárost o 3 %, kdežto počet BD spíše klesá. Údaje dostupné online zde: https://www.czso.cz/csu/czso/pocet-spolecenstvi-vlastniku-jednotek-roste.

[4] Zdroj Bisnode, tam uvedená statistika zahrnuje jen „kapitálové“ společnosti, tj. společnosti s ručením omezeným a akciové společnosti. V roce 2019 bylo registrováno 503 000 společností. Autor vychází z předpokladu, že ročně přibude cca 20 000 nových kapitálových společností, zdroj zde: https://www.businessinfo.cz/clanky/bisnode-vznika-nejmene-firem-za-posledni-tri-roky/.

[5] Zdroj: https://www.bisnode.cz/o-bisnode/o-nas/novinky/v-cr-je-103-000-spicich-firem-vic-nez-polovina-z-nich-ma-sidlo-v-praze/.

[6] Např. v kraji Karlovarském 28,8 %, údaj k roku 2018, zdroj Bisnode.cz.

[7] Tamtéž.

[8] Tamtéž.

[9] Zdroj: https://www.czso.cz/documents/10180/87473787/bdscr062918_05.xls/69d01727-ec0d-49fe-92f5-5d97b6823165?version=1.1.

[10] Odst. 5 preambule GDPR.

[11] Odst. 7 preambule GDPR.

[12] Https://www.gdpr.cz/gdpr/proc).

[13] Https://www.cevroinstitut.cz/cs/pedagog/mgr-eva-skornickova).

[14] F. Nonnemann, V. Lidinský, D. Mašín: Praktická příručka GDPR pro Správce, Zpracovatele a Pověřence ochrany osobních údajů, nakladatelství Klika, 2018.

[15] Mgr. Škorničková poukazuje např. na prokázanou práci tajných služeb v oblasti zpracovávání osobních údajů. Zdroj: https://www.gdpr.cz/gdpr/proc).

[16] Https://cs.wikipedia.org/wiki/Evropsk%C3%A1_unie.

[17] Ust. § 9 zák. č. 72/1994, kterým se upravují některé spoluvlastnické vztahy k budovám a některé vlastnické vztahy k bytům a nebytovým prostorům a doplňují některé zákony (zákon o vlastnictví bytů).

[18] Ust. § 1194 odst. 1 o. z.

[19] Ust. § 552 odst. 1 zák. č. 90/2012 Sb., o obchodních korporacích (dále „z. o. k.“).

[20] Ust. § 727 z. o. k.

[21] Pro příklad: http://osbdkamenicka.cz/sites/osbd.localhost/files/dokumenty/smernice_clenska_A.pdf anebo https://bdhabova.cz/dokumenty-druzstva)17-smernice-02-2012 a mnoho dalších.

[22] Např. http://www.hejdukova.cz/svj-vedeni-seznamu-clenu a mnoho dalších.

[23] Ust. § 1177 znělo: „Kdo nabyl jednotku do vlastnictví, oznámí to včetně své adresy a počtu osob, které budou mít v bytě domácnost, vlastníkům jednotek prostřednictvím osoby odpovědné za správu domu (…).“

[24] Usnesení Nejvyššího soudu ze dne 19. 5. 2005, sp. zn. 30 Cdo 588/2004.

[25] Ve znění účinném od 1. 7. 2020.

[26] Veškeré požadované náležitosti lze ověřit na online formuláři Ministerstva spravedlnosti ČR zde: https://or.justice.cz/ias/ui/podani.

[27] Příjmy členů orgánu společenství vlastníků nebo bytového družstva jsou dle § 6 odst. 1 písm. c) bod 1 zákona o daních z příjmů příjmem ze závislé činnosti. Členové výboru SVJ a členové představenstva BD s takovými příjmy jsou považováni za zaměstnance, a tedy SVJ, resp. BD, je považováno za zaměstnavatele.

[28] M. Novotný, § 1178 [Sdělovací povinnost] in: J. Spáčil, M. Králík a kol.: Občanský zákoník III., Věcná práva (§ 976–1474), 2. vydání, C. H. Beck, Praha 2021.

[29] Srov. ust. § 55b zák. č. 120/2001 Sb., exekuční řád, dále „ex. řád“: „Při rozhodování postupuje exekutor obdobně podle občanského soudního řádu. Exekutor při rozhodování činí úkony, které v řízení o výkon rozhodnutí přísluší soudu prvého stupně.“

[30] Jejich výčet je obsažen v ust. § 46 vyhlášky č. 37/1992 Sb., o jednacím řádu pro okresní a krajské soudy.

[31] Dostupné online zde: http://www.akvpracpravo.cz/sqlcache/2-souhrn-stanovisek-akv-cerven-2013.pdf.

[32] M. Kasíková, Z. Kučera: § 33 [Subjekty povinné k poskytnutí informace], in: M. Kasíková, M. Jirmanová, J. Hubáček, V. Plášil, K. Šimka, Z. Kučera, V. Nekola: Exekuční řád, 4. vydání, C. H. Beck, Praha 2017, str. 159.

[33] https://www.ekcr.cz/1/aktuality-pro-media)2789-dnes-zemrel-prezident-exekutorske-komory-cr-judr-vladimir-plasil-ll-m?w=.

[34] Zdroj: https://www.podnikatel.cz/clanky/soucinnost-zamestnavatelu-co-vse-je-nutne-exekutorum-sdelit/.

[35] Tamtéž.

[36] Online dostupné zde: https://www.uoou.cz/assets/File.ashx?id_org=200144&id_dokumenty=29566.

[37] Např. zde: https://www.uoou.cz/k-provozovani-kamerovych-systemu/d-29535.

[38] Nelze nicméně opomíjet i relevantní nabídky zhotovitelů, kteří poskytují určité poradenství v této oblasti – ponechme nyní stranou, zda je takový subjekt oprávněn poradenství v oblasti, která je bezesporu právní, vůbec poskytovat – např.: https://www.kamerylegalne.cz/bytovy_dum_legalizace_gdpr_kamer.

[39] Bod 5 stanoviska č. 1/2016 ÚOOÚ.

[40] Srov. https://www.uoou.cz/k-provozovani-kamerovych-systemu/d-29535.

[41] T. Horák, § 1208 [Působnost shromáždění], in op. cit. sub 21, str. 998.

[42] Jmenujme pro příklad www.sousede.cz, https://webdomu.cz, https://www.radceprosvj.cz/webove-stranky-svj/.