Smlouva o zpracování osobních údajů (OÚ) a podmínky zpracování OÚ zpracovatelem pověřeným ze strany správce

Jak již bylo uvedeno v předchozích článcích, ve smyslu GDPR jsou společenství vlastníků jednotek (SVJ), bytová družstva (BD) nebo osoby v postavení pronajímatelů (FO) správci osobních údajů vlastníků a uživatelů jednotek v domě (nájemníků). Dle GDPR jsou správci OÚ oprávněni pověřit zpracováním osobních údajů další osobu – zpracovatele.

Zpracovatel je tedy subjektem, který ve smyslu GDPR zpracovává osobní údaje vlastníků a uživatelů jednotek z pověření SVJ, BD a FO jako správce OÚ, za správce a dle pokynů správce. Zpracovatel neurčuje účel zpracování osobních údajů, ten je v případě SVJ, BD a FO určen příslušnými právními předpisy, případně je určen přímo správcem osobních údajů (SVJ, BD, FO). Vlastníci a uživatelé jednotek jako subjekty osobních údajů do právního vztahu se zpracovatelem nevstupují ani jej nepověřují, důvodnost zpracování jejich OÚ je právní nebo smluvní povinností SVJ, BD nebo FO jako správce OÚ, který daného zpracovatele pověřil.

Ke zpracování osobních údajů pro splnění právních nebo smluvních povinností správce ani zpracovatel nepotřebuje vyjádření souhlasu vlastníků a uživatelů jednotek, oprávnění a zákonnost zpracování osobních údajů dle GDPR je dána právě těmito dvěma podmínkami pro zpracování osobních údajů, kterými jsou splnění právní nebo smluvní povinnosti SVJ, BD nebo FO jako správců osobních údajů. 

K tomu, aby správce mohl pověřit zpracováním osobních údajů zpracovatele a tedy aby zpracovatel mohl pro správce osobní údaje zpracovávat, GDPR vyžaduje uzavření písemné smlouvy mezi těmito dvěma subjekty. Pokud tedy SVJ, BD a FO při správě své nemovitosti využívají služeb dalších osob (profesionálního správce nemovitostí, poradců v různých oblastech), byť i jen např. za účelem vedení účetnictví nebo k výkonu jiných dílčích činností kde dochází ke zpracování OÚ, musí s těmito osobami uzavřít smlouvu o zpracování osobních údajů ve smyslu GDPR. Bez uzavření této smlouvy by správci nemovitostí jako zpracovatelé OÚ nemohli osobní údaje pro SVJ, BD a FO zpracovávat a tedy nemohli by poskytovat své služby správy nemovitosti.

Dle GDPR musí být smlouva o zpracování OÚ písemná a jejím obsahem je závazek zpracovatele vůči správci osobních údajů zpracovávat osobní údaje na základě pokynu správce (tímto pokynem může být např. i smluvní podmínky ze smlouvy o správě nemovitostí). Dále bude ve smlouvě stanoven předmět, účel, povaha a doba trvání zpracování, typ OÚ a kategorie subjektů údajů (vlastníci a uživatelé jednotek), jakož i práva a povinnosti správce.

GDPR umožňuje, aby zpracovatel zapojil do zpracování OÚ pro správce i další zpracovatele, a to na základě písemného povolení správce, které může být obsaženo ve smlouvě o zpracování OÚ. Toto bude mít význam zejména v případech, kdy zpracovatel (správce nemovitosti) při plnění svých povinností ze smlouvy o správě nemovitostí spolupracuje s dalšími osobami, které se rovněž dostanou do styku se zpracovávanými OÚ (právní, daňové nebo účetní poradentství, správa a údržba používaných software, apod.).

Zpracovatel je pak povinen provádět zpracování OÚ tak, aby byla zajištěna vhodná technická a organizační úroveň zabezpečení dle požadavků GDPR. Ve smyslu dalších ustanovení GDPR je zpracovatel rovněž správci nápomocen při plnění dalších povinností správce plynoucích pro něj z GDPR, jako např. reagovat na žádosti od subjektů údajů v rámci výkonu jejich práv dle GDPR, ohlašování porušování zabezpečení OÚ apod., přičemž poskytování této součinnosti může být ze strany zpracovatele zpoplatněno.

Pokud pro SVJ, BD nebo FO vykonává některé činnosti profesionální správce nemovitostí, který v rámci své činnosti zpracovává osobní údaje vlastníků a uživatelů jednotek, je nutné mezi SVJ, BD a FO a tímto správcem nemovitosti uzavřít smlouvu o zpracování osobních údajů s náležitostmi stanovenými GDPR. Profesionální správce jakožto zpracovatel osobních údajů pak tyto údaje zpracovává namísto SVJ, BD a FO, přičemž pro plnění zákonných nebo smluvních povinnosti SVJ, BD a FO není souhlas ke zpracování osobních údajů ze strany vlastník  a uživatelů jednotek vyžadován.

Mgr. Zuzana Molíková, advokátka