V podmienkach spoločenstiev vlastníkov bytov sa za osobné údaje považuje aj výška nedoplatku vlastníka bytu alebo nebytového priestoru v spojitosti s jeho ďalšími osobnými údajmi.
Do konca vlaňajška si museli spoločenstvá vlastníkov bytov podobne ako iné organizácie zaregistrovať na Úrade na ochranu osobných údajov svoje informačné systémy osobných údajov. Prikazuje im to nový zákon o ochrane osobných údajov, ktorý upravuje práva a povinnosti okrem iného aj prevádzkovateľov informačných systémov osobných údajov.
Koľko presne z nich si ich túto povinnosť splnilo úrad, keďže nepozná ich presný počet, nedokáže povedať.
Vzhľadom na zvýšený nápor žiadostí o registráciu úrad momentálne konkrétnym číslom zaregistrovaných informačných systémov osobných údajov vlastníkov bytov nedisponuje, píše hovorkyňa úradu Lucia Kopná. Spoločenstvá totiž neboli zďaleka jedinými subjektmi, ktoré túto povinnosť boli a sú povinné splniť.
Podľa Otílie Leskovskej zo Združenia spoločenstiev vlastníkov bytov sa ešte v januári aj napriek osvete stretávali s tým, že niektoré spoločenstvá netušili, že sa ich registrácia týka.
Aj niekoľko osôb stačí
Áno týka, hovorí audítorka informačnej bezpečnosti Jana Géciová.
Spoločenstvo vlastníkov bytov totiž spracúva osobné údaje vlastníkov bytov a nebytových priestorov v zmysle zákona o vlastníctve bytov a nebytových priestorov a na základe Zmluvy o výkone správy.
Informačným systémom sa pritom rozumie spracúvanie osobných údajov akýmkoľvek prostriedkom - automatizovaným – program v počítači, manuálnym – spisy, zložky alebo kombinovaným, dodáva Géciová.
To, že databázy spoločenstiev nebývajú rozsiahle – môžu prakticky zahŕňať len niekoľko osôb, nezaváži.
„Povinnosť registrácie vyplýva zo zákona o ochrane osobných údajov - pokiaľ nemá prevádzkovateľ povinnosť mať písomne poverenú zodpovednú osobu; keďže v databázach sú zaznamenávané osobné údaje fyzických osôb, na ktorých spracúvanie a ochranu úrad dohliada. Rozsiahlosť databázy nie je v tomto prípade relevantným kritériom, ktoré je posudzované,“ píše Kopná.
Za registráciu informačného systému osobných údajov sa platí správny poplatok 20 eur. Podrobný postup, tlačivo , ktoré je potrebné vyplniť, ako aj postup jeho vyplnenia je dostupný na webovom stránke úradu www.dataprotection.gov.sk, odkazuje hovorkyňa.
Hanka z vyšného konca
Tí, ktorí za osobné údaje považujú meno, priezvisko, adresu, či rodné číslo fyzickej osoby síce majú pravdu, avšak to zďaleka nie je všetko, upozorňuje audítorka.
Zákon o ochrane osobných údajov definuje osobné údaje ako „údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu“.
V „preklade“ to podľa Géciovej znamená, že za osobné údaje sú považované akékoľvek údaje, ktoré nám umožňujú konkrétne určiť fyzickú osobu priamo (v rozsahu meno, priezvisko, adresa, dátum narodenia, rodné číslo) alebo aj nepriamo (napríklad v malej obci môže byť identifikovaná aj Hanka z „vyšného konca“, ktorá býva pri kostole).
V podmienkach spoločenstiev vlastníkov bytov sa za osobné údaje považuje aj výška nedoplatku vlastníka bytu alebo nebytového priestoru v spojitosti s jeho ďalšími osobnými údajmi. Osobným údajom je aj obrazový záznam z kamerového systému, ktorý umožňuje fyzickú osobu identifikovať prostredníctvom viacerých znakov (beloch, černoch, muž, žena, zdravotný hendikep a podobne).
Pokuty v stovkách aj tisícoch eur
Ak spoločenstvo (alebo iný povinný subjekt) neregistrovalo svoj informačný systém osobných údajov, podľa hovorkyne úradu Kopnej, je možné uložiť pokutu v rozmedzí od 300 do 5000 eur.
„Spoločenstvá vlastníkov bytov, ako prevádzkovatelia informačných systémov osobných údajov, majú povinnosť plniť zákonom im dané povinnosti, je teda treba, ak si túto povinnosť nesplnili doteraz, aby tak urobili čo najskôr a vyhli sa tak možným problémom prípadne sankciám zo strany úradu,“ radí Kopná.
V prípade porušenia niektorej zákonnej povinnosti sú však pokuty aj oveľa vyššie.
Úrad, ako dozorný orgán, už nemôže uložiť preventívne opatrenie bez pokuty.
Zákon stanovuje obligatórne ukladanie pokút, ktoré sa však bude posudzovať najmä s ohľadom na spôsobenú škodu, prípadne na mieru narušenie súkromia fyzických osôb a jeho trvanie, akou sa prevádzkovateľ, či iná osoba porušenia zákona dopustila, píše hovorkyňa úradu. Sankcie za porušenie zákona prevádzkovateľom sa môžu vyšplhať až do výšky 300 000 eur.
O plánovanej zmene povinností úrad zatiaľ nemá informáciu.
ILUSTRAČNÉ FOTO - FOTOLIA
Registráciou to nekončí
Opatrenia a dokumentácia, ktorú zákon vyžaduje, a na ktorú by ste nemali zabudnúť.
- Vypracovanie bezpečnostného projektu alebo bezpečnostnej smernice, ktorá by mala obsahovať názov informačného systému, bezpečnostný zámer a analýzu bezpečnosti informačného systému (tu sa aplikuje aj vyhláška Úradu na ochranu osobných údajov č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení).
- Vypracovanie poučenia o povinnosti mlčanlivosti pre fyzické osoby, ktoré prichádzajú do styku s osobnými údajmi, no nespracúvajú ich.
- Vypracovanie poučení oprávnených osôb, ktoré „vstupujú“ do jednotlivých informačných systémov a spracúvajú v nich osobné údaje. Oprávnené osoby musia dbať na to, aby osobné údaje z jednotlivých informačných systémov spracúvali len spôsobom, ktorý najčastejšie vyplýva z ich pracovného zaradenia; cieľom je ochrana spracúvaných osobných údajov (v opačnom prípade môžu hroziť nielen oprávnenej osobe sankcie).
- Vypracovanie zmlúv so sprostredkovateľom, ak ich spoločenstvo vlastníkov bytov, ako prevádzkovateľ, má. Sprostredkovateľom je akýkoľvek iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa (napríklad mzdová a personálna agentúra, bytové družstvo a podobne).
- Vypracovanie evidenčných listov informačných systémov nepodliehajúcich registračnej povinnosti v zmysle § 43 a nasl. zákona o ochrane osobných údajov.
Audítorka informačnej bezpečnosti Jana Géciová, Úrad na ochranu osobných údajov SR (ht)
Ďalšie termíny
Na otázky odpovedá audítorka informačnej bezpečnosti Jana Géciová a hovorkyňa Úradu na ochranu osobných údajov Lucia Kopná.
- Kto ešte sa musel registrovať a prečo?
Prevádzkovateľom je každý, kto vymedzí účel spracúvania a spracúva osobné údaje, teda napríklad každá s.r.o., živnostník, obec, mesto, úrad a podobne.
- Dokedy treba vypracovať spomínané dokumenty, kto zo spoločenstva je za to zodpovedný a kde by mali byť uložené?
Bezpečnostný projekt a Bezpečnostnú smernicu je potrebné zosúladiť do deviatich mesiacov od účinnosti nového zákona, teda do konca marca tohto roka, poučenia oprávnených osôb a registráciu alebo evidenciu už existujúcich informačných systémov osobných údajov bolo potrebné mať do konca minulého roka a zmluvy so sprostredkovateľom musia prevádzkovatelia zosúladiť s novým zákonom najneskôr do jedného roka od účinnosti zákona. byť podpísané do 30. júna 2014.
(ht)
