Přejít k obsahu Přejít k hlavnímu menu
Kontakt

Kontrola společenství vlastníků bytů

V roce 2010 byla na základě podnětu provedena kontrola dodržování povinností vyplývajících ze zákona o ochraně osobních údajů Společenstvím vlastníků bytů (dále jen „Společenství“) při zpracování osobních údajů vlastníků bytů a jejich rodinných příslušníků, nájemníků a jiných osob v souvislosti s vydáváním elektronických čipů pro ovládání vstupů do bytových objektů.

Čipy k otvírání dveří distribuovali vlastníkům jednotlivých bytů členové výboru Společenství, kteří jim zároveň předložili dotazník, na jehož vyplnění bylo vydání čipů vázáno. Stěžovatelé považovali vyžadování informací o jednotlivých uživatelích čipů (jejich vztah k majiteli, uvedení adresy u jiných osob atd.) za nedůvodné a vyvolalo v nich podezření, že dochází k porušení zákona o ochraně osobních údajů. Jejich pochybnost vyvolala také informace výboru, že použití čipů k otevření vchodových dveří bude výborem průběžně monitorováno, neboť každý čip je opatřen specifickým kódem, který je registrován na konkrétního vlastníka či nájemníka, a lze tak sledovat kdo a kdy přichází.

Společenství v souvislosti s instalací elektromagnetických zámků oznámilo Úřadu účel a právní titul ke zpracování osobních údajů uživatelů bytů. Důvodem pro zavedení čipů (elektromagnetických zámků) byly škody na majetku Společenství i jednotlivých vlastníků bytových jednotek a ochrana života a zdraví nájemníků (v jednom z domů došlo k vraždě). V oznámení bylo uvedeno, že shromážděné osobní údaje budou zpracovávány na základě poskytnutého souhlasu uživatelů bytů.

Členové výboru Společenství na základě vyjádřeného souhlasu majitelů či spolumajitelů bytů přítomných na shromáždění Společenství požadovali při předání čipů základní údaje o uživateli bytu v rozsahu jméno, příjmení, vztah k majiteli a u jiných osob i adresu pobytu odlišnou od bytového objektu. V souvislosti s instalací elektromagnetických zámků Společenství vytvořilo databázi čipů ve spojení s konkrétními uživateli bytů, a při průchodu objektem tak byl evidován průchod uživatele s datem a časem příchodu a odchodu.

Kontrolující se zaměřili zejména na zpracování osobních údajů v nezbytném rozsahu, na právní titul ke zpracování a splnění informační povinnosti Společenství.

Podle § 5 odst. 1 písm. d) zákona o ochraně osobních údajů musí správce shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanoveného účelu. U jiných osob, které nejsou příslušníky domácnosti majitele (spolumajitele) bytu, bylo zcela nadbytečné ve smyslu § 5 odst. 1 písm. d) zákona o ochraně osobních údajů zpracovávat údaje pro účely evidence elektronických čipů v rozsahu vztahu k majiteli bytu a adresy těchto osob. Společenství tak porušilo ustanovení § 5 odst. 1 písm. d) zákona o ochraně osobních údajů a kontrolou bylo Společenství uloženo nápravné opatření - zcela zlikvidovat databázi jiných osob, tj. odlišných od majitelů bytů.

Společenství jako správce osobních údajů musí plnit povinnosti stanovené zákonem o ochraně osobních údajů. Bez souhlasu tak může osobní údaje zpracovávat pouze tehdy, jsou-li naplněny podmínky pro výjimku podle § 5 odst. 2 písm. a) zákona o ochraně osobních údajů, tedy jestliže provádí zpracování podle zvláštních právních předpisů. Další výjimkou, kterou lze uplatnit, je § 5 odst. 2 písm. e) zákona o ochraně osobních údajů, - souhlas subjektu údajů není vyžadován, jestliže je zpracování nezbytné pro ochranu práv a právem chráněných zájmů správce, zpracovatele, příjemce nebo jiné dotčené osoby.

Z důvodu personalizace distribuovaných čipů a monitorování průchodů nebylo možné uplatnit žádnou z výjimek stanovených zákonem o ochraně osobních údajů, a tedy zpracovávat osobní údaje bez souhlasu. Uvedené zpracování osobních údajů bylo možné provádět pouze na základě poskytnutého souhlasu všech nájemníků a jiných osob. Kontrolou bylo prověřováno, zda udělený souhlas splňuje veškeré náležitosti podle ustanovení § 5 odst. 4 a § 11 zákona o ochraně osobních údajů.

Kontrolou bylo zjištěno, že při shromažďování osobních údajů v souvislosti s přidělováním čipů uvedli někteří majitelé písemný nesouhlas se zpracováním osobních údajů. Taktéž při hlasování o monitorování průchodu objektů na shromáždění Společenství nedalo souhlas se zpracováním osobních údajů dalších sedm hlasujících. Společenství tak zpracováním osobních údajů uvedených osob, které nedaly souhlas se zpracováním osobních údajů nebo následně souhlas odvolaly proto, že nesouhlasily s monitorováním, porušilo ustanovení § 5 odst. 2 věta první zákona o ochraně osobních údajů.

Společenství bylo uloženo opatření upravit zpracování osobních údajů majitelů bytů, příslušníků jejich domácnosti, nájemníků a jiných osob pro vydávání elektronických čipů tak, aby evidence vstupů neobsahovala osobní údaje osob, které ke zpracování svých osobních údajů nedaly souhlas s poskytnutím osobních údajů k uvedenému účelu, případně ho odvolaly.

V souvislosti s kontrolním zjištěním je třeba uvést, že zabezpečovací zařízení vchodových dveří nesporně podstatně snižuje možnost vstupu do objektu neoprávněným osobám, a je tak i podstatně zvýšena bezpečnost osob a ochrana majetku v objektu samém. K uvedenému účelu pak u bytových objektů slouží elektronická zařízení zpravidla na principu čipu či číselného kódu, která umožňují bezproblémový vstup oprávněných osob, přičemž není nezbytné takový vstup evidovat tak, aby bylo určitelné, kdy oprávněná osoba do objektu vstoupila. Z hlediska účelu zabezpečovacího zařízení postačuje, že je evidován vstup oprávněné osoby, které byl vstup umožněn, a to bez její možné identifikace.

Společenství také nedostatečně naplnilo informační povinnost, jelikož informace o zpracování osobních údajů byla při shromažďování osobních údajů podána neúplně. Nebyl uveden zákonný důvod pro povinné poskytnutí osobních údajů a důsledky neuvedení osobních údajů a nebyla poskytnuta informace o dobrovolném poskytnutí osobních údajů. Společenství tím porušilo (nesplnilo) informační povinnost podle § 11 odst. 2 zákona o ochraně osobních údajů.

Proto byla kontrola uzavřena uložením opatření dodatečně zajistit důsledné splnění informační povinnosti podle § 11 odst. 2 zákona o ochraně osobních údajů. Za prokázané porušení zákona byla společnosti uložena pokuta.