GDPR – ochrana osobních údajů

GDPR – ochrana osobních údajů – stručně o novém nařízení pro realitní kancelářemakléře

Ochrana osobních údajů se týká jen fyzických osob včetně OSVČ, nikoliv právnických osob.

Definice osobních údajů

„Osobní údaje jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.“

Vysvětlení pojmů

Správce
Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.

Zpracovatel
Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.

Subjekt údajů
Identifikovaná nebo identifikovatelná fyzická osoba, k níž se údaje vztahují.

Příjemce
Osoba, které jsou osobní údaje poskytnuty.

Většina povinností podle GDPR již platila podle zákona č. 101/2000 Sb., o ochraně osobních údajů před účinností GDPR např.:

  • dodržovat základní zásady pro zpracování osobních údajů;
  • získat v určitých případech souhlas subjektů údajů (pokud se neuplatní zákonná licence pro dané zpracování);
  • informovat subjekty údajů o zpracování osobních údajů při získání osobních údajů;
  • zabezpečit osobní údaje před náhodným nebo protiprávním zničení, ztrátou, pozměňováním nebo neoprávněným zpřístupněním.

V řadě případů není nutné získávat souhlas subjektů údajů se zpracováním jejich osobních údajů,

ale musíte tyto údaje používat jen pro účel, ke kterému jste je obdrželi (nikoliv pro jiné účely jako zasílání marketingových nabídek apod.) např.:

  • zpracování osobních údajů, které je uloženo zákonem [zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (AML) – osobní údaje klientů, kterým se zprostředkovává prodej, nákup nebo pronájem nemovitostí, musí být uchovány 10 let od uzavření obchodu;
  • zákony upravující mzdovou agendu, zákoník práce – osobní údaje zaměstnanců pro účely mzdové a personální agendy];
  • osobní údaje makléřů po dobu trvání smlouvy o spolupráci s makléřem a po jejím ukončení po nezbytnou dobu k ochraně práv realitní kanceláře;
  • osobní údaje zaměstnanců podle příslušných zákonů (563/1991 Sb., 582/1991 Sb. aj.);
  • osobní údaje zájemců o nemovitost nebo o spolupráci po dobu, co tento zájem trvá;
  • osobní údaje fyzických osob, které projevily zájem o nemovitost, o spolupráci, o zaměstnání můžete uchovávat po dobu, po kterou tato spolupráce či zájem trvá. Např. klient projeví zájem o nemovitost, zúčastní se prohlídky, má zájem o jiné nemovitosti – v tomto případě můžete jeho data uchovávat po rozumnou dobu po prodeji této nemovitosti, případně po dobu nezbytně nutnou pro případný spor s prodávajícím. V žádném případě nesmíte tyto data bez souhlasu evidovat po delší dobu, než trvá účel, za kterým byla osobní data obdržena, předávat je 3. osobě a používat k jinému účelu, než se kterým vás klient makléře oslovil tj. nezařazovat je do onlinových kampaní, nenabízet služby, kvůli kterým vás nekontaktovali.

GDPR je účinné od 25. 5. 2018 a nově zavádí:

  • hodně nového papírování;
  • sankce až 20 000 000 EUR nebo 4% z ročního celosvětového obratu;
  • zrušení povinnosti registrace správce osobních údajů u Úřadu na ochranu osobních údajů;
  • povinnost správce zajistit a doložit soulad zpracování osobních údajů s GDPR;
  • záměrná a standardní ochrana osobních údajů – veškerá zařízení, systémy, aplikace a evidence musí být vytvořeny a nastaveny, tak aby respektovaly ochranu osobních údajů, minimální přístupy k osobním údajům a minimální rozsah zpracovávaných osobních údajů;
  • nové náležitosti smlouvy o zpracování osobních údajů uzavřené mezi správcem a zpracovatelem, povolení řetězení zpracovatelů;
  • záznamy o činnostech zpracování (nahrazení oznamovací povinnosti vůči ÚOOÚ) – správce i zpracovatel;
  • povinnost oznamovat případy porušení zabezpečení osobních údajů ÚOOÚ a subjektu údajů – jen správce;
  • operace s osobními údaji (rozsáhlý monitoring subjektů údajů nebo rozsáhlé zpracování citlivých údajů);
  • rozšíření práv subjektů údajů a povinné postupy a lhůty při vyřizování žádostí subjektů údajů;
  • subjekt údajů musí být informován, kde všude jsou jeho data zpracována a uložena, může si vyžádat kopii zpracovaných údajů, požadovat úplné vymazání všech svých údajů (kromě těch, které jsou požadovány jinými zákony- AML, účetnictví, atd.), žádat o přenesení svých údajů k jinému správci;
  • v případě úniku osobních dat musíte informovat Úřad pro ochranu osobních údajů.