Ochrana osobních údajů ve společenstvích vlastníků jednotek a bytových družstvech - část I.

Z toho pro oba typy právnických osob plynou s tím související právní povinnosti, a to zejména povinnost analyzovat, zda je konkrétní zamýšlené jednání v souladu s GDPR, a pokud ke zpracování osobních údajů dojít má, pak musí taková osoba splnit řádně a včas i další legální povinnosti vůči subjektům údajů. Těmito subjekty údajů zdaleka nejsou pouze členové SVJ nebo BD. Aktuální legislativní vývoj, včetně povinností v souvislosti s ochranou osobních údajů, klade na členy statutárních orgánů stále náročnější povinnosti, což může být jeden z důvodů pro rozvoj profesionálních statutárních orgánů.

Ochrana osobních údajů ve společenstvích vlastníků jednotek a bytových družstvech je legislativním požadavkem a odborným tématem podstatně silnějším, než jakou pozornost mu samy statutární orgány těchto osob věnují. Tento příspěvek poukáže na některé konsekvence, které naopak dopady předmětné legislativy v oblasti ochrany osobních údajů činí pro oblast společenství vlastníků a bytových družstev zcela podstatnými.

Připustíme-li totiž, že GDPR[1] míří obecně svou úpravu na všechny subjekty, které osobní údaje spravují a zpracovávají,[2] je vhodné blíže analyzovat a objasnit, jakou roli SVJ a bytová družstva hrají v absolutním počtu těch subjektů, na které GDPR skutečně dopadá. Závěry pak mohou být překvapující.

V České republice bylo k roku 2021 registrováno přibližně 73 000 společenství vlastníků jednotek a přibližně desetina (cca 7 500) bytových družstev.[3] Zastoupení těchto subjektů na pomyslném trhu právnických osob v České republice je tedy poměrně vysoké. Kapitálových společností bylo k roku 2021 registrováno přibližně 540 000,[4] a na první pohled se tak jeví, že drtivě převažují spíše podnikatelské subjekty. Není tomu tak zcela.

Je nutné totiž zohlednit, že zatímco kapitálových společností je z celkového počtu aktivních jen cca 79 %,[5] a v některých krajích ČR dokonce jen 30 %,[6] a dokonce, že více než polovina všech neaktivních kapitálových společností v ČR sídlí v Praze (z celé ČR jde cca 55,5 %,[7] z počtu kapitálových společností sídlících v Praze je neaktivních cca 27 %[8]), u SVJ a BD je tomu přesně naopak. Veškerá SVJ musejí být nutně aktivními subjekty, což plyne z podstaty jejich věci. Porovnáním počtu pouze aktivních kapitálových společností na jedné straně a všech SVJ a BD na straně druhé již dospějeme k poměrně zajímavější struktuře osob, na které námi uvažovaná právní úprava dopadá. Např. v hlavním městě Praha vedle sebe působí orientačně 160 000 aktivních kapitálových společností a přibližně 65 000[9] SVJ(tj. cca 90 % všech SVJ).

Právě obšírně uvedená absolutní čísla nejsou zmiňována náhodně. Autor tím poukazuje na skutečný (byť orientační) počet subjektů, relevantních k tomuto článku, na které regulace ochrany osobních údajů dopadá, a zejména pak po­ukazuje na to, že nikoli nevýznamná část z těchto subjektů má ze zákona podstatu jinou než ziskovou.

Tyto subjekty se pak přirozeně dotazují, proč mají ve vztahu ke správě osobních údajů stejně rozsáhlé povinnosti jako kapitálové společnosti, když podstata SVJ a BD je zcela jiná než podstata kapitálových společností.

Odpovědí je zjevně možné poskytnout mnoho, samo GDPR odůvodňuje svou úpravu tak, že „… v celé Unii se zvýšila výměna osobních údajů mezi veřejnými a soukromými aktéry, včetně fyzických osob, sdružení a podniků“,[10] a tento aktuální stav proto: „vyžaduje pevný a soudržnější rámec pro ochranu osobních údajů v Unii, jenž by se opíral o důsledné vymáhání práva, a to s ohledem na nezbytnost nastolit důvěru, která umožní rozvoj digitální ekonomiky na celém vnitřním trhu“.[11] Dovolím si rovněž využít shrnutí důvodů,[12] které pro zavedení právní úpravy spočívající v přijetí společné evropské legislativy koncipují autority[13] v oblasti GDPR. Výčet důvodů se totiž zdaleka nezastavuje na nutnosti preventivní ochrany subjektů údajů, jak by se mohlo zprvu zdát. Odborná veřejnost poukazuje zejména na masivní nástup technologického pokroku v oblasti zpracovávání osobních údajů, a to zejména jeho automatizované formy. Máme za to, že právě toto pojetí ochrany osobních údajů je de lege ferenda správné, když roztříštěnost či zastaralost právní úpravy[14] dle našeho názoru plně jako alibi pro přijetí tak zásadního nařízení, kterým GDPR je, samo o sobě neobstojí.

Mám za to, že důvodem pro nutnou podporu rozvoje této legislativy není zdaleka snaha o její „scelení“ na území Evropské unie, potažmo všech rozvinutých zemí, nýbrž sledování, schopnost kontroly a zejména reálná způsobilost limitovat zneužití těchto osobních údajů proti samotným subjektům údajů.[15]

Zatímco aktuální legislativa má tendenci technologický rozvoj v oblasti osobních údajů brzdit, minimalizovat, až jej v některých oblastech limitovat k nule, to vše s cílem chránit zájmy všech (přibližně 500 milionů[16]) subjektů údajů, technologický rozvoj je řízen pouze desítkami nejvýše postavených osob (vlastníků technologií) a motivován výlučně ziskem.

Tento příspěvek mimo jiné míří na to, zda důvody pro zavedení jednotné evropské legislativy v oblasti ochrany osobních údajů, jak jsou popsány shora, obstojí i vůči takovým, oproti kapitálovým společnostem radikálně odlišným subjektům, jakými jsou SVJ a BD.

SVJ i BD řeší svá práva či povinnosti ve vztahu k osobním údajům svých členů totiž velmi často. Na správu a zpracování osobních údajů těmito subjekty dopadá přitom tatáž právní úprava a tedy tytéž závazky, které se vztahují na obchodní korporace a jiné subjekty, spravující a zpracovávající osobní údaje se zcela jiným záměrem a cílem, než pro které se tomu děje v SVJ a BD.

Jelikož v celkovém počtu SVJ a BD v České republice masivně dominují společenství vlastníků, bude se i tento příspěvek věnovat dominantně SVJ, s přihlédnutím k případným odlišnostem v BD.

Zcela unifikovaná regulace nutně nastavuje svou „přísnost“ podle měřítka těch největších zpracovatelů osobních údajů, kteří s nimi masivně obchodují, extenzivně je využívají pro svůj obchodní prospěch a zisk. Toto přísné měřítko pak poměrně zatěžuje osoby se zcela jinou podstatou existence, než je obchodní prospěch, a se zcela jiným potenciálním ohrožením zájmů subjektů údajů, jak bude popsáno podrobněji níže.

V článku čerpám rovněž ze své mnohaleté advokátní praxe, ve které se zaměřuji mimo jiné na bytové spoluvlastnictví, a tedy na činnost SVJ a BD. Z této zkušenosti pak čerpám názor, že jako klíčové hledisko při hodnocení shora naznačených otázek může být vzata v potaz i skutečnost, že společenství vlastníků a bytová družstva občasně jsou, ale častěji nejsou vedena profesionály na řízení právnických osob, na jakoukoli strategii, natož strategii marketingovou.

Závěry tohoto příspěvku bude pravděpodobně možné úspěšně vztáhnout i na jiné subjekty s obdobnou podstatou jejich trvání.

Společenství vlastníků jednotek jsou právnické osoby založené podle zákona o vlastnictví bytů č. 72/1994 Sb., anebo založené dle občanského zákoníku č. 89/2012 Sb. (dále „o. z.“), které jsou způsobilé vykonávat práva a zavazovat se pouze ve věcech spojených se správou, provozem a opravami společných částí domu, popř. vykonávat činnosti v rozsahu tohoto zákona a činnosti související s provozováním společných částí domu, které slouží i jiným fyzickým nebo právnickým osobám. Společenství může nabývat věci, práva, jiné majetkové hodnoty, byty nebo nebytové prostory pouze k účelům uvedeným ve větě první.[17] Společenství vlastníků nesmí podnikat ani se přímo či nepřímo podílet na podnikání nebo jiné činnosti podnikatelů nebo být jejich společníkem nebo členem.[18]

Bytové družstvo je společenství neuzavřeného počtu osob,[19] které může být založeno jen za účelem zajišťování bytových potřeb svých členů, může spravovat domy s byty a provozovat i jinou, avšak pouze doplňkovou činnost.[20]

A v jakých konkrétních oblastech zpracování osobních údajů zpravidla SVJ a BD vyhodnocují svá práva a povinnosti?

• evidence svých členů, jaké údaje lze a jaké nelze evidovat,
• práva a povinnosti sdělovat členům údaje o jiném členovi, včetně zveřejňování dlužníků,
• provoz a správa vstupních čipových systémů, včetně čteček otisků,
• provoz a správa kamerových systémů,
• předávání osobních údajů o členech správcovským společnostem,
• využívání služeb domény druhého řádu, včetně doplňkových marketingových služeb.