Snad neexistuje osoba, která by si nebyla vědoma, že ode dne 25. 5. 2018 je účinné nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále také jako „GDPR“), které zavedlo nová pravidla pro ochranu osobních údajů. Pojem zpracování zahrnuje „jakoukoliv operaci nebo soubor operací s osobními údaji, která je prováděna pomocí či bez pomoci automatizovaných postupů.“[1] Bez zpracování osobních údajů by nemohla žádná osoba podnikat. Realitní kancelář a realitní makléř (dále také jako „Kancelář“) zpracovávají osobní údaje každý den. Cílem tohoto článku je tedy upozornit na nejčastější pochybení při zpracování osobních údajů v realitní praxi. Úprava v GDPR stojí na základních zásadách, jež představují soubor pravidel, které by měly být při zpracování osobních údajů dodržovány. Jednu z nejdůležitějších zásad představuje zásada minimalizace údajů.[2] Její podstatou je omezení zpracování pouze na ty osobní údaje, které jsou pro daný případ relevantní, a to v rozsahu nezbytném pro naplnění účelu zpracování. Osobní údaje, resp. dokumenty obsahující osobní údaje, by zároveň měly být uchovávány pouze na omezeném množství uložišť, které jsou nezbytně nutné (např. je nadbytečné, aby se smlouva obsahující osobní údaje nacházela v e-mailu, na pevném disku počítače, nahraná v interním softwaru, na flash disku, uložená v šuplíku stolu, a ještě uložená ve třech skříních). Obecně lze říci, že větší množství zpracovávaných osobních údajů a úložišť představuje riziko z pohledu potencionálního úniku. Dále pak v případě uplatněných práv osob (subjektu údajů) se ve velkém množství úložišť špatně vyhledává. Současně platí, že k čím rozsáhlejšímu a citlivějšímu zpracování dochází, tím vyšší by měla být úroveň jeho zabezpečení. Pro Kancelář je důležité, aby měla veškerou dokumentaci, se kterou v rámci své činnosti pracuje, v souladu s GDPR. K tomu je zapotřebí, aby přijala zejména směrnici na ochranu osobních údajů, bezpečnostní směrnici a zásady zpracování osobních údajů, proškolila své zaměstnance, nastavila procesy zpracování a se všemi zpracovateli uzavřela zpracovatelskou smlouvu či dodatek. V opačném případě hrozí Kanceláři sankce. GDPR zavádí několikanásobně vyšší pokuty, než jsme byli doposud zvyklí. Maximální výše pokuty je stanovena horní hranicí 20.000.000 € nebo 4 % z celkového ročního obratu společnosti (vždy dle toho, která částka je vyšší).[3] Konečná výše pokuty je však v dikci dozorového orgánu, který ji stanovuje individuálně s ohledem na rozsah porušení povinností. Dozorovým orgánem je v České republice Úřad pro ochranu osobních údajů. Kancelář musí vždy náležitě identifikovat své klienty, přičemž tato povinnost jí mimo jiné vyplývá ze zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu (dále také jako „AML“)[4]. Mezi osobní údaje, jejichž znalost je dostatečná pro identifikaci osob, patří jméno, příjmení, datum narození a adresa trvalého bydliště. Kombinace těchto osobních údajů zabezpečuje jedinečnou identifikaci dané osoby a v takřka každém případě vylučuje možnost jakékoliv záměny osob. V některých případech je však nezbytné, aby Kancelář zpracovávala další osobní údaje, které jsou potřebné pro určitý smluvní závazek.[5] Poněkud problematickou otázku představuje uvádění rodného čísla na smluvní dokumentaci. Rodné číslo představuje údaj, kterému je potřeba věnovat zvýšenou pozornost, a to i přes to, že jej GDPR neřadí do zvláštní kategorie osobních údajů[6]. Rodné číslo je jedinečným identifikátorem fyzické osoby a jako osobní údaj je možné jej používat pouze se souhlasem fyzické osoby nebo pouze tam, kde to vyžaduje zákon[7]. Vkladem se do katastru nemovitostí zapisuje vznik, změna, zánik, promlčení a uznání existence nebo neexistence vlastnického či jiného práva.[8] Návrh, kterým se zahajuje vkladové řízení, v jehož rámci právo vzniká, mění se, rozšiřuje, případně pak zaniká nebo se omezuje, musí obsahovat mimo jiné označení účastníků vkladového řízení. U účastníků, fyzických osob, se v návrhu uvádí osobní údaje v rozsahu jména, příjmení, adresy místa trvalého pobytu a rodného čísla (v případě, kdy rodné číslo není přiděleno, je toto nahrazeno datem narození).[9] Z daného vyplývá, že smluvní dokumentace, na základě které dochází k jakémukoliv zcizení vlastnického práva, musí obsahovat rodná čísla účastníků na základě zákonné povinnosti. Příkladem takovou smluvní dokumentací může být například smlouva kupní, darovací či směnná. Naproti tomu však v případě smluvní dokumentace, kterou nedochází k nakládání s vlastnickým právem, typicky pak u nájemních smlouvách, rezervačních smluv či zprostředkovatelských smluv, je uvádění rodného čísla nadbytečné a v rozporu se základními zásadami GDPR. V praxi realitních makléřů často dochází k pořizování kopií občanských průkazů, řidičských průkazů či cestovních pasů (dále také jako „Průkaz totožnosti“). Představa o oprávněnosti tohoto pořizování vychází z mylného pochopení ustanovení AML. Realitní makléř je osobou povinnou identifikovat klienta dle AML, kdy u fyzických osob musí ověřit jména, příjmení, rodné číslo, datum a místo narození, pohlaví, trvalý nebo jiný pobyt a státní občanství.[10] Veškeré tyto informace poskytují výše uvedené Průkazy totožnosti. Realitní makléř je tak oprávněn potřebné údaje z Průkazu totožnosti ověřit, k čemuž však postačí pouhé nahlédnutí. Nadbytečné kopírování Průkazů totožnosti tak není v souladu s GDPR. Je pravdou, že AML v sobě zakotvuje možnost povinné osoby pořizovat kopie Průkazu totožnosti, nicméně to je v praxi Kanceláří možné pouze v případě, kdy jsou splněny podmínky tzv. podezřelého obchodu. Komentář k AML však říká, že pro tuto kopii je vždy nezbytně nutné mít souhlas subjektu údajů[11], naopak praxe považuje souhlas za nadbytečný. Jakou cestou se vydá rozhodovací praxe je však velkou neznámou. Držení kopií Průkazu totožnosti pak přináší bezpečnostní rizika ve vztahu k jejich případnému zcizení či ztrátě. Kopie Průkazu totožnosti je dostačujícím podkladem pro vyřízení některých úvěrů. V případě ztráty či zcizení kopie a jejího následného zneužití, by mohl realitní makléř, který kopii měl či má, čelit případným sporům z důvodu potencionálního zneužití poskytnutého Průkazu totožnosti. GDPR klade velký důraz také na bezpečnost zpracovávaných údajů. Zásada integrity a důvěrnosti[12] vyplývá z obecné zásady, označované jako CIA.[13] Podle této zásady by osobní údaje měly zůstat po celou dobu zpracování důvěrné, tudíž by se neměly dostat do nesprávných rukou. V rozporu s touto zásadou je praxe některých realitních makléřů. Jednotlivé podklady ke smlouvám se mnohdy volně nacházejí nejen v prostorách Kanceláře, nýbrž také například ve vozidle makléře. Tyto podklady zůstávají běžně bez jakéhokoliv zabezpečení, což přináší vysoké riziko jejich ztráty a zneužití. Bezpečnostní směrnicí by tyto praktiky měly být zakázány, neboť hrozby pokuty se vystavuje nejenom konkrétní makléř, ale také Kancelář. Za účelem souladu s GDPR je potřeba omezit zpracování osobních údajů nejen rozsahem a účelem, ale také dobou zpracování.[14] Objektivní promlčecí lhůta pro uplatnění případných nároků, shodně jako zákonná doba pro evidenci listin dle AML, činí 10 let. S ohledem na to je tak možné nastavit retenční dobu[15] v maximální délce 10 let od posledního kontaktu s klientem (uzavření smlouvy, ukončení sporu apod.). Kancelář je tak povinna nastavit interní systém retenčních dob tak, aby splňoval požadavky GDPR a docházelo k pravidelnému aktualizování, protřiďování a případnému archivování či skartování dokumentace.
Nová pravidla, která přinesla úprava GDPR, neznamenají revoluci, nýbrž evoluci na poli zpracování osobních údajů. Cílem GDPR, jak vyplývá z jeho názvu, je ochrana osobních údajů, to však neznamená, že by přestaly existovat veřejné rejstříky a nebylo by tedy možné využívat katastr nemovitostí a pořizovat listy vlastnictví. Je vždy potřeba zpracovávat potřebné osobní údaje jen k danému účelu a tedy je nezneužívat. Kanceláře, stejně jako většina společností, zpracovávají osobní údaje v rozsahu nezbytném pro samotnou činnost podnikání a měly by se vyvarovat nadbytečnému shromažďování nepotřebných údajů. Kanceláře by se měly naprosto vyvarovat zpracování osobních údajů spadajících do zvláštní kategorie osobních údajů, tedy zejména osobních údajů o zdravotním stavu, sexuální orientaci, politických názorech, náboženskému vyznání, členství v odborech, biometrice apod.[16] S ohledem na sankce, které při porušování pravidel dle GDPR Kancelářím hrozí, je podstatné, aby měly veškerou dokumentaci v souladu s úpravou v GDPR a tuto úpravu respektovaly. Mezi subjekty údajů, kterých se zpracování Kancelářemi týká, řadíme samozřejmě klienty Kanceláře. Kanceláře zpracovávají o svých klientech širokou škálu osobních údajů. Rozsah těchto údajů se liší s ohledem na účel dané smlouvy. Smlouvy, které slouží jako podklad pro návrhy na vklad do katastru nemovitostí, musí obsahovat i rodné číslo. Uvádění rodného čísla na ostatních dokumentech, které k nakládání s vlastnickým právem neslouží, je v rozporu se zásadou minimalizace dle GDPR. Běžnou praxí Kanceláří je také pořizování kopií Průkazů totožností. Z hlediska GDPR ani AML však pro takový postup ve většině případů neexistuje žádná zákonná licence. Kopii Průkazu totožnosti by bylo možné pořídit pouze v případě tzv. podezřelého obchodu. Osoba pořizující kopii Průkazu totožnosti se tím však vystavuje riziku neoprávněného užití kopie v případě jejího ztracení. Je tedy na zvážení Kanceláře, případně konkrétního makléře, zda pořizování kopie Průkazu totožnosti je nezbytná, a to s ohledem na možná rizika související i s případnou ztrátou Průkazu totožnosti.
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). In: EUR-Lex [právní informační systém]. Úřad pro publikace Evropské unie [cit. 28. 8. 2018]. Dostupné z: https://eur-lex.europa.eu/legal-content/CS/TXT/PDF/?uri=CELEX:32016R0679 NULÍČEK, M., DONÁT, J., NONNEMANN, F., LICHNOVSKÝ B., TOMÍŠEK, J., KOVAŘÍKOVÁ, K. GDPR. Obecné nařízení o ochraně osobních údajů. Praktický komentář. 2. vydání. Praha: Wolters Kluwer ČR, 2018, 580 s. ISBN 978-80-7598-068-7. European Data Protection Supervisor. Guidelines [online]. © EDPS [cit. 29. 8. 2018]. Dostupné https://edps.europa.eu/data-protection/our-work/our-work-by-type/guidelines_en Úřad pro ochranu osobních údajů. GDPR (obecné nařízení) [online]. Copyright © 2013 Úřad pro ochranu osobních údajů. [cit. 27. 8. 2018]. Dostupné z: https://www.uoou.cz/gdpr-obecne-narizeni/ds-3938/p1=3938 Tvrdý, J., Vavrušková, A. Zákon o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu. 2. vydání. Praha: C. H. Beck, 2018, 581 s. Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů, ve znění pozdějších předpisů Zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu, ve znění pozdějších předpisů Zákon č. 133/2000 Sb. o evidenci obyvatel a rodných číslech a o změně některých zákonů, ve znění pozdějších předpisů Zákon č. 256/2013 Sb. o katastru nemovitostí, ve znění pozdějších předpisů [1] Dle čl. 4 odst. 2 GDPR se zpracováním rozumí zejména shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení osobních údajů. [2] Zásadu minimalizace údajů upravuje čl. 5 odst. 1 písm. c) GDPR. [3] Čl. 83 odst. 6 GDPR. [4] § 2 odst. 1 písm. d) AML [5] Právní důvod (tzv. licenci) pro zpracování osobních údajů v případě smluvních vztahů představuje licence tzv. plnění smlouvy. [6] Článek 9 GDPR [7] § 13 a §13c zákona č. 133/2000 Sb. o evidenci obyvatel a rodných číslech a o změně některých zákonů, ve znění pozdějších předpisů [8] Dle § 11 odst. 1 zákona č. 256/2013 Sb. o katastru nemovitostí, ve znění pozdějších předpisů se jedná o vlastnické právo, právo stavby, věcné břemeno, zástavní právo, budoucí zástavní právo, podzástavní právo, předkupní právo, budoucí výměnek, přídatné spoluvlastnictví, správu svěřenského fondu, výhradu vlastnického práva, výhradu práva zpětné koupě, výhradu práva zpětného prodeje, zákaz zcizení nebo zatížení, výhradu práva lepšího kupce, ujednání o koupi na zkoušku, nájem, požádá-li o to vlastník nebo nájemce se souhlasem vlastníka, pacht, požádá-li o to vlastník nebo pachtýř se souhlasem vlastníka a vzdání se práva na náhradu škody na pozemku. [9] 14 odst. 1. písm. b) zákona č. 256/2013 Sb., o katastru nemovitostí. [10] § 5 odst. 1 písm. a) AML [11] § 8 odst. 9 AML. Tvrdý, J., Vavrušková, A. Zákon o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu. 2. vydání. Praha: C. H. Beck, 2018, s. 48 - 57 [12] Zásadu integrity a důvěrnosti upravuje čl. 5 odst. 1 písm. f) GDPR. [13] Podstatou zásady CIA jsou tři základní podmínky bezpečného nakládání s údaji, a to Důvěrnost (Confidentiality), Integrita (Integrity) a Dostupnost (Availability). K tomuto více např. na https://www.difenda.com/blog/what-is-the-cia-triangle-and-why-is-it-important-for-cybersecurity-management. [14] Zásadu omezení uložení upravuje čl. 5 odst. 1. písm. e) GDPR. [15] Retenční dobou se rozumí doba uchování dokumentace. [16] Čl. 9 GDPR