Kontrola byla zahájena na základě stížnosti. Kontrolou bylo zjištěno, že kontrolovaná osoba zveřejňovala prostřednictvím vzdáleného přístupu do úložiště všechny dokumenty vzniklé v rámci činnosti SVD, které obsahovaly osobní údaje, přičemž tyto dokumenty nebyly nezbytné pro uplatnění práv a povinností člena SVD dle § 1175 a násl. zákona č. 89/2012 Sb., občanský zákoník, jako je jméno (název), číslo běžného účtu, název banky, případně SIPO, plátce a příjemce.
Kontrolované SVD tedy porušilo zásadu zpracování osobních údajů uvedenou v čl. 5 odst. 1 písm. c) nařízení (EU) 2016/679, tedy že osobní údaje musí být zpracovány přiměřeně a omezeně na nezbytný rozsah k účelu, pro který jsou zpracovávány. Zveřejňováním osobních údajů stěžovatelky a jejích rodinných příslušníků došlo též k porušení čl. 6 odst. 1 nařízení (EU) 2016/679. Současně bylo prokázáno, že SVD umožnilo přístup ke svým webovým stránkám nejen pouze svým členům, ale i nezjištěnému počtu třetích osob a současně nezajistilo logování přístupů.
Kontrolovaná osoba provedla nápravu nedostatků v průběhu řízení o opatřeních k nápravě.
Doplňující informace:
Při správě agendy vlastníků jednotek či družstva je nutné zajistit, aby se s příslušnými dokumenty mohly seznamovat pouze oprávněné osoby, přičemž osobní údaje mohou být v takových případech poskytovány či zpřístupňovány jen, pokud je k tomu dán věcný a právní důvod (např. oprávnění vlastníků či členů se seznámit s konkrétními dokumenty). Není však přípustné volně publikovat a vyvěšovat dokumenty, týkající se individuálních záležitostí, pohledávek a sporů, obsahující osobní údaje vlastníků či nájemců. Běžnému zpřístupňování osobních údajů (např. kontaktních údajů na správce domu, na výbor) pravidla pro zpracování osobních údajů nebrání.
