Ochrana osobních údajů (GDPR)
Zásady zpracování osobních údajů členů SVJ Šípková
Správce osobních údajů
Společenství vlastníků jednotek Šípková
domů č.p. 1866, 1867, 1868 a 1869 v Praze 4 Krči
IČO: 05092019
Kontakt: svjsipkova.praha@seznam.cz
1. Účel zpracování
Webový portál SVJ Šípková je interní informační systém určený výhradně členům společenství vlastníků jednotek a oprávněným pracovníkům. Zpracování osobních údajů probíhá za těmito účely:
- Správa členských účtů a ověřování totožnosti při přihlášení
- Komunikace se členy (e-mailová nástěnka, hromadné e-maily, SMS notifikace)
- Evidence hlasování vlastníků na členských schůzích a v anketách (hlasování per rollam)
- Vedení výkazů práce externích pracovníků SVJ včetně odměňování
- Poskytování přístupu k interním dokumentům (faktury, výpisy, smlouvy, změnové listy)
- Provoz diskuzního fóra pro členy
- Zajištění bezpečnosti a auditní sledovatelnosti přístupu k citlivým dokumentům
2. Právní základ zpracování
Zpracování osobních údajů se opírá o tyto právní tituly ve smyslu čl. 6 nařízení GDPR (EU) 2016/679:
- Plnění zákonné povinnosti — správa SVJ a vedení evidence členů vyplývá ze zákona č. 89/2012 Sb. (občanský zákoník) a zákona č. 67/2013 Sb.
- Oprávněný zájem správce — bezpečný provoz interního informačního systému, ochrana majetku SVJ a komunikace se členy
- Souhlas subjektu údajů — pro zpracování nad rámec zákonné povinnosti (SMS notifikace, přístup k portálu) uděluje každý člen souhlas při prvním přihlášení
3. Kategorie zpracovávaných údajů
| Kategorie údajů | Konkrétní údaje | Účel |
|---|---|---|
| Identifikační | Jméno a příjmení, uživatelské jméno | Přihlášení, komunikace |
| Kontaktní | E-mailová adresa, telefonní číslo (MSISDN) | E-mailové notifikace, SMS 2FA při hlasování per rollam |
| Vlastnické | Číslo vchodu, spoluvlastnický podíl | Hlasování, přidělení přístupu k dokumentům |
| Pracovní | Výkazy práce, hodinové sazby, typ spolupráce | Pouze pro uživatele s rolí Pracovník SVJ |
| Přístupové | Datum a čas přihlášení, IP adresa (rate-limit), log přístupu k dokumentům | Bezpečnost, auditní sledovatelnost |
4. Přístup k údajům a řízení přístupu (ACL)
Systém uplatňuje přísné řízení přístupu dle role uživatele:
- Administrátor — plný přístup ke správě členů, dokumentům, výkazům a nastavení systému
- Výbor / Kontrolní komise — přístup k interním dokumentům určeným výboru (faktury, smlouvy, výpisy)
- Vlastník jednotky — přístup výhradně ke svým osobním dokumentům a dokumentům pro všechny vlastníky
- Pracovník SVJ — přístup k vlastnímu výkazu práce; administrátor má přístup k výkazům všech pracovníků za účelem uzavření měsíčního výkazu a výpočtu odměny
Dokumenty uložené v systému (faktury, výpisy z účtu, smlouvy, změnové listy) jsou přístupné výhradně přes autentizovaný HTTP endpoint s kontrolou oprávnění. Přímý přístup k souborům na serveru je blokován na úrovni webového serveru (.htaccess Require all denied). Každý přístup k dokumentu je zaznamenán v auditním logu.
5. Automatizované zpracování a e-mailový agent
Systém provozuje automatizovaného e-mailového agenta, který čte schránku výboru SVJ, klasifikuje příchozí zprávy pomocí AI a připravuje drafty odpovědí na dotazy nebo vytváří úkoly pro Výbor SVJ. V rámci tohoto zpracování mohou být zpracovány e-mailové adresy odesílatelů. Zpracování probíhá na základě oprávněného zájmu správce (efektivní správa komunikace SVJ).
6. SMS komunikace
Telefonní čísla (MSISDN) jsou zpracovávána výhradně pro:
- Dvoufaktorové ověření při hlasování per rollam (jednorázový SMS kód)
- Hromadné SMS notifikace rozesílané administrátorem členům SVJ
SMS jsou odesílány prostřednictvím služby SMSManager.cz. Stavové záznamy doručení (bez textu zprávy) jsou uchovávány v systému po dobu 1 roku.
7. Příjemci osobních údajů
Osobní údaje nejsou předávány třetím stranám s výjimkou:
- Poskytovatel hostingu (Unihost.cz) — jako zpracovatel dat zajišťující provoz serveru a databáze na území EU
- SMSManager.cz — jako zpracovatel pro odesílání SMS (předává se pouze telefonní číslo příjemce)
- Poskytovatel AI služeb (Groq / Anthropic) — pro provoz e-mailového agenta; zpracovávají se pouze anonymizované dotazy bez osobních identifikátorů tam, kde je to možné
Všichni zpracovatelé jsou vázáni smlouvou o zpracování osobních údajů a splňují požadavky GDPR.
8. Doba uchovávání
- Členský účet a profil — po dobu členství v SVJ; po zániku členství nebo zrušení účtu jsou údaje vymazány do 1 roku
- Auditní log přístupu k dokumentům — 1 rok od záznamu
- Výkazy práce — po dobu zákonné archivační lhůty (min. 3 roky dle zákoníku práce a daňových předpisů)
- Záznamy o přihlašování (rate-limit) — automaticky mazány po 24 hodinách
- Záznamy SMS doručení — 1 rok
9. Zabezpečení
Správce přijal tato technická a organizační opatření k ochraně osobních údajů:
- Přenos dat šifrován protokolem HTTPS (TLS)
- Hesla ukládána výhradně jako bcrypt hash (nikdy v čitelné podobě)
- Přihlašování chráněno rate limitingem (max. 3 pokusy / 15 minut)
- Automatické odhlášení po 30 minutách nečinnosti, absolutní limit session 8 hodin
- Přímý přístup k souborům na serveru zablokován, veškerý přístup k dokumentům přes autentizovaný PHP endpoint s auditním logem
- CSRF ochrana na všech formulářích měnících data
10. Práva subjektů údajů
V souladu s GDPR máte právo:
- Na přístup — požádat o informaci, jaké údaje o vás zpracováváme
- Na opravu — požádat o opravu nepřesných nebo neúplných údajů
- Na omezení zpracování — v případech stanovených GDPR
- Vznést námitku — proti zpracování na základě oprávněného zájmu
- Podat stížnost — k Úřadu pro ochranu osobních údajů (www.uoou.cz)
Žádosti zasílejte na: svjsipkova.praha@seznam.cz
11. Aktualizace zásad
Správce si vyhrazuje právo tyto zásady aktualizovat. O podstatných změnách budou členové informováni prostřednictvím nástěnky portálu nebo e-mailem.
Dokument platný od: 1. 6. 2025 · Správce: Společenství vlastníků jednotek Šípková, IČO 05092019