Zpracování osobních údajů spolkem. Na co si dát pozor?

13.11.2023

Spolek je právnickou osobou, samosprávným a dobrovolným svazkem členů, jehož hlavní činností je uspokojování a ochrana těch zájmů, k jejichž naplňování byl založen. Podnikání nebo jiná výdělečná činnost nemůže být hlavní činností spolku, avšak může být činností vedlejší, je-li její účel v podpoře hlavní činnosti nebo v hospodárném využití spolkového majetku.

Z výše uvedeného popisu je zřejmé, že spolky se neobejdou bez zpracování osobních údajů. I na ně se ale vztahuje GDPR a další právní předpisy upravující zpracování a ochranu osobních údajů. A musí je dodržovat. 

Identifikace zpracování dat při činnosti spolku

V prvním kroku by si měl každý spolek udělat inventuru činností zpracování osobních údajů, která provádí. Základním nástrojem pro zmapování a zdokumentování zpracování dat jsou záznamy o činnostech zpracování dle článku 30 GDPR. Tyto záznamy obsahují základní informace o prováděném zpracování, jejich příprava a aktualizace proto správci umožní lehčí orientaci ohledně zpracování, která provádí, a následně umožní i prokázat soulad s GDPR. 

Jaké zpracování osobních údajů spolek typicky provádí?

Ve většině případů se budou spolků týkat následující agendy:

  • spolek musí určitým způsobem zpracovávat osobní údaje žadatelů o členství ve spolku, a to za účelem rozhodnutí o (ne)přijetí konkrétního žadatele za člena spolku. Ve většině případů se bude jednat o základní kontaktní informace, informace o důvodech zájmu členství ve spolku a příp. o dalších očekáváních žadatele. Zákonnost (legalita) zpracování osobních údajů žadatelů o členství je podle ÚOOÚ opřena o čl. 6 odst. 1 písm. b) GDPR, když oprávněnost takovéhoto zpracování je dána souhlasem s podmínkami stanov (tedy projevem vůle být vázán stanovami spolku) ve smyslu § 233 odst. 2 občanského zákoníku (NOZ)

  • spolek dále musí zpracovávat osobní údaje členů za účelem umožnění výkonu práv spojených s členstvím ve spolku a zároveň možnosti kontroly plnění povinností plynoucích z členství ve spolku. Právním důvodem takovéhoto zpracovávání osobních údajů je podle ÚOOÚ oprávněný zájem spolku (čl. 6 odst. 1 písm. f) GDPR). Podle autora článku je však tento závěr úřadu poněkud diskutabilní, jelikož v § 214 až § 302 NOZ je možné nalézt mnoho povinností spolku, které spolek nemůže vykonat, aniž by určité osobní údaje členů zpracovával. Většina těchto zpracování by tak měla být naopak opřena o plnění právní povinnosti podle čl. 6 odst. 1 písm. c) GDPR

  • spolek může dále mít zájem na zpracování osobních údajů (bývalých) členů, žadatelů o členství ve spolku či jiných osob (např. dárců) i za účelem zasílání newsletteru, pozvánek na události pořádané spolkem nebo jiných nekomerčních či komerčních sdělení. Tady bude v závislosti od toho, komu je komunikace zasílána a o jakou přesně komunikaci se jedná, nutné opřít předmětné zpracování buď o souhlas subjektu údajů (čl. 6 odst. 1 písm. a) GDPR) nebo o oprávněný zájem spolku (čl. 6 odst. 1 písm. f) GDPR). Je důležité upozornit, že do této kategorie činností zpracování osobních údajů nebudeme řadit sdělení, která je spolek povinen zasílat členům, aby jim umožnil výkon práv spojených s členstvím ve spolku. V takovém případě se jedná o jiné zpracování osobních údajů popsané v předchozím bodě

  • spolek bude zpracovávat osobní údaje subjektů údajů (členů, žadatelů o členství ve spolku, osob, kterým zasílá newslettery apod.) i za účelem vedení evidence žádostí subjektů údajů a způsobu jejich vyřízení. Právním důvodem zpracovávání osobních údajů je oprávněný zájem spolku (čl. 6 odst. 1 písm. f) GDPR). Oprávněný zájem je spatřován v možnosti prokázat soulad postupu spolku s požadavky GDPR

  • spolek bude zároveň zpracovávat osobní údaje členů, žadatelů a příp. dalších osob i pro účely případného hájení vlastních zájmů v soudním, správním či trestním řízení. Právním důvodem zpracovávání osobních údajů je oprávněný zájem spolku (čl. 6 odst. 1 písm. f) GDPR). Oprávněný zájem lze spatřovat v možnosti ochrany práv spolku např. v případě, že se člen bude domnívat, že mu nebyl umožněn výkon jeho práv, žadatel o členství ve spolku se bude domnívat, že rozhodnutí o jeho nepřijetí za člena je diskriminační nebo např. příjemce newsletteru se bude domnívat, že spolek neměl jeho řádný souhlas k zaslání newsletteru

  • spolek je pak dále povinen zpracovávat účetní doklady a záznamy a daňové doklady v souladu s předmětnými zákony (účetnictví, daně, čerpání podpory z veřejných zdrojů), přičemž tyto doklady mohou v určitých situacích rovněž obsahovat osobní údaje některých subjektů údajů. Právním důvodem předmětného zpracovávání osobních údajů je splnění právní povinnosti, která se na správce vztahuje (čl. 6 odst. 1 písm. c) GDPR)

  • pokud má spolek zaměstnance, pak musí provádět všechna typická zpracování osobních údajů, která jsou spojená s HR agendou

  • když spolek podniká nebo vykonává jinou výdělečnou činnost, musí rovněž provádět všechna typická zpracování osobních údajů, která provádí podnikající osoby ve vztahu ke svým zákazníkům a příp. dodavatelům či jiným obchodním partnerům

Hlavní GDPR pravidla pro neziskové organizace

U všech výše popsaných činností í spolek postupovat v souladu se základními principy GDPR. Především je povinen jednotlivá zpracování osobních údajů nastavit tak, aby sbíral jenom nezbytné množství osobních údajů. Osobní údaje může pak zpracovávat jenom pro výslovně vyjádřené a legitimní účely a nesmí je dále zpracovávat způsobem, který je s těmito účely neslučitelný.

Výmaz osobních údajů

Spolek zároveň musí, jako každý další správce, nastavit retenční lhůty a po uplynutí těchto retenčních lhůt předmětné osobní údaje smazat či anonymizovat a zničit fyzické nosiče údajů (např. skartovat dokumenty). Retenční lhůty se přitom budou v neziskovém sektoru obvykle odvíjet zejména od těchto faktorů:

  • retenční lhůta pro zpracování osobních údajů členů za účelem umožnění výkonu práv spojených s členstvím ve spolku a zároveň možnosti kontroly plnění povinností plynoucích z členství ve spolku bude stanovena jako doba, po kterou je konkrétní osoba členem spolku

  • retenční lhůta pro zpracování osobních údajů za účelem zasílání newsletteru bude stanovena jako doba, po kterou je subjektu údajů newsletter zasílán, tedy např. do chvíle, kdy spolek ukončí zasílání newsletteru nebo subjekt údajů odvolá svůj souhlas či podá námitku

  • v případě účetních dokladů a záznamů a daňových dokladů se bude retenční lhůta odvíjet od lhůty pro povinné uchování podkladů dle příslušných zákonů

  • při obhajobě vlastních zájmů v soudním, správním či trestním řízení se bude retenční lhůta odvíjet od zákonem stanovených promlčecích lhůt

Jak poskytovat informace o zpracování osobních údajů spolkem?

Spolek musí o jednotlivých zpracováních osobních údajů informovat dotčené subjekty údajů. Je proto povinen srozumitelnou a přehlednou formou poskytnout informace o zpracování v rozsahu podle čl. 13 a 14 GDPR, a to jak vůči žadatelům o členství ve spolku, členům, subjektům údajů, kteří udělili souhlas s určitým typem komunikace či kterým je určitá komunikace zasílána na základě oprávněného zájmu, a příp. zaměstnancům, zákazníkům či dodavatelům.

Zabezpečení osobních údajů

Spolek by samozřejmě neměl zapomenout ani na základní zásady bezpečnosti. Spolek, jako každý jiný správce osobních údajů, je povinen s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provést vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku.

Zdroj: gdpr.cz