Sportovní kluby, myslivci, zájmová sdružení: Všichni zpracovávají osobní údaje
Spolek je právnickou osobou, samosprávným a dobrovolným svazkem členů, jehož hlavní činností je uspokojování a ochrana těch zájmů, k jejichž naplňování byl založen. Podnikání nebo jiná výdělečná činnost nemůže být hlavní činností spolku, avšak může být činností vedlejší, je-li její účel v podpoře hlavní činnosti nebo v hospodárném využití spolkového majetku.
Mezi spolky můžeme typicky najít sportovní kluby, volnočasová sdružení pro děti a mládež, myslivecká sdružení, poskytovatele sociálních služeb či vzdělávacích aktivit.
Z výše uvedeného popisu je zřejmé, že spolky se neobejdou bez zpracování osobních údajů. Ve většině případů, pokud se nebavíme např. o mezinárodním spolku se stovkami zaměstnanců, nelze zpracování dat prováděné spolky srovnávat s takovými správci jako jsou např. banky, nemocnice či poskytovatelé služeb elektronických komunikací. I na ně se ale vztahuje GDPR a další právní předpisy upravující zpracování a ochranu osobních údajů. A musí je dodržovat.
Identifikace zpracování dat při činnosti spolku
V prvním kroku by si měl každý spolek udělat inventuru činností zpracování osobních údajů, která provádí. Základním nástrojem pro zmapování a zdokumentování zpracování dat jsou záznamy o činnostech zpracování dle článku 30 GDPR. Tyto záznamy obsahují základní informace o prováděném zpracování, jejich příprava a aktualizace proto správci umožní lehčí orientaci ohledně zpracování, která provádí, a následně umožní i prokázat soulad s GDPR.
Minimální rozsah záznamů o činnostech zpracování je uveden v článku 30 odst. 1 GDPR:
jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů
účely zpracování
popis kategorií subjektů údajů a kategorií osobních údajů
kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích (např. mezinárodní sportovní svaz)
informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace
je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů
je-li to možné, obecný popis technických a organizačních bezpečnostních opatření
Jaké zpracování osobních údajů spolek typicky provádí?
Ve většině případů se budou spolků týkat následující agendy:
spolek musí určitým způsobem zpracovávat osobní údaje žadatelů o členství ve spolku, a to za účelem rozhodnutí o (ne)přijetí konkrétního žadatele za člena spolku. Ve většině případů se bude jednat o základní kontaktní informace, informace o důvodech zájmu členství ve spolku a příp. o dalších očekáváních žadatele. Zákonnost (legalita) zpracování osobních údajů žadatelů o členství je podle ÚOOÚ opřena o čl. 6 odst. 1 písm. b) GDPR, když oprávněnost takovéhoto zpracování je dána souhlasem s podmínkami stanov (tedy projevem vůle být vázán stanovami spolku) ve smyslu § 233 odst. 2 občanského zákoníku (NOZ)
spolek dále musí zpracovávat osobní údaje členů za účelem umožnění výkonu práv spojených s členstvím ve spolku a zároveň možnosti kontroly plnění povinností plynoucích z členství ve spolku. Právním důvodem takovéhoto zpracovávání osobních údajů je podle ÚOOÚ oprávněný zájem spolku (čl. 6 odst. 1 písm. f) GDPR). Podle autora článku je však tento závěr úřadu poněkud diskutabilní, jelikož v § 214 až § 302 NOZ je možné nalézt mnoho povinností spolku, které spolek nemůže vykonat, aniž by určité osobní údaje členů zpracovával. Většina těchto zpracování by tak měla být naopak opřena o plnění právní povinnosti podle čl. 6 odst. 1 písm. c) GDPR
spolek může dále mít zájem na zpracování osobních údajů (bývalých) členů, žadatelů o členství ve spolku či jiných osob (např. dárců) i za účelem zasílání newsletteru, pozvánek na události pořádané spolkem nebo jiných nekomerčních či komerčních sdělení. Tady bude v závislosti od toho, komu je komunikace zasílána a o jakou přesně komunikaci se jedná, nutné opřít předmětné zpracování buď o souhlas subjektu údajů (čl. 6 odst. 1 písm. a) GDPR) nebo o oprávněný zájem spolku (čl. 6 odst. 1 písm. f) GDPR). Je důležité upozornit, že do této kategorie činností zpracování osobních údajů nebudeme řadit sdělení, která je spolek povinen zasílat členům, aby jim umožnil výkon práv spojených s členstvím ve spolku. V takovém případě se jedná o jiné zpracování osobních údajů popsané v předchozím bodě
spolek bude zpracovávat osobní údaje subjektů údajů (členů, žadatelů o členství ve spolku, osob, kterým zasílá newslettery apod.) i za účelem vedení evidence žádostí subjektů údajů a způsobu jejich vyřízení. Právním důvodem zpracovávání osobních údajů je oprávněný zájem spolku (čl. 6 odst. 1 písm. f) GDPR). Oprávněný zájem je spatřován v možnosti prokázat soulad postupu spolku s požadavky GDPR
spolek bude zároveň zpracovávat osobní údaje členů, žadatelů a příp. dalších osob i pro účely případného hájení vlastních zájmů v soudním, správním či trestním řízení. Právním důvodem zpracovávání osobních údajů je oprávněný zájem spolku (čl. 6 odst. 1 písm. f) GDPR). Oprávněný zájem lze spatřovat v možnosti ochrany práv spolku např. v případě, že se člen bude domnívat, že mu nebyl umožněn výkon jeho práv, žadatel o členství ve spolku se bude domnívat, že rozhodnutí o jeho nepřijetí za člena je diskriminační nebo např. příjemce newsletteru se bude domnívat, že spolek neměl jeho řádný souhlas k zaslání newsletteru
spolek je pak dále povinen zpracovávat účetní doklady a záznamy a daňové doklady v souladu s předmětnými zákony (účetnictví, daně, čerpání podpory z veřejných zdrojů), přičemž tyto doklady mohou v určitých situacích rovněž obsahovat osobní údaje některých subjektů údajů. Právním důvodem předmětného zpracovávání osobních údajů je splnění právní povinnosti, která se na správce vztahuje (čl. 6 odst. 1 písm. c) GDPR)
pokud má spolek zaměstnance, pak musí provádět všechna typická zpracování osobních údajů, která jsou spojená s HR agendou
když spolek podniká nebo vykonává jinou výdělečnou činnost, musí rovněž provádět všechna typická zpracování osobních údajů, která provádí podnikající osoby ve vztahu ke svým zákazníkům a příp. dodavatelům či jiným obchodním partnerům
Hlavní GDPR pravidla pro neziskové organizace
U všech výše popsaných činností í spolek postupovat v souladu se základními principy GDPR. Především je povinen jednotlivá zpracování osobních údajů nastavit tak, aby sbíral jenom nezbytné množství osobních údajů. Osobní údaje může pak zpracovávat jenom pro výslovně vyjádřené a legitimní účely a nesmí je dále zpracovávat způsobem, který je s těmito účely neslučitelný.
Osobní údaje zpracovávané spolkem musí být přesné a v případě potřeby aktualizované (v rámci rozumných možností spolku).
Spolek rovněž nesmí zapomenout uzavřít smlouvy o zpracování údajů podle čl. 28 GDPR, pokud bude pro jednotlivá zpracování osobních údajů využívat zpracovatele, např. externí účtárnu, archiv nebo poskytovatele cloudového řešení.
Výmaz osobních údajů
Spolek zároveň musí, jako každý další správce, nastavit retenční lhůty a po uplynutí těchto retenčních lhůt předmětné osobní údaje smazat či anonymizovat a zničit fyzické nosiče údajů (např. skartovat dokumenty). Retenční lhůty se přitom budou v neziskovém sektoru obvykle odvíjet zejména od těchto faktorů:
retenční lhůta pro zpracování osobních údajů členů za účelem umožnění výkonu práv spojených s členstvím ve spolku a zároveň možnosti kontroly plnění povinností plynoucích z členství ve spolku bude stanovena jako doba, po kterou je konkrétní osoba členem spolku
retenční lhůta pro zpracování osobních údajů za účelem zasílání newsletteru bude stanovena jako doba, po kterou je subjektu údajů newsletter zasílán, tedy např. do chvíle, kdy spolek ukončí zasílání newsletteru nebo subjekt údajů odvolá svůj souhlas či podá námitku
v případě účetních dokladů a záznamů a daňových dokladů se bude retenční lhůta odvíjet od lhůty pro povinné uchování podkladů dle příslušných zákonů
při obhajově vlastních zájmů v soudním, správním či trestním řízení se bude retenční lhůta odvíjet od zákonem stanovených promlčecích lhůt
Jak poskytovat informace o zpracování osobních údajů spolkem?
Spolek musí o jednotlivých zpracováních osobních údajů informovat dotčené subjekty údajů. Je proto povinen srozumitelnou a přehlednou formou poskytnout informace o zpracování v rozsahu podle čl. 13 a 14 GDPR, a to jak vůči žadatelům o členství ve spolku, členům, subjektům údajů, kteří udělili souhlas s určitým typem komunikace či kterým je určitá komunikace zasílána na základě oprávněného zájmu, a příp. zaměstnancům, zákazníkům či dodavatelům.
Zejména u neziskových organizací, které provádějí zpracování dat ve větším měřítku, lze doporučit, aby informační povinnost plnily separátně, odlišnými dokumenty o zpracování osobních údajů pro různé kategorie dotčených osob. A to právě z důvodu přehlednosti a srozumitelnosti.
Zabezpečení osobních údajů
Spolek by samozřejmě neměl zapomenout ani na základní zásady bezpečnosti. Spolek, jako každý jiný správce osobních údajů, je povinen s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provést vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku.
Z uvedeného je zřejmé, že běžný spolek nemusí investovat velké peníze do technických opatření, nemusí tedy nakupovat drahý hardware a software, kterým by chránil osobní údaje subjektů údajů. Postavení spolku je v otázce zabezpečení osobních údajů hodně odlišné od postavení např. banky či poskytovatele služeb elektronických komunikací, protože ve velké většině případů zpracovává údaje menšího množství subjektů údajů, a navíc zpracovává odlišné kategorie osobních údajů. U amatérského sportovního klubu můžeme očekávat, že vede databázi obsahující základní kontaktní údaje několika desítek (v případě většího klubu několika stovek) členů a informace o jejich účasti na trénincích a zápasech/soutěžích a plnění povinnosti platit členský příspěvek. Únik dané databáze nepředstavuje stejné riziko, jako únik informací z banky o jednotlivých finančních transakcích jejich klientů (jejichž množství je možné počítat na statisíce), a to zejména z toho důvodu, že závažnost potenciální újmy je v prvním případě mnohem nižší. A i pokud závažnost potenciální újmy je nižší než u banky, tak pořád k určité újmě může dojít a spolek nemůže zcela rezignovat na ochranu osobních údajů, které zpracovává.
Spolek však musí brát ohled na to, jaké osobní údaje zpracovává a v jakém rozsahu se odpovídající úroveň zabezpečení dá dosáhnout i běžně dostupnými technickými prostředky. Co se týče organizačních opatření, tak tato u spolků vyžadují spíše vůli je zavézt do praxe a zodpovědný přístup než vysoké finanční investice.
Mezi technická a organizační opatření, která může spolek obvykle přijmout, patří např.:
autorizovaný přístup k osobním údajů,
nastavení přístupových oprávnění do systémů, ve kterých jsou údaje uloženy,
automatické uzamykání zařízení pro ukládání nosičů osobních údajů,
bezpečnostní zálohy,
antivirová ochrana,
šifrování,
firewall,
umístění úložiště údajů v zabezpečených místnostech,
dodržování zásady need to know,
popsání základních pravidel pro ochranu osobních údajů v interní metodice.
Spolek a cookies
Pokud bude spolek používat webovou stránku, nesmí opomenout ani problematiku cookies. Platí to jak pro webovou stránku sloužící k prezentaci činnosti spolku pro širokou veřejnost, tak i pro interní platformu určenou jenom pro členy spolku. Postupu, jak jednoduše zkontrolovat a správně nastavit cookies na menším webu, jsme se na portálu GDPR.cz detailně věnovali v článku Kontrola cookies na webu snadno a rychle.
