Spolky a zpracování osobních údajů jejich členů

V souvislosti se zpracováním osobních údajů členů spolků lze na internetu najít mnoho informací. Některé z těchto informací považuji za velice užitečné, jiné už méně. Bohužel některé informace jsou i zcela nepravdivé.

Jednou z takových informací je např. i ta, že spolky jsou povinny zajistit souhlas svého člena ke zpracování osobních údajů pro účely činnosti spolku (např. pro vedení seznamu svých členů). Opravdu? Tak já se Vás na něco zeptám…

Dle právních předpisů může subjekt údajů souhlas se zpracováním osobních údajů kdykoli odvolat. Pokud je zpracování osobních údajů prováděno výlučně na základě souhlasu a ten je následně odvolán, mělo by dojít k okamžité likvidaci (výmazu) osobních údajů zpracovávaných na základě takového souhlasu.

Má-li tedy platit, že spolek potřebuje souhlas se zpracováním osobních údajů svých členů pro účely činnosti spolku, tento souhlas je mu udělen, avšak člen jej následně odvolá, jak pak spolek bude člena např. informovat o svolání členské schůze (neboť po odvolání souhlasu veškeré identifikační a kontaktní údaje takového člena zlikvidoval a nemá je již k dispozici)? No samozřejmě, že na adresu uvedenou v seznamu členů (či přihlášce do spolku). Osobní údaje uvedené v seznamu členů (přihlášce do spolku) totiž spolek nezpracovává na základě odvolatelného souhlasu, ale na základě zcela jiného zákonného důvodu.

Zákonným důvodem zpracování těchto osobních údajů člena spolku je zejména plnění smlouvy (neboť stanovy, ke kterým člen vstupem do spolku přistupuje, představují smlouvu) či plnění povinností správce (tedy např. právě vedení seznamu členů spolku). Jinak řečeno, dokud je fyzická osoba členem spolku, ke zpracování jejích identifikačních a kontaktních osobních údajů pro účely činnosti spolku není třeba žádného souhlasu.

Spolek v takovém případě taktéž nesplní povinnost člena spolku řádně informovat o jeho právech v souvislosti se zpracováním osobních údajů, čímž se může dopustit přestupku (k tomuto doporučuji stanovisko Úřadu pro ochranu osobních údajů č. 3/2014 ve věci nadbytečného vyžadování souhlasu se zpracováním osobních údajů a souvisejícím nesprávném plnění informační povinnosti).

Právě uvedené souvisí s nepochopením zákonných důvodů pro zpracování osobních údajů, se kterým se setkávám i dnes, více něž 2 roky od účinnosti GDPR. Mnoho správců osobních údajů se nadále nesprávně domnívá, že osobní údaje lze zpracovávat pouze na základě souhlasu a ostatní zákonné důvody zpracování přestavují pouze výjimky. Nikdy tomu tak nebylo a není – všechny zákonné důvody zpracování osobních údajů jsou si rovnocenné.

Do NOT follow this link or you will be banned from the site!