Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2020
  6. Kontrolní činnost v oblasti ochrany osobních údajů
  7. Spolek chovatelů psů

Spolek chovatelů psů

Kontrola zpracování osobních údajů členů spolku

Kontrola byla zahájena na základě podnětu, který směřoval proti spolku chovatelů psů.

Stěžovatelka uvedla, že byla spolkem pod pohrůžkou vyloučení donucena k podepsání souhlasu se zpracováním osobních údajů. Domáhala se ukončení zpracování svých osobních údajů, vyjma zpracování, které spolek provádí v souvislosti s evidencí chovu psů v chovné stanici, ve které za chov psů zodpovídá stěžovatelka.

Kontrolou bylo zjištěno, že spolek jako správce osobních údajů členů porušil ust. čl. 6 odst. 1 nařízení (EU) 2016/679, neboť zpracovával osobní údaje za účely nezbytnými pro naplnění určitých článků stanov spolku (účel, cíl činnosti) na základě nesprávného právního titulu ve smyslu čl. 6 odst. 1 písm. a) nařízení (EU) 2016/679. Právním titulem pro toto zpracování je však nezbytnost pro účely oprávněných zájmů spolku, včetně zájmů Českomoravské kynologické unie, přičemž oprávněnost zpracování osobních údajů žadatelů o členství, včetně žadatelů o zajištění služeb – nečlenů, je dána souhlasem s podmínkami stanov ve smyslu § 223 odst. 2 zákona č. 89/2012 Sb., občanský zákoník, tedy ve smyslu čl. 6 odst. 1 písm. b) nařízení (EU) 2016/679.

Spolek také porušil povinnost dle čl. 6 odst. 1 nařízení (EU) 2016/679. Daný souhlas totiž neměl náležitosti dle čl. 4 odst. 11 nařízení (EU) 2016/679, protože byl vynucený pod podmínkou nepřijetí za člena, resp. poskytnutí služeb nečlenovi. Nebyl tedy udělen svobodně na základě konkrétní a přesné informace o zpracování osobních údajů.

Zároveň byla porušena povinnost správce osobních údajů dle čl. 13 odst. 1 a 2, čl. 15 odst. 1 písm. a) až c), čl. 17 a 18 nařízení (EU) 2016/679, protože spolek nepodal jak stěžovatelce, tak ani všem ostatním členům i nečlenům přesné informace o účelech zpracování jejich osobních údajů, podal nesprávné informace o právním titulu pro zpracování osobních údajů členů i nečlenů. Zároveň pak stěžovatelce podal nepřesnou a nesprávnou informaci o zpracování jejích osobních údajů a nepravdivou informaci o jejich likvidaci.

Odhaleno bylo také provinění proti čl. 30 nařízení (EU) 2016/679, neboť spolek neměl vypracovány žádné vnitřní dokumenty o zpracování osobních údajů a nedokumentoval přijatá technicko-organizační opatření ke zpracování osobních údajů, čímž porušil povinnost dle čl. 24 odst. 1 nařízení (EU) 2016/679. Důsledkem neexistence takových opatření bylo neoprávněné zveřejnění osobních údajů stěžovatelky v rozporu s čl. 32 nařízení (EU) 2016/679.

Spolek proti všem zjištěním uvedeným v protokolu o kontrole podal námitky, které byly předsedkyní Úřadu zamítnuty.

Vzhledem k tomu, že zásah do soukromí stěžovatelky nedosahoval většího rozsahu, spolek jednal v dobré víře a také přijal opatření k nápravě závadného stavu, nebylo důvodné zahájit řízení podle § 60 zákona č. 110/2019 Sb., o zpracování osobních údajů, tj. řízení o uložení opatření k odstranění zjištěných nedostatků.