Spolek (UOOU-03254/20)
Kontrola zákonného titulu pro zpracování osobních údajů dle obecného nařízení a jejich zabezpečení při provozu komunitní počítačové sítě
Spolek zajišťuje komunitní počítačovou síť, přičemž kontrola byla zahájena na základě podání stěžovatele, ve kterém bylo namítáno neoprávněné předávání a zpracovávání osobních údajů členů a vzneseny pochyby co do zabezpečení těchto údajů v informačních systémech, které spolek provozuje. Jelikož podatel již není členem spolku, namítal také rozsah zpracování jeho osobních údajů a přístup k nim.
Kontrola byla zaměřena na dodržování povinností spolku v souvislosti se zpracováním osobních údajů jeho členů, včetně zpracování osobních údajů stěžovatele, zejména na dodržování povinností dle čl. 6, čl. 25 a čl. 32 obecného nařízení.
Kontrolující konstatovali, že spolek zpracovává osobní údaje členů spolku na základě legitimních právních titulů, konkrétně dle čl. 6 odst. 1 písm. b) (splnění smlouvy), písm. c) (splnění právní povinnosti), písm. f) (splnění oprávněných zájmů příslušného správce) a v případě stěžovatele dle čl. 6 odst. 1 písm. c) a f) obecného nařízení. Spolek tedy neporušil povinnosti stanovené uvedenými články obecného nařízení.
Kontrolující dále s ohledem na předmět kontroly hodnotili, zda a do jaké míry kontrolovaná osoba plní povinnosti týkající se zabezpečení osobních údajů, i v souvislosti s provozujícími informačními systémy, jak je její povinností podle čl. 25 a čl. 32 obecného nařízení. Úřad v tomto směru dospěl k závěru, že spolek přijal vhodná technická a organizační opatření za účelem zajištění bezpečnosti zpracovávaných osobních údajů jeho členů.