Činnosti spolků, sportovních klubů a obdobných zájmových sdružení

Pokud nezisková organizace využije služeb externího auditora, který pracuje s dokumenty obsahujícími osobní údaje zaměstnanců či dalších osob, předané ze strany uvedené organizace za účelem provedení auditu, jsou oba jmenované subjekty v postavení samostatných správců.

Nezisková organizace tedy není povinna s externím auditorem uzavřít zpracovatelskou smlouvu dle GDPR, protože externí auditor, jehož činnost je upravena zvláštními právními předpisy, je v postavení samostatného správce. V takovém případě musí informační povinnost vůči dotčeným subjektům údajů (zaměstnancům i dalším osobám) plnit nezisková organizace.

Pravidla pro seznam členů spolku stanoví § 236 občanského zákoníku. Vedení evidence je zákonným zpracováním údajů. V tomto případě není nutno, ani nelze vyžadovat souhlas se zpracováním osobních údajů. GDPR nijak speciálně neupravuje a tím ani nebrání zpracování kontaktních údajů. Vedení a použití dobrovolně sdělených čísel telefonů či e-mailů, např. pro zasílání pozvánek či nekomerčních sdělení, např. zpravodajů, je realizací oprávněného zájmu spolku.

Obecně platí, že pro běžné a každodenní činnosti spolku není souhlas členů spolku potřeba a nelze jej vyžadovat. Avšak pro zveřejnění seznamu členů spolků stanoví občanský zákoník, že se tak může stát jen se souhlasem členů (viz § 236 občanského zákoníku).

Ne, poskytování služeb osobám, které nejsou členy spolku (např. charita), se děje na smluvním základě, bez ohledu na to, zda je sjednáno písemně či nikoliv, jedná se o zpracování dle GDPR. Souhlas se zpracováním údajů proto nelze vyžadovat. Náplni poskytované služby však vždy musí obsahově odpovídat zpracování údajů (např. vedení evidence a záznamů o klientech), klienty je třeba o zpracování řádným a přiměřeným způsobem informovat (zejména důvodech vyžadování a způsobech zpracování, vč. předávání údajů).

Ano, může. Při pořizování a zveřejňování reportážních a propagačních fotografií se nejedná primárně o problematiku ochrany osobních údajů, ale o postup, kde je třeba se při jejich pořizování chovat slušně – zejména respektovat ustanovení § 84 a násl. občanského zákoníku, která upravují pořizování podobizny.

Kontrola materiálů s osobními údajů je jistě na místě, pokud byla dotace cílena na konkrétní osoby. V jiných případech je nutné přihlédnout k rozsahu a povaze dotace.

GDPR nic nemění na plnění zvláštních povinností, které se týkají povinných ohlašování údajů, např. v rámci postupů dle zákona o podpoře sportu či při poskytování dotací. Taková zpracování jsou nezbytná pro splnění právních povinností dle GDPR.

V případě veřejně provozovaných aktivit, zejména sportu, jsou různé formy prezentace hráčů s uváděním jejich jmenných údajů nezbytné a přirozené. Zveřejnění takových údajů (např. společně s fotografiemi nebo na výsledkových listinách) se neděje na základě souhlasů hráčů (který tak ani nelze vyžadovat), ale je dovoleným zpracováním na základě oprávněného zájmu sportovního klubu.

Činnost malého spolku nebude spadat pod činnosti uvedené v článku 37 odst. 1 písm. a), b) a c) GDPR, na základě kterých vzniká správci povinnost jmenovat pověřence pro ochranu osobních údajů. Takový spolek není orgánem veřejné moci ani veřejným subjektem ani zpravidla neprovádí zpracování vyžadující rozsáhlé pravidelné a systematické monitorování subjektů údajů ani rozsáhlé zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10 GDPR.