Zpět

GDPR a dopad na spolky

Aktualizováno 23.5.2018

Blíží se 25. květen 2018, kdy vzejde v platnost Obecné nařízení o ochraně osobních údajů 2016/679 (GDPR), které se bude týkat všech subjektů, které pracují s osobními údaji a to včetně spolků. V první řáde je ale potřeba zmínit, že v současné době na osobní údaje česká legislativa myslí a nová úprava není v podstatě nic nového. Mluvíme tady o zákonech č. 101/2000 Sb. - o ochraně osobních údajů, vycházející ze směrnice 95/46/ES (předchůdce GDPR) a č. 89/2012 Sb. - (nový) občanský zákoník (paragrafy týkající se spolků). Ty spolky, které zpracovávali osobní údaje podle těchto norem, mají značnou část úkonů vycházející z nového nařízení pokrytu. Avšak GDPR obsahuje i další opatření, na které české zákony nyní nemyslí a více cílí na online systémy.

Základní myšlenkou GDPR je, aby měli lidé nad svými osobními údaji větší kontrolu a stanovuje rámec, jak osobní údaje ochránit před odcizením či následným zneužitím bez souhlasu dotčené osoby. Každý členský stát EU má jinou legislativu v této oblasti a GDPR se snaží sjednotit pravidla s nakládáním osobních údajů v celé EU. Každý členský stát má čas do 24. května 2018 (dva roky od schválení GDPR) na implementaci adaptačního zákona, který bude odpovídat právnímu řádu daného členského státu a bude z GDPR vycházet. Česká republika bohužel v přípravě adaptačního zákona zaspala a do doby jeho schválení budou subjekty od 25. května podléhat ustanovením v podobě obecného nařízení GDPR.

Základem je informovat členy spolku, jak spolek s údaji nakládá a vyžádat si od členů souhlas, že s nimi spolek takto nakládat může. Bez souhlasu to nejde. Pokud spolek získal v minulosti souhlas, např. v přihlášce podle ustanovení v zákoně č. 101/2000 Sb., nemusí o souhlas žádat znovu, pokud odpovídá podmínkám vycházející z GDPR. Avšak je doporučeno nechat si souhlas obnovit tak, aby odpovídal GDPR.

Novinkou vycházející z GDPR je to, že souhlas musí splňovat dané podmínky. Vždy musí být srozumitelně uveden důvod (lidsky v pár větách), proč jsou dané osobní údaje shromažďovány (např. datum narození, které je u mládeže podkladem pro poskytnutí dotace) a k čemu se osoba souhlasem zavazuje. Pokud má spolek ve formuláři se souhlasy dopředu zaškrtnuté pole, je to špatně. Osoba musí provést zaškrtnutí sama, dobrovolně. Nebo pokud spolek používá formulaci ve smyslu, že pokud člen nesouhlasí, tak se má ozvat, jinak dává souhlas, je také špatně. Osoba musí explicitně souhlas udělit, v opačném případě tak souhlas neudělila. Pokud osoba souhlas udělí, musí se zaznamenat informace, kdy byl souhlas udělen. Navíc zaznamenáváme, jak byl souhlas udělen, aby mohl spolek konstatovat, že nabyl souhlas oprávněně pro zpětné dohledání. Např. papírová přihláška.

Další novinkou je odvolání souhlasu. Osoba může kdykoliv souhlas odvolat. Podle povahy odvolaného souhlasu musí spolek přijmou takové opatření, které z podstaty souhlasu vychází (nemusí se vždy jednat o souhlas týkající se zpracování osobních údajů). V případě, že nesouhlasí se zpracováním osobních údajů, musí v tomto případě být člen neprodleně smazán, či jeho údaje anonymizovány, aby nebyl v systému dohledatelný přes osobní údaje. Týká se to i bývalých členů vedených v evidenci před nabytím účinnosti GDPR, pokud u nich nejde prokázat, že byl souhlas získán způsobem odpovídajícímu GDPR (viz. výše). Pak musí takového bývalého člena smazat, nebo anonymizovat jeho údaje, nebo o souhlas požádat znovu v souladu s GDPR.

Člen spolku má právo požadovat informace, jaké údaje o něm spolek vede a právo na výmaz z evidence podle § 236 nového občanského zákoníku již dnes. Ale málokdo o tom ví a díky GDPR se o tom více mluví, protože se toto právo bude nově týkat i soukromých firem, které se neřídí občanským zákoníkem. Novinkou je přenositelnost osobních údajů, tzn. že osoba má právo získat informace o své osobě, kterými správce disponuje a přenést je k jinému správci osobních údajů (týká se např. pojišťoven a u spolků nejspíše nebude hojně využívaná).

Náš portál pohodlne .info se zabývá problematikou evidence členů pro naše zákazníky z řad spolků a nyní implementujeme do našeho systému opatření vycházející právě z GDPR. Výše popsané opatření bude součástí našeho portálu.

Co není předmětem GDPR:
  • Zveřejňování fotografií z veřejných akcí spolku.
  • Zasílání marketingových e-mailů se řídí zákonem č. 480/2004 Sb. - o některých službách informační společnosti,  vycházející ze směrnice 2002/58/ES (ePrivacy). Pokud spolek získal od člena e-mailový kontakt, tak v rámci oprávněného zájmu může členovi zasílat různé newslettry, nabídky partnerů a další obchodní sdělení. V tomto případě však musí mít člen k dispozici možnost odvolat souhlas se zasíláním těchto e-mailů. Pokud spolek získal e-mail jiným způsobem (např. z veřejných zdrojů, koupené databáze), nemůže na tyto e-maily zasílat nabídky tohoto typu. Bez omezení může spolek svým členům zasílat např. informace o změně členství a cenách, výzvách k platbě nebo pořádání akcí. Pro zasílání těchto zprav nepotřebujete souhlas člena.