Spolek je samostatnou právnickou osobou, nezávislou na členech. Hospodaří samostatně, se svým majetkem, členové neručí za jeho závazky. Z hlediska GDPR je situace úplně stejná, jako kdyby se jednalo o dodavatelskou firmu. Musí existovat právní titul, o který se opře vztah člena jakožto správce osobních údajů a spolku jakožto zpracovatele. Může to být smlouva, ale i jiný právně závazný dokument (např. stanovy).
Jak to tady sleduji, tak mi připadá, že tu stále uniká jedna věc, kterou považuji za podstatnou:
Servery jsou společným majetkem sdružení. My všichni dohromady tvoříme toto sdružení. Takže si vlastně my sami "naše VPS" provozujeme na "našem hardware". Proto mi připadá jako nesmysl, abychom coby členové sdružení uzavírali nějakou samostatnou smlouvu se sdružením, že si my sami ve své VPS na svém vlastním hardware budeme zpracovávat osobní údaje. To bychom v podstatě uzavírali smlouvu sami se sebou...
Něco jiného je, když člen sdružení bude ve své VPS zpracovávat osobní údaje ať už pro své vlastní účely a nebo pro třetí stranu. To už je pak jeho starost, aby měl podchycené za jakým účelem a na základě čeho tyto údaje zpracovává.
Proto se domnívám, že pro sdružení by mělo být dostačující, když bude vypracovaná interní směrnice, která bude podchycovat jednak zpracovávání evidence členů, zaměstnanců, správců... zkrátka údajů zpracovávaných sdružením jako takovým. Dále pravidla stanovující, kdo jak může nakládat s jakými daty uloženými na "našem hardware". A zároveň také pravidla, jak se mají členové správně chovat při zpracovávání osobních údajů ve svých VPS == že má každý jednotlivě povinnost udržovat si to v souladu s GDPR.
Jaký je váš názor?