31 Jan
2018
31 Jan
'18
10:16 p.m.
Spolek je samostatnou právnickou osobou, nezávislou na členech.
Hospodaří samostatně, se svým majetkem, členové neručí za jeho závazky.
Z hlediska GDPR je situace úplně stejná, jako kdyby se jednalo o
dodavatelskou firmu. Musí existovat právní titul, o který se opře vztah
člena jakožto správce osobních údajů a spolku jakožto zpracovatele. Může
to být smlouva, ale i jiný právně závazný dokument (např. stanovy).
Jak to tady sleduji, tak mi připadá, že tu stále uniká
jedna věc, kterou
považuji za podstatnou:
Servery jsou společným majetkem sdružení. My všichni dohromady tvoříme
toto sdružení. Takže si vlastně my sami "naše VPS" provozujeme na "našem
hardware". Proto mi připadá jako nesmysl, abychom coby členové sdružení
uzavírali nějakou samostatnou smlouvu se sdružením, že si my sami ve své
VPS na svém vlastním hardware budeme zpracovávat osobní údaje. To bychom
v podstatě uzavírali smlouvu sami se sebou...
Něco jiného je, když člen sdružení bude ve své VPS zpracovávat osobní
údaje ať už pro své vlastní účely a nebo pro třetí stranu. To už je pak
jeho starost, aby měl podchycené za jakým účelem a na základě čeho tyto
údaje zpracovává.
Proto se domnívám, že pro sdružení by mělo být dostačující, když bude
vypracovaná interní směrnice, která bude podchycovat jednak zpracovávání
evidence členů, zaměstnanců, správců... zkrátka údajů zpracovávaných
sdružením jako takovým. Dále pravidla stanovující, kdo jak může nakládat
s jakými daty uloženými na "našem hardware". A zároveň také pravidla, jak
se mají členové správně chovat při zpracovávání osobních údajů ve svých
VPS == že má každý jednotlivě povinnost udržovat si to v souladu s GDPR.
Jaký je váš názor?